基于PPPoE撥號的校園網(wǎng)統一部署實(shí)現

隨著(zhù)師生對網(wǎng)絡(luò )需求不斷增大，校園網(wǎng)在高校的教學(xué)、科研、學(xué)習、生活中發(fā)揮了越來(lái)越多的支撐作用，同時(shí)也推動(dòng)了教育信息化的發(fā)展。為了方便教職工在家屬區使用校園網(wǎng)，北京師范大學(xué)于2010年開(kāi)始在校內家屬區45棟家屬樓全部部署了校園網(wǎng)?？紤]到家屬區用戶(hù)以前使用歌華或者聯(lián)通寬帶，采用撥號方式上網(wǎng)，習慣按帶寬計費模式，以及為了家屬區網(wǎng)絡(luò )維護方便，我們在家屬區網(wǎng)絡(luò )建設中采用了PPPoE撥號方式上網(wǎng)，而不是通常在校園網(wǎng)內采用的以太局域網(wǎng)方式。和校園網(wǎng)以太局域網(wǎng)相比，PPPoE撥號方式簡(jiǎn)單，帶寬控制精準，性?xún)r(jià)比高。在與現有校園網(wǎng)網(wǎng)絡(luò )以及計費系統對接時(shí)，需要做一些特殊配置，從而保證通過(guò)家屬區方便、快速的訪(fǎng)問(wèn)校內外資源。

PPPoE原理簡(jiǎn)介

PPPoE(Point-to-Point Protocol over Ethernet)，以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議，是將點(diǎn)對點(diǎn)協(xié)議(PPP)封裝在以太網(wǎng)(Ethernet)框架中的一種網(wǎng)絡(luò )隧道協(xié)議。由于協(xié)議中集成了PPP協(xié)議，所以實(shí)現了傳統以太網(wǎng)不能提供的身份驗證、加密以及壓縮等功能，也可用于調制解調器(cable modem)和數字用戶(hù)線(xiàn)路(DSL)等以以太網(wǎng)協(xié)議向用戶(hù)提供接入服務(wù)的協(xié)議體系。

PPPoE建立過(guò)程可以分為Discovery階段和PPP 會(huì )話(huà)階段。Discovery階段是一個(gè)無(wú)狀態(tài)的階段，該階段主要是選擇接入服務(wù)器，確定所要建立的PPP會(huì )話(huà)標識符Session ID，同時(shí)獲得對方點(diǎn)到點(diǎn)的連接信息；PPP會(huì )話(huà)階段執行標準的PPP過(guò)程。

寬帶接入服務(wù)器(Broadband Remote Access Server，簡(jiǎn)稱(chēng)BRAS)是面向寬帶網(wǎng)絡(luò )應用的新型接入網(wǎng)關(guān)，它位于骨干網(wǎng)的邊緣層，用來(lái)完成各種寬帶接入方式的寬帶網(wǎng)絡(luò )用戶(hù)的接入、認證、計費、控制、管理的網(wǎng)絡(luò )設備，是寬帶網(wǎng)絡(luò )可運營(yíng)、可管理的基石。寬帶接入服務(wù)器(BRAS)主要完成兩方面功能，一是網(wǎng)絡(luò )承載功能：負責終結用戶(hù)的PPPoE連接、匯聚用戶(hù)的流量功能；二是控制實(shí)現功能：與認證系統、計費系統和客戶(hù)管理系統及服務(wù)策略控制系統相配合實(shí)現用戶(hù)接入的認證、計費和管理功能。寬帶接入綜合了IP網(wǎng)絡(luò )核心技術(shù)、AAA技術(shù)、數據庫等技術(shù)，軟硬結合，對進(jìn)入寬帶網(wǎng)絡(luò )的用戶(hù)實(shí)施必要的認證，訪(fǎng)問(wèn)權限控制、服務(wù)質(zhì)量控制、和計費。方案既可按時(shí)間、流量計費，又可作為包月制的技術(shù)保障，對個(gè)人用戶(hù)實(shí)施帶寬、流量、時(shí)長(cháng)等限制。

校園網(wǎng)、計費系統及家屬區現狀

北京師范大學(xué)校園網(wǎng)以1臺H3C 9508和2臺思科6509為核心，連接了教學(xué)區各樓宇以及宿舍區樓宇，并將附中等單位通過(guò)光纖接入校園網(wǎng)。校園網(wǎng)出口通過(guò)防火墻接入教育網(wǎng)和聯(lián)通、電信。校園網(wǎng)認證采用深瀾計費系統，將計費網(wǎng)關(guān)串聯(lián)在出口主干。校園網(wǎng)出口包括教育網(wǎng)、聯(lián)通、電信三條線(xiàn)路。

教職工家屬區大部分是通過(guò)歌華有線(xiàn)電視網(wǎng)接入互聯(lián)網(wǎng)。由于原網(wǎng)絡(luò )建設時(shí)間早，面臨設備老化、掉線(xiàn)等問(wèn)題，為滿(mǎn)足教職工家屬區網(wǎng)絡(luò )信息化需求，在進(jìn)行大量的前期調查和研究工作的基礎上，開(kāi)始建設校內生活區網(wǎng)絡(luò )。該區域中，現有勵耘區13棟、別墅7棟、老年活動(dòng)中心、麗澤區14棟、樂(lè )育區9棟、樂(lè )育活動(dòng)站，總計43棟樓和兩個(gè)活動(dòng)站，都需要接入到校園網(wǎng)中。

圖1 家屬區網(wǎng)絡(luò )拓撲

基于PPPoE的家屬區網(wǎng)絡(luò )與校園網(wǎng)網(wǎng)絡(luò )和計費系統

北京師范大學(xué)家屬區網(wǎng)絡(luò )以華為MA5200G為BRAS設備，兩臺華為S5328為家屬區總匯聚，匯聚各樓的光纖，45臺E328作為樓宇匯聚，190多臺E026作為二層終端接入。

用戶(hù)在家屬區使用普通網(wǎng)線(xiàn)接入家屬區網(wǎng)絡(luò )，通過(guò)PPPoE撥號，在深瀾Radius服務(wù)器上進(jìn)行認證，根據計費數據庫里用戶(hù)的身份進(jìn)行密碼確認，認證通過(guò)后向BRAS設備下發(fā)IP 分配策略、ACL訪(fǎng)問(wèn)策略、帶寬策略等。用戶(hù)通過(guò)與BRAS直連的H3C 9508直接接入校園網(wǎng)，從而實(shí)現訪(fǎng)問(wèn)校園網(wǎng)資源以及通過(guò)計費系統訪(fǎng)問(wèn)校外互聯(lián)網(wǎng)資源。

家屬區用戶(hù)根據用戶(hù)類(lèi)型分為家屬區教工、家屬區非教工和家屬區辦公用戶(hù)。其中家屬區教工用戶(hù)可以訪(fǎng)問(wèn)校內所有資源，而家屬區非教工用戶(hù)不能訪(fǎng)問(wèn)圖書(shū)館資源及其他資源；家屬區辦公用戶(hù)可以免費訪(fǎng)問(wèn)國內互聯(lián)網(wǎng)。這些策略分別在BRAS設備和計費系統上配置ACL策略實(shí)現。

對應計費模式，按照現在公網(wǎng)網(wǎng)絡(luò )運營(yíng)商習慣，設置1Mbps和2Mbps等，收費方式主要以校園卡充值和校內轉賬單充值。校園卡充值系統和計費數據庫對接，從而實(shí)現家屬區用戶(hù)方便繳費充值。

BRAS上Raius配置：

radius-server group radius

radius-server authentication 172.16.*.* 1812 weight 0

radius-server accounting 172.16.*.* 1813 weight 0

radius-server shared-key jsqtest

radius-server class-as-car

radius-server attribute translate

undo radius-server user-name domain-included

家屬區賬號分配按照樓宇和房間號編排，和用戶(hù)所在房間對應。家屬區劃分了4000多個(gè)VLAN，每個(gè)用戶(hù)一個(gè)單獨的VLAN，VLAN與家屬區用戶(hù)接入端口對應，并在各樓預留一定的VLAN。為了賬號使用安全，在計費系統里對用戶(hù)VLAN進(jìn)行了綁定，每個(gè)用戶(hù)的賬號只能從自己家的端口VLAN認證，即使賬號被盜，也無(wú)法在其他樓宇房間使用。

圖2 家屬區撥號認證示意

圖3 家屬區用戶(hù)賬號管理

北師大實(shí)現了基于PPPoE撥號家屬區網(wǎng)絡(luò )與校園網(wǎng)網(wǎng)絡(luò )及計費認證的統一部署。使用BRAS和普通二層交換機，成本較低，管理方便，在小區網(wǎng)絡(luò )環(huán)境中非常適用。同時(shí)，我們也看到，基于PPPoE撥號的網(wǎng)絡(luò )存在一些問(wèn)題，例如對下一代互聯(lián)網(wǎng)IPv6的標準支持不完善；在建設初期，前期VLAN規劃比較費時(shí)；如果需要設置固定IP比較復雜；不適合不能進(jìn)行PPPoE撥號的特殊設備，例如電控終端、校園卡PoS機商務(wù)網(wǎng)關(guān)等。但隨著(zhù)PPPoE技術(shù)和設備的不斷發(fā)展和成熟，網(wǎng)絡(luò )扁平化，三層核心更加集中和強大將是趨勢，既方便管理，也便于維護。