传统的校园网络存在着明确的地域边界,师生用户在校外无法直连访问校园网,唯有通过VPN拨号接入学校内网。
随着学校办学格局的优化拓展、对外交流合作的不断增加,尤其在2020年新冠疫情爆发后,越来越多师生用户需要从校外访问校内资源、开展联合科研项目,校园网络边界正逐渐成为阻碍资源共享、协同创新的重要因素。
为建成高速泛在、集成互联、安全可控的新型校园网络,并全面推进IPv6规模化部署,复旦大学自2020年起,陆续启动了与中国联通、中国移动、中国电信三大运营商的5G虚拟校园网联合建设项目,目前已经在上海地区初步建成了一张“无边界5G虚拟校园网”。
实施方案
基于5G的虚拟校园网是融合5G切片技术和边缘计算技术,满足学校业务连接、高速计算、信息安全等需求的、可管可控可感知的校园虚拟专用网络。
该虚拟网络以复旦大学校园网为承载网络,以IPv6协议为网络层技术,以5G移动通信网络为接入方式,充分利用5G网络的高带宽、低时延、大并发、广覆盖、高可靠等技术特点,极大地拓展了校园网络的覆盖范围,提升了网络传输质量,可为智慧校园建设进行深层次赋能。
为保障所有校内师生自由使用5G虚拟校园网,学校本着“统筹规划、分别实施、统一管理”的原则进行整体推进。
图1 复旦大学5G虚拟校园网总体实施方案
复旦大学5G虚拟校园网总体实施方案如图1所示,其中前端数据分流部分由三家运营商独立承担,不同运营商根据各自的业务特点和5G组网方式,分别使用不同方案实现公网与内网的数据分流,具体如下:
联通用户接入方式
当签约用户终端发起访问时,公网、内网访问流量均由联通2C核心网UPF(用户面功能)统一汇聚至联通机房,在联通机房内进行目的地址路由判定,公网访问流量由China 169城域网承载,内网访问流量通过专线引流至学校网络接入认证设备。
电信用户接入方式
当签约用户终端发起访问时,公网、内网访问流量通过共享式UPF节点进行分流,公网访问流量由互联网承载,内网访问流量通过专线引流至学校网络接入认证设备。
移动用户接入方式
当签约用户终端发起访问时,5G SA(独立)核心控制面中的AMF(高级模块格式)查询UDM(单元部署管理)获取用户签约数据后,将用户DNN(数字数据网)设置为学校专用的fudan.sh,同时SMF(会话管理功能)向PCF(策略控制功能)申请策略,触发共享UPF(ULCL)插入。
在共享UPF(ULCL)侧部署分流策略,制作复旦内网IP地址和端口号以及DNS域名的规则匹配,对于匹配规则的数据流通过专线引流至学校网络接入认证设备,对于未匹配规则的数据流,则传输到5G 2C核心网UPF分流至互联网。
校园网准入认证是复旦5G虚拟校园建设的重点之一,目前学校采用二次鉴权的认证方式完成。整体业务流程如下:
校内师生用户通过学校应用程序发起签约申请,经管理部门审核并确认校园用户身份后,把用户信息实时推送给对应的运营商。运营商根据用户提供的SIM卡号,为其开通复旦5G虚拟校园网服务,成为复旦5G专网签约用户。
当签约用户进行校内资源访问时,运营商会按照各自的分流策略,将校内用户的数据网络名称(DNN)或接入点名称(APN)修改为将复旦专用,同时为用户自动分配复旦大学内网IP地址用于校园网络访问。
根据相关规定,运营商并不向学校直接提供接入管理权限和用户身份及IP的对应关系。为确保接入用户的身份可靠性,同时提供IP地址溯源能力,学校在运营商网络与校园网之间部署了准入认证设备,通过Web认证方式进行二次鉴权认证。
所有通过运营商接入的内网访问数据流都会自动重定向到复旦大学统一身份认证页面,校园用户完成身份认证后方可进行校内资源访问,针对某一固定IP单次认证有效期为一个自然日,当天内无需重复认证。
当前使用的这种二次鉴权的认证方式,具有结构简单、搭建灵活等优点,学校可以自主部署,且验证服务器压力较轻,与当前校内用户的有线网络接入认证模式接近,符合师生日常使用习惯。
但这种认证方式存在一个较大的缺陷,用户接入终端如发生断网重连,或跨大区域位移,自动分配的IP地址可能发生变化,在访问校园网时会产生多次认证的情况。
因此学校也在积极探索并优化接入认证方式,目前有几种备选方案:
方案一:基于AAA(认证、授权、计费)系统进行IP溯源,在运营商提供的学校专用DNN/APN端开启Radius鉴权,UE(用户设备)开机附着网络,由SMF发起鉴权请求,并携带IMEI/MSISDN(国际移动设备识别码和手机号)等信息,学校AAA系统基于上述信息分配用户IP地址,并形成用户IMEI/MSISDN和IP源地址相关联的日志;
方案二:在ULCL网络架构中通过采集CDR话单(呼叫详细记录)进行IP溯源,5GC核心网CHF(计费功能)开放CDR接口,根据UPF ID过滤校园专网用户的CDR话单,通过IP溯源服务器对话单解析实现MSISDN/IMEI和上网记录的查询。
建设成效
2021年3月,覆盖三大基础运营商的复旦大学5G虚拟校园网初步建成。为保障网络的可靠性及稳定性,在复旦大学四校区、各附属医院及上海市其他校外场景分别进行了现场测试,均可以无缝接入校园内网进行资源下载、观看高清视频。
为更清晰地对比5G虚拟校园网与传统VPN接入方式的区别,在上海市不同区域、使用不同运营商的手机号码进行校园网络使用情况测试,结果如下:
时延测试:pingoa.fudan.edu.cn
表1 时延测试结果对比
网络测速:SpeedTest
表2 网络测速结果对比
内网大文件下载: 访问zb.fudan.edu.cn下载正版软件
表3 内网大文件下载对比
根据以上对比测试显示,复旦大学5G虚拟校园网从网络时延、传输速率等多个方面都明显优于VPN方式,此外5G虚拟校园网的接入方式无需额外安装VPN软件,可为师生用户带来更便捷的使用体验。
为了进一步拓展5G虚拟校园网在智慧校园建设中的应用场景,学校从教学、教研、管理三个方面入手,深度挖掘用户需求,推动5G网络在高校的创新应用落地。
教学领域
学校大力支持“5G+虚拟空间异地教学实验”项目研究,借助5G网络大带宽、低时延的特点,首次尝试开展在3D虚拟空间中的实验课程教学,该项目的服务器部署于复旦校内,而用户则分布在东、西部多所高校中,通过“5G+高清摄像头+人工智能”搭建远程实验教学课堂,实现了学校优质教学资源的跨域共享。
科研领域
学校推动“5G+自动驾驶车路协同解决方案研究”、“5G+新媒体实验中心建设”、“5G+医疗大数据传输”等多个研究课题的开展,以5G虚拟校园网为基础,全面推进多学科交叉融合创新。
管理领域
学校充分利用5G实现对校园环境的全场景、全方位、全天候的监控与管理。目前,学校校园一卡通P0S机、智慧餐车等物联设备正在逐步接入该网络,未来还将有更多物联设备接入,为学校智慧校园建设奠定基础。
此外,今年4月,学校首次面向普通用户推出这张测试网络。根据运营商后台数据显示,本次放号的300+测试用户带来的5G分流比最高提升了6.6%,较大提高了5G终端渗透率,实现了5G流量快速提升。
智慧校园建设是复旦大学“十四五”规划的重点内容,而网络基础设施建设是整个智慧校园体系架构的基石。
复旦大学通过运营商5G基站将原有校园网络的边界向外延展,极大提高了校园网络覆盖面,为校园用户提供了电信级大规模通信网络安全保障服务,符合“共建、共治、共享”的社会治理新格局。
未来学校还将基于这张基础网络,不断丰富和拓展应用场景,持续赋能智慧校园建设,促进学校的数字化转型。
作者:吴琦、任晨、向望、徐竟祎、赵泽宇(复旦大学校园信息化办公室)
责编:郑艺龙
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。