劉治綱，朱玲紅

(南昌航空大學(xué)現(xiàn)代教育技術(shù)與信息中心，江西 南昌 330063)

0 引言

校園網(wǎng)通常用以太網(wǎng)組網(wǎng)。網(wǎng)絡(luò)業(yè)務(wù)范圍的擴大和用戶數(shù)的增加帶來了一系列用戶管理問題，主要表現(xiàn)在4個方面:

1)運維難度增加:以太網(wǎng)數(shù)據(jù)幀無法攜帶用戶的端口信息，根據(jù)MAC地址定位非常繁瑣、復(fù)雜[1]。

2)用戶業(yè)務(wù)不可控，如:包月(或限時包月)計費情況下，無法徹底杜絕用戶之間共享賬號，造成用戶和費用流失。

3)無法保證端到端的QoS:IntServ復(fù)雜度高，不適用校園網(wǎng)的環(huán)境;DiffServ不面向鏈路，而在邊界節(jié)點對報文進行分類、整形和聚合，由內(nèi)部節(jié)點轉(zhuǎn)發(fā)，無法保證端到端的 QoS[2-4]。

4)用戶信息安全不可控:傳統(tǒng)的以太網(wǎng)接入方式，從架構(gòu)本身而言，無法杜絕ARP欺騙、Flood攻擊、網(wǎng)絡(luò)監(jiān)聽等。

為了改進大規(guī)模以太網(wǎng)的上述問題，目前業(yè)界有幾種主流的用戶管理和接入方式，即PPPOE、Web+DHCP以及802.1X+DHCP。其中，PPPOE成熟度安全性較高，用戶業(yè)務(wù)控制能力強，但是需要安裝配置認證客戶端程序。Web+DHCP模式中，無需安裝認證客戶端，有利于無線用戶接入，但對有線用戶沒有端到端控制，仍然無法做到安全隔離和精確定位。802.1X+DHCP模式提高了接入交換機和用戶管理的耦合度，增加了接入交換機配置的復(fù)雜度，難以大范圍部署。

扁平化網(wǎng)絡(luò)是一種基于高性能核心路由器的局域網(wǎng)和城域網(wǎng)組網(wǎng)方式。用戶通過預(yù)置的以太網(wǎng)VLAN通道直接二層接入核心路由，全網(wǎng)流量傳播從以交換為主轉(zhuǎn)為以路由為主。本文以扁平化校園網(wǎng)為背景，分析了PVPU+IPoE的用戶管理模式，并以Juniper MX 960設(shè)備為例，介紹了該模式的實現(xiàn)方法。

1 扁平化網(wǎng)絡(luò)的用戶管理模式

1.1 用戶接入

以太網(wǎng)沒有永久虛電路(PVC)的概念[5]，無法通過IEEE 802.3的數(shù)據(jù)幀標識鏈路和端口。為此，在扁平化以太網(wǎng)中，采用IEEE 802.1Q及其補充標準IEEE 802.1ad 建立 QinQ 通道[6]。

1)為每個接入層交換機的Access Port分配不同的VLAN ID，并通過Trunk模式的級聯(lián)端口透傳至匯聚層交換機。

2)將匯聚層交換機的相應(yīng)端口設(shè)置為802.1Q VLAN Tunnel(IEEE 802.1ad)，并通過 Trunk 模式的級聯(lián)端口透傳至核心路由器。

801.1Q在以太網(wǎng)數(shù)據(jù)幀的Source MAC和Ether Type字段之間插入 Outer Tag和 Inner Tag字段[7]。其協(xié)議結(jié)構(gòu)如圖1所示。

圖1 IEEE 802.1ad雙重標簽數(shù)據(jù)幀結(jié)構(gòu)

圖1中，Outer Tag和Inner Tag各用12bit的VID描述 VLAN，其組合可以描述 VLAN總數(shù)為224=16777216個，在校園網(wǎng)或城域網(wǎng)范圍內(nèi)完全可以實現(xiàn)PUPV(Per User Per VLAN)的架構(gòu)。PUPV提供了一種以太網(wǎng)環(huán)境下對用戶鏈路即VLAN Tunnel(以下簡稱VT)進行唯一標識辦法，表示如下:

VT=M:N，M，N∈{1，2，…，4096}

M:N即Outer Tag和Inner Tag的組合。這樣，在校園網(wǎng)內(nèi)，每個接入端口都擁有1條唯一VT鏈路，且VT之間二層隔離。路由、QoS、組播等特性均在核心路由器上完成，而VT路徑上的其余設(shè)備僅僅負責(zé)封裝數(shù)據(jù)幀和按照VID插入內(nèi)外層標簽。

可以為用戶設(shè)置基于端口的QinQ或靈活QinQ。靈活QinQ可以基于用戶數(shù)據(jù)流的特征，為不同用戶、不同業(yè)務(wù)、不同優(yōu)先級的報文動態(tài)分配VLAN Tag，以通過對用戶及業(yè)務(wù)的精確標識，來提高網(wǎng)絡(luò)的可靠性、可管理性及良好的可運營性[8]。

PUPV的網(wǎng)絡(luò)架構(gòu)決定了用戶無法采用固定IP的方式而只能采用DHCP方式設(shè)置地址。由于VLAN Tunnel的存在，用戶的DHCP請求和響應(yīng)報文并不會擴散到其它Access端口，這樣就從協(xié)議層面上而非交換機層面上，保證了DHCP的安全性。

由于在路由器上通過VT終結(jié)了二層鏈路，可以通過CoS來區(qū)分網(wǎng)絡(luò)流量，并且提供擁塞管理和擁塞避免。

1.2 子接口地址分配

PUPV模式中，每條VT對應(yīng)1個邏輯接口。如果為每個邏輯接口分配子網(wǎng)地址，則不僅浪費地址空間，還大大增加配置和維護工作量，也損失了網(wǎng)絡(luò)的易用性和靈活性[9]。在實際部署中，邏輯接口借用Loopback接口的IP地址自己的IP Unnumbered地址[10]，因為Loopback接口不會意外關(guān)閉。在DHCP過程中，邏輯接口地址將作為用戶網(wǎng)絡(luò)標識，以決定用戶的IP地址段。這種部署方式有3個特點:

1)多個邏輯接口可以復(fù)用1個IP Unnumbered地址作為接口地址，解決了地址浪費的問題。

2)可以根據(jù)接入端口業(yè)務(wù)類型(如公共機房、辦公室、宿舍等)，靈活指派連接到某個邏輯接口的用戶IP地址段，而不用考慮端口所屬VLAN。使得用戶管理更加精細，管理手段更加豐富。

3)每個用戶對應(yīng)1個動態(tài)接口。動態(tài)接口在底層共用邏輯接口進行數(shù)據(jù)收發(fā)，在高層利用Radius實現(xiàn)獨立的認證、計費，并可為每個用戶綁定不同的ACL策略。

在型號為Juniper MX 960的多業(yè)務(wù)路由器中，用戶動態(tài)接口稱為Demux接口。Demux接口在用戶進行DHCP時，基于動態(tài)配置(Dynamic Profile)自動生成[11]。路由器可以為每個Demux接口生成路由表項。

1.3 用戶認證

校園網(wǎng)環(huán)境下，IP網(wǎng)已從提供簡單的上網(wǎng)業(yè)務(wù)向提供視頻、語音等實時業(yè)務(wù)轉(zhuǎn)變，此外無線網(wǎng)絡(luò)比例也不斷擴大。與傳統(tǒng)的PPPOE認證接入方案相比，IPoE更適合用于長時間、永遠在線、啞終端的新型語音、視頻等實時業(yè)務(wù)及無線接入，是比較理想的選擇[12]。本模型采用IPoE作為認證框架。該框架包括4個角色:

1)客戶端:包括用戶電腦和瀏覽器。

2)BRAS設(shè)備:該設(shè)備作用包括提供路由子接口、與Radius服務(wù)器通信、DHCP中繼、管理用戶會話、計費等。BRAS設(shè)備能理解Radius的報文，并為用戶動態(tài)分配ACL策略。用戶上線后，在認證之前，BRAS為用戶子接口分配初始ACL，允許訪問校園網(wǎng)內(nèi)IP。訪問互聯(lián)網(wǎng)的請求被BRAS重定向到認證系統(tǒng)的Web Portal上。輸入正確用戶信息后，BRAS根據(jù)Radius返回報文，重新為用戶子接口分配ACL，允許其訪問互聯(lián)網(wǎng)，并開始計費。例如在Juniper MX 960中，以上ACL可以預(yù)定義，并通過Dynamic Profiles中的系統(tǒng)變量“$junos-input-filter”和“$junosoutput-filter”動態(tài)指派給用戶 Demux 接口[13]。Demux接口是一種動態(tài)用戶接口，多個Demux接口通過1個邏輯子接口收發(fā)數(shù)據(jù)，并根據(jù)相應(yīng)的Dynamic Profile，面向每個用戶提供網(wǎng)絡(luò)訪問、QoS服務(wù)、組播服務(wù)、訪問控制等。

3)認證系統(tǒng):IPoE認證架構(gòu)中包括Radius服務(wù)器和Web Portal。其中Web Portal自動適配終端類型，調(diào)用特定樣式的認證界面，與用戶安全交互。Radius服務(wù)器接收來自Portal的信息，進行身份識別并將結(jié)果、用戶信息和安全策略反饋給BRAS。

4)DHCP服務(wù)器:用以分配IP地址資源。DHCP服務(wù)器不直接回應(yīng)客戶端的DHCP請求，而是通過BRAS中繼，經(jīng)過認證和過濾后，才將DHCP Discover發(fā)送給DHCP服務(wù)器。這樣會過濾掉其它非法的DHCP中繼，還可以阻擋對DHCP服務(wù)器的DoS攻擊。

角色之間的調(diào)用時序如圖2所示。

圖2 IPoE認證時序

2 PUPV+IPoE模式的實現(xiàn)

本文在基于Juniper MX 960多業(yè)務(wù)路由器的校園網(wǎng)環(huán)境中，實現(xiàn)了上述PVPU+IPoE的用戶管理模式。主要的配置步驟和思路如下:

1)配置動態(tài)用戶所在的物理接口和邏輯接口的靜態(tài)VLAN屬性，以終結(jié)用戶的二層VLAN，并引用在Dynamic Profile中定義的用戶Demux源地址。例如:

2)在Dynamic Profile配置Demux接口屬性。在Dynamic Profile中，使用系統(tǒng)變量或者自定義變量來表示Demux子接口動態(tài)的特征。系統(tǒng)變量代表接收DHCP報文的端口屬性。在創(chuàng)建Demux接口時，這些變量與用戶接口屬性進行關(guān)聯(lián)，從而形成Demux接口[14]。Dynamic Profile是動態(tài)接口的模板，描述了Demux接口所在的邏輯接口、源地址以及ACL規(guī)則。Demux接口定義如下:

部分系統(tǒng)預(yù)定義變量的含義如表1所示。

表1 junos部分系統(tǒng)變量含義

3)配置DHCP轉(zhuǎn)發(fā)選項。需要在Forwarding Option中定義DHCP服務(wù)器地址，NAS設(shè)備認證用戶名，以及使用DHCP服務(wù)的邏輯接口列表。處于列表內(nèi)的邏輯接口會轉(zhuǎn)發(fā)DHCP請求報文，并根據(jù)Dynamic Profile設(shè)置，觸發(fā)生成動態(tài)用戶Demux接口。

DHCP轉(zhuǎn)發(fā)配置如下:

通過在核心路由器上單點查詢邏輯接口，可準確獲取任何用戶的MAC地址、IP地址、接入地點和交換機端口等信息。此外，結(jié)合RADIUS管理軟件，也對用戶上網(wǎng)進行多維度的綁定。這些措施不僅實現(xiàn)了用戶的精確識別和定位，也實現(xiàn)了安全事件的可追溯性和不可抵賴性[15]。

3 結(jié)束語

本模式在筆者所在學(xué)校校園網(wǎng)中實施2年。目前網(wǎng)絡(luò)用戶3000余人，以太網(wǎng)二層安全問題基本得到解決，地址分配靈活有序，認證方式便捷，大大降低了200余臺接入交換機的配置復(fù)雜度。PVPU+IPoE的用戶管理模式提供了基于以太網(wǎng)的虛擬通道，隔離了二層廣播，提高了網(wǎng)絡(luò)安全性，還能夠?qū)崿F(xiàn)用戶的集中管理，包括IPoE認證和策略的集中部署。此外，通過硬件板卡和CoS設(shè)置可以有效保證端到端的服務(wù)質(zhì)量[16]。對運維來說，可以精確管理用戶業(yè)務(wù)，實現(xiàn)身份、端口、地址等多重元素的綁定。

[1] 丁月華，劉佳，陳云海，等.基于MAC地址映射的IP DSLAM端口定位[J].計算機應(yīng)用與軟件，2007，24(9):98-99.

[2] RFC 2205，Resource Reservation Protocol(RSVP):Version 1 Functional Specification[S].

[3] RFC 2210，The Use of RSVP with IETF Integrated Services[S].

[4] RFC 2475，An Architecture for Differentiated Services[S].

[5] 王三海，楊放春.下一代網(wǎng)絡(luò)端到端QoS體系結(jié)構(gòu)的研究[J].北京郵電大學(xué)學(xué)報，2004，27(S1):32-36.

[6] 維基百科.IEEE 802.1Q[EB/OL].http://zh.wikipedia.org/wiki/IEEE_802.1Q，2013-12-30.

[7] IEEE Std 802.1ad-2005，IEEE Standard for Local and Metropolitan Area Networks:Virtual Bridged Local Area Networks Amendment 4:Provider Bridges[S].

[8] 曾菊根，林康.廣電多業(yè)務(wù)運營IP城域網(wǎng)VLAN規(guī)劃[J].有線電視技術(shù)，2012(5):19-24.

[9] 袁虎聲，孫濤，朱世杰.基于PUPV技術(shù)的校園網(wǎng)用戶安全接入[J].廣西大學(xué)學(xué)報(自然科學(xué)版)，2011，36(S1):17-22.

[10] Cisco Systems Inc.Understanding and Configuring the IP Unnumbered Command[DB/OL].http://www.cisco.com/c/en/us/support/docs/ip/hot-standby-router-protocol-hsrp/13786-20.html，2005-10-26.

[11] Juniper Networks.Subscriber Management and Services Overview[EB/OL].http://www.juniper.net/techpubs/en_US/junos11.4/information-products/pathway-pages/subscriber-access/managing-access-networks/subscriber-management-managing-access-networks.html，2011-11-14.

[12] 王云芳，趙霞，任念群.IPoE部署優(yōu)化方案[J].電信工程技術(shù)與標準化，2010，23(8):70-73.

[13] Juniper Networks.Junos Predefined Variables That Correspond to RADIUS Attributes and VSAs[DB/OL].http://www.juniper.net/techpubs/en_US/junos10.3/topics/reference/general/subscriber-management-predefined-variables-corresponding-radius.html，2010-07-13.

[14] Juniper Networks.Dynamic Variables Overview[DB/OL].http://www.juniper.net/techpubs/en_US/junos10.3/topics/concept/subscriber-management-dynamic-variables-overview.html，2010-07-12.

[15] 林曉春.福州電信寬帶用戶精確定位及精確綁定的研究與實現(xiàn)[D].北京:北京郵電大學(xué)，2007.

[16] Juniper Networks.Class of Service Configuration Guide[DB/OL].http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/config-guide-cos/config-guide-cos.pdf，2011-11-14.