引言： 某校與電信、聯(lián)通、移動三家運(yùn)營商合作，以市場化運(yùn)營方式實(shí)現(xiàn)校方和運(yùn)營商的雙贏，同時為解決長期以來各個宿舍區(qū)域?qū)W生只能選擇某一個運(yùn)營商網(wǎng)絡(luò)的困境，在不新增加線路的情況下，利用原有各個運(yùn)營商的線路，根據(jù)業(yè)務(wù)需求，采用某公司運(yùn)營商SAM方案來實(shí)現(xiàn)校園SAM與運(yùn)營商Radius系統(tǒng)對接，實(shí)現(xiàn)學(xué)校與運(yùn)營商共同運(yùn)營校園網(wǎng)。

方案概述

1.目標(biāo)

基于三家運(yùn)營商（電信、聯(lián)通、移動）共同運(yùn)營校園網(wǎng)的業(yè)務(wù)需求，以及學(xué)校對整個校園網(wǎng)進(jìn)行統(tǒng)一運(yùn)營、管理的需求，需要實(shí)現(xiàn)運(yùn)營商賬號的開通、認(rèn)證、計費(fèi)都在運(yùn)營商的業(yè)務(wù)系統(tǒng)上完成，然后在校園SAM系統(tǒng)上完成運(yùn)營商賬號與校園網(wǎng)賬號的綁定，既運(yùn)營商寬帶賬號統(tǒng)一管理，防止私開寬帶賬號和帶寬不一致的問題。為達(dá)到上述目標(biāo)，將學(xué)校的SAM認(rèn)證計費(fèi)管理系統(tǒng)和運(yùn)營商Radius系統(tǒng)進(jìn)行對接。

2.相關(guān)協(xié)議

如圖1所示，校園網(wǎng)SAM和運(yùn)營商SAM之間使用radius-proxy進(jìn)行交互，運(yùn)營商SAM和運(yùn)營商Radius之間也使用radius-proxy進(jìn)行交互。

圖1 協(xié)議交互圖

Radius-proxy報文，本質(zhì)上還是Radius報文，但有一定區(qū)別。

詳細(xì)設(shè)計及實(shí)現(xiàn)

1.總體需求

總體需求如下：運(yùn)營商保留經(jīng)營權(quán)，自主掌控開戶、計費(fèi)、收費(fèi)、銷戶等運(yùn)營關(guān)鍵環(huán)節(jié)，保障運(yùn)營收入。學(xué)校要求校園網(wǎng)實(shí)現(xiàn)統(tǒng)一平臺，即全?！敖y(tǒng)一賬號、統(tǒng)一運(yùn)營、統(tǒng)一管理”。學(xué)校要求校園網(wǎng)可自主管控，配合規(guī)范教學(xué)秩序，針對時間段、接入?yún)^(qū)域、用戶身份類型等方面信息對用戶進(jìn)行精細(xì)化管理。

表1 擬用設(shè)備

2.拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)出口拓?fù)鋱D如圖2。拓?fù)湔f明：

（1）核心N18014上配置3條默認(rèn)路由指向3臺RSR7716-X路由器，實(shí)現(xiàn)路由負(fù)載均衡。

（2）3臺 RSR7716-X設(shè)備都配置默認(rèn)路由指向辦公網(wǎng)出口NPE60E設(shè)備，每臺RSR7716-X設(shè)備都為3家運(yùn)營商鏈路配置用戶路由（基于源IP的動態(tài)策略路由）。

（3）辦公網(wǎng)用戶數(shù)據(jù)和服務(wù)器數(shù)據(jù)將從NPE60E設(shè)備到達(dá)外網(wǎng)。

圖1 網(wǎng)絡(luò)出口拓?fù)鋱D

（4）運(yùn)營商用戶在RSR7716-X上匹配用戶路由，使用戶數(shù)據(jù)從對應(yīng)的運(yùn)營商鏈路到外網(wǎng)。

系統(tǒng)對接拓?fù)鋱D如圖3。

在運(yùn)營商側(cè)或?qū)W校側(cè)部署運(yùn)營商版SAM，分別與運(yùn)營商Radius、校園網(wǎng)SAM進(jìn)行對接，實(shí)現(xiàn)學(xué)生開戶的運(yùn)營商賬號與校園網(wǎng)賬號關(guān)聯(lián)統(tǒng)一，為學(xué)校保留校園網(wǎng)運(yùn)營管理權(quán)力；實(shí)現(xiàn)學(xué)校只認(rèn)證校園網(wǎng)賬號，關(guān)聯(lián)運(yùn)營商賬號的登錄均轉(zhuǎn)發(fā)至運(yùn)營商Radius進(jìn)行認(rèn)證計費(fèi)和套餐策略下發(fā)，保障運(yùn)營商自有的運(yùn)營模式不受沖擊。

校園網(wǎng)出口部署RSR7716-X路由器與校園SAM聯(lián)動，實(shí)現(xiàn)同一LAN或同一SSID下多運(yùn)營商賬號登錄后出口流量的正確選路(電信賬號走電信出口，聯(lián)通賬號走聯(lián)通出口，移動賬號走移動出口，校園網(wǎng)賬號走辦公網(wǎng)出口)。同時，實(shí)現(xiàn)基于用戶的限速與基于用戶的流量記錄，運(yùn)營商可開通一系列固定帶寬套餐，并為流量套餐采集流量數(shù)據(jù)。

圖3 系統(tǒng)對接拓?fù)鋱D

網(wǎng)絡(luò)方案設(shè)計及實(shí)現(xiàn)

1.運(yùn)營商SAM部署方式

本例中3套運(yùn)營商SAM系統(tǒng)都部署在學(xué)校網(wǎng)絡(luò)中心機(jī)房，分別將運(yùn)營商SAM服務(wù)器私網(wǎng)IP地址映射成對應(yīng)運(yùn)營商的出口鏈路公網(wǎng)IP地址，運(yùn)營商SAM系統(tǒng)與運(yùn)營Radius系統(tǒng)之間交互的radius-proxy報文通過公網(wǎng)鏈路進(jìn)行傳輸。

接著，在校園SAM系統(tǒng)配置Radius上傳屬性定制規(guī)則――認(rèn)證和記賬報文上傳NAS設(shè)備公網(wǎng)IP地址（即運(yùn)營商SAM服務(wù)器映射的公網(wǎng)IP地址）。

2.運(yùn)營商SAM系統(tǒng)與運(yùn)營商Radius系統(tǒng)對接實(shí)現(xiàn)

（1）運(yùn)營商Radius系統(tǒng)將運(yùn)營商SAM系統(tǒng)當(dāng)作一臺BRAS設(shè)備添加，運(yùn)營商Radius系統(tǒng)接收并處理運(yùn)營商SAM系統(tǒng)發(fā)送的Radius Proxy報文即可。

（2）在校園網(wǎng)SAM上添加運(yùn)營商SAM和運(yùn)營商Radius的對接參數(shù)，及在運(yùn)營商SAM上添加校園網(wǎng)SAM和運(yùn)營商radius-server信息。

3.路由選路實(shí)現(xiàn)

校園SAM系統(tǒng)與出口RSR7716-X路由器聯(lián)動，校園SAM將用戶上線信息（含運(yùn)營商屬性）同步給RSR7716-X設(shè)備，不同運(yùn)營商的用戶在RSR7716-X設(shè)備上歸屬于不同的user-group。RSR7716-X設(shè)備上user-group可以被ACL調(diào)用，ACL再關(guān)聯(lián)策略路由，實(shí)現(xiàn)用戶訪問外網(wǎng)的數(shù)據(jù)流轉(zhuǎn)發(fā)至相應(yīng)的運(yùn)營商鏈路，即基于用戶運(yùn)營商屬性進(jìn)行選路。

4.運(yùn)營商系統(tǒng)下傳用戶帶寬屬性設(shè)計

運(yùn)營商Radius系統(tǒng)將運(yùn)營商SAM系統(tǒng)當(dāng)作一臺BRAS設(shè)備，用戶認(rèn)證成功后，運(yùn)營商Radius系統(tǒng)將用戶帶寬值填充在Radius報文的廠商自定義屬性段中。校園SAM系統(tǒng)提取該屬性值轉(zhuǎn)換為RSR7716-X路由器出口聯(lián)動策略名（user-group），針對不同運(yùn)營商、不同的帶寬值配置相應(yīng)的user-group；RSR7716-X設(shè)備上usergroup可以被ACL調(diào)用，ACL再被限速策略調(diào)用，從而實(shí)現(xiàn)運(yùn)營商Radius系統(tǒng)下傳帶寬屬性的對接需求。

圖4 運(yùn)行效果圖

5.DNS域名解析實(shí)現(xiàn)

本例中全網(wǎng)用戶IP地址采用DHCP方式獲取，DHCP下發(fā)的DNS服務(wù)器首選地址為114.114.114.144、備選服務(wù)器地址為8.8.8.8。然而，全網(wǎng)分布著電信、移動、聯(lián)通三家運(yùn)營商的用戶，如果用戶采用獲取的DNS服務(wù)器地址進(jìn)行公網(wǎng)域名解析，必然會出現(xiàn)部分域名無法解析，或者跨運(yùn)營商訪問的情況。如果用戶采用獲取的DNS服務(wù)器地址進(jìn)行校內(nèi)域名解釋，必然會出現(xiàn)部分域名無法解析，或者解析為公網(wǎng)IP的情況（最佳解析結(jié)果應(yīng)該為校內(nèi)私網(wǎng)IP）。為解決該問題，在出口RSR7716-X設(shè)備上啟用DNS正向代理和DNS重定向功能。

DNS正向代理原理

1.RSR7716-X設(shè)備截取用戶解析公網(wǎng)域名的DNS請求報文，修改該報文中的目的DNS服務(wù)器IP地址為對應(yīng)出口運(yùn)營商線路上配置的正確的DNS地址，并把報文從該出口轉(zhuǎn)發(fā)。

2.相應(yīng)的DNS服務(wù)器對請求作出響應(yīng)后，RSR7716-X會把相應(yīng)的響應(yīng)報文源IP替換為用戶的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障不同運(yùn)營用戶解析公網(wǎng)域名時采用的本運(yùn)營商的DNS服務(wù)器的解析結(jié)果。

DNS重定向原理

1.RSR7716-X設(shè)備截取用戶解析校內(nèi)域名的DNS請求報文，修改該報文中的目的DNS服務(wù)器IP地址為校內(nèi)DNS服務(wù)器IP地址，源IP替換為RSR7716-X設(shè)備內(nèi)網(wǎng)口IP，然把修改后的報文從內(nèi)網(wǎng)口轉(zhuǎn)發(fā)給內(nèi)DNS服務(wù)器。

2.內(nèi)網(wǎng)的DNS服務(wù)器對請求作出響應(yīng)后，RSR7716-X會把相應(yīng)的響應(yīng)報文源IP替換為用戶的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障校內(nèi)域名解析為校內(nèi)私網(wǎng)IP。

運(yùn)行效果

系統(tǒng)開通運(yùn)行后，多個用戶可在同一個寢室同一條線路上選擇不同運(yùn)營商網(wǎng)絡(luò)，體驗(yàn)良好，平均在線用戶達(dá)到2萬余人。