2. 网络结构设计和域设置

　　在实践中，为提高宿舍校园网运行的可靠性，我们按每位学生单独端口单独 VLAN 的标准对宿舍网络进行“扁平化大二层”改造，增配网络布线系统，采用 QinQ 方式在楼宇汇聚交换机分配内、外层 Tag VLAN，对用户实现端口隔离，在 BAS 设备开设三个功能域，一是电信运营商域，域内配置“认证”和“预认证”参数，分配运营商 IP 地址，通过二次认证向用户提供运营商接入服务；二是教科网域，承载原教科网用户，使用教科网 IP 地址和策略路由；三是 caijing 域，认证方式同cnc 域，但用户地址使用教科网地址和策略路由走教科网链路，用途是供运营商用户访问校外免费数据库网络资源。BAS 设备以万兆链路接入运营商城域网，默认路由指向运营商，同时运营商链路用户使用静态路由访问 Web、Email、教学信息、数据库等学校网络信息资源。为方便网络管理，划分业务流量和网管流量，我们使用单独网管链路连接宿舍网络核心设备和校园网核心交换机。

　　3. 网络切换相关准备

　　为实现网络平稳切换，需要和运营商进行管理上的沟通和协调，由于运营商链路账号为半年预付费卡，理论上学生每半年就会换一张卡，为避免校方和运营商账号信息不同步问题，运营商取消用户自助修改密码功能，统一由学校处理账号及 MAC 地址绑定问题，学校统一将账号导入学校自有 Radius 认证系统，并在卡销售时记录用户信息及联系方式，学校自有 Radius 认证平台具备账号 MAC 地址自动学习功能，可以自动绑定用户第一次认证成功时的 MAC 地址，减少了用户 MAC 地址登记的难度，利用原有网络用户自助系统处理 MAC 地址变更问题。

　　基于 BAS 设备的802.1X 二次接入认证技术方案实施后，校园用户接入方式不变，可以有多种不同层次的网络服务供选择；运营商通过监控BAS 设备和账号即可掌握运维情况；学校网管人员能够在学校自有认证系统中实时检索用户登录错误日志、历史登录日志等运维信息，对网络故障定位和解决用户问题提供强有力的帮助。由于账号绑定 MAC 地址，账号安全性和可管理性大幅提高，用户体验和后续运维管理反映良好。

　　（作者单位为上海财经大学教育技术中心）