引言： 某校與電信、聯(lián)通、移動三家運營商合作，以市場化運營方式實現(xiàn)校方和運營商的雙贏，同時為解決長期以來各個宿舍區(qū)域?qū)W生只能選擇某一個運營商網(wǎng)絡(luò)的困境，在不新增加線路的情況下，利用原有各個運營商的線路，根據(jù)業(yè)務(wù)需求，采用某公司運營商SAM方案來實現(xiàn)校園SAM與運營商Radius系統(tǒng)對接，實現(xiàn)學(xué)校與運營商共同運營校園網(wǎng)。

方案概述

1.目標(biāo)

基于三家運營商（電信、聯(lián)通、移動）共同運營校園網(wǎng)的業(yè)務(wù)需求，以及學(xué)校對整個校園網(wǎng)進行統(tǒng)一運營、管理的需求，需要實現(xiàn)運營商賬號的開通、認(rèn)證、計費都在運營商的業(yè)務(wù)系統(tǒng)上完成，然后在校園SAM系統(tǒng)上完成運營商賬號與校園網(wǎng)賬號的綁定，既運營商寬帶賬號統(tǒng)一管理，防止私開寬帶賬號和帶寬不一致的問題。為達到上述目標(biāo)，將學(xué)校的SAM認(rèn)證計費管理系統(tǒng)和運營商Radius系統(tǒng)進行對接。

2.相關(guān)協(xié)議

如圖1所示，校園網(wǎng)SAM和運營商SAM之間使用radius-proxy進行交互，運營商SAM和運營商Radius之間也使用radius-proxy進行交互。

圖1 協(xié)議交互圖

Radius-proxy報文，本質(zhì)上還是Radius報文，但有一定區(qū)別。

詳細設(shè)計及實現(xiàn)

1.總體需求

總體需求如下：運營商保留經(jīng)營權(quán)，自主掌控開戶、計費、收費、銷戶等運營關(guān)鍵環(huán)節(jié)，保障運營收入。學(xué)校要求校園網(wǎng)實現(xiàn)統(tǒng)一平臺，即全?！敖y(tǒng)一賬號、統(tǒng)一運營、統(tǒng)一管理”。學(xué)校要求校園網(wǎng)可自主管控，配合規(guī)范教學(xué)秩序，針對時間段、接入?yún)^(qū)域、用戶身份類型等方面信息對用戶進行精細化管理。

表1 擬用設(shè)備

2.拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)出口拓?fù)鋱D如圖2。拓?fù)湔f明：

（1）核心N18014上配置3條默認(rèn)路由指向3臺RSR7716-X路由器，實現(xiàn)路由負(fù)載均衡。

（2）3臺 RSR7716-X設(shè)備都配置默認(rèn)路由指向辦公網(wǎng)出口NPE60E設(shè)備，每臺RSR7716-X設(shè)備都為3家運營商鏈路配置用戶路由（基于源IP的動態(tài)策略路由）。

（3）辦公網(wǎng)用戶數(shù)據(jù)和服務(wù)器數(shù)據(jù)將從NPE60E設(shè)備到達外網(wǎng)。

圖1 網(wǎng)絡(luò)出口拓?fù)鋱D

（4）運營商用戶在RSR7716-X上匹配用戶路由，使用戶數(shù)據(jù)從對應(yīng)的運營商鏈路到外網(wǎng)。

系統(tǒng)對接拓?fù)鋱D如圖3。

在運營商側(cè)或?qū)W校側(cè)部署運營商版SAM，分別與運營商Radius、校園網(wǎng)SAM進行對接，實現(xiàn)學(xué)生開戶的運營商賬號與校園網(wǎng)賬號關(guān)聯(lián)統(tǒng)一，為學(xué)校保留校園網(wǎng)運營管理權(quán)力；實現(xiàn)學(xué)校只認(rèn)證校園網(wǎng)賬號，關(guān)聯(lián)運營商賬號的登錄均轉(zhuǎn)發(fā)至運營商Radius進行認(rèn)證計費和套餐策略下發(fā)，保障運營商自有的運營模式不受沖擊。

校園網(wǎng)出口部署RSR7716-X路由器與校園SAM聯(lián)動，實現(xiàn)同一LAN或同一SSID下多運營商賬號登錄后出口流量的正確選路(電信賬號走電信出口，聯(lián)通賬號走聯(lián)通出口，移動賬號走移動出口，校園網(wǎng)賬號走辦公網(wǎng)出口)。同時，實現(xiàn)基于用戶的限速與基于用戶的流量記錄，運營商可開通一系列固定帶寬套餐，并為流量套餐采集流量數(shù)據(jù)。

圖3 系統(tǒng)對接拓?fù)鋱D

網(wǎng)絡(luò)方案設(shè)計及實現(xiàn)

1.運營商SAM部署方式

本例中3套運營商SAM系統(tǒng)都部署在學(xué)校網(wǎng)絡(luò)中心機房，分別將運營商SAM服務(wù)器私網(wǎng)IP地址映射成對應(yīng)運營商的出口鏈路公網(wǎng)IP地址，運營商SAM系統(tǒng)與運營Radius系統(tǒng)之間交互的radius-proxy報文通過公網(wǎng)鏈路進行傳輸。

接著，在校園SAM系統(tǒng)配置Radius上傳屬性定制規(guī)則――認(rèn)證和記賬報文上傳NAS設(shè)備公網(wǎng)IP地址（即運營商SAM服務(wù)器映射的公網(wǎng)IP地址）。

2.運營商SAM系統(tǒng)與運營商Radius系統(tǒng)對接實現(xiàn)

（1）運營商Radius系統(tǒng)將運營商SAM系統(tǒng)當(dāng)作一臺BRAS設(shè)備添加，運營商Radius系統(tǒng)接收并處理運營商SAM系統(tǒng)發(fā)送的Radius Proxy報文即可。

（2）在校園網(wǎng)SAM上添加運營商SAM和運營商Radius的對接參數(shù)，及在運營商SAM上添加校園網(wǎng)SAM和運營商radius-server信息。

3.路由選路實現(xiàn)

校園SAM系統(tǒng)與出口RSR7716-X路由器聯(lián)動，校園SAM將用戶上線信息（含運營商屬性）同步給RSR7716-X設(shè)備，不同運營商的用戶在RSR7716-X設(shè)備上歸屬于不同的user-group。RSR7716-X設(shè)備上user-group可以被ACL調(diào)用，ACL再關(guān)聯(lián)策略路由，實現(xiàn)用戶訪問外網(wǎng)的數(shù)據(jù)流轉(zhuǎn)發(fā)至相應(yīng)的運營商鏈路，即基于用戶運營商屬性進行選路。

4.運營商系統(tǒng)下傳用戶帶寬屬性設(shè)計

運營商Radius系統(tǒng)將運營商SAM系統(tǒng)當(dāng)作一臺BRAS設(shè)備，用戶認(rèn)證成功后，運營商Radius系統(tǒng)將用戶帶寬值填充在Radius報文的廠商自定義屬性段中。校園SAM系統(tǒng)提取該屬性值轉(zhuǎn)換為RSR7716-X路由器出口聯(lián)動策略名（user-group），針對不同運營商、不同的帶寬值配置相應(yīng)的user-group；RSR7716-X設(shè)備上usergroup可以被ACL調(diào)用，ACL再被限速策略調(diào)用，從而實現(xiàn)運營商Radius系統(tǒng)下傳帶寬屬性的對接需求。

圖4 運行效果圖

5.DNS域名解析實現(xiàn)

本例中全網(wǎng)用戶IP地址采用DHCP方式獲取，DHCP下發(fā)的DNS服務(wù)器首選地址為114.114.114.144、備選服務(wù)器地址為8.8.8.8。然而，全網(wǎng)分布著電信、移動、聯(lián)通三家運營商的用戶，如果用戶采用獲取的DNS服務(wù)器地址進行公網(wǎng)域名解析，必然會出現(xiàn)部分域名無法解析，或者跨運營商訪問的情況。如果用戶采用獲取的DNS服務(wù)器地址進行校內(nèi)域名解釋，必然會出現(xiàn)部分域名無法解析，或者解析為公網(wǎng)IP的情況（最佳解析結(jié)果應(yīng)該為校內(nèi)私網(wǎng)IP）。為解決該問題，在出口RSR7716-X設(shè)備上啟用DNS正向代理和DNS重定向功能。

DNS正向代理原理

1.RSR7716-X設(shè)備截取用戶解析公網(wǎng)域名的DNS請求報文，修改該報文中的目的DNS服務(wù)器IP地址為對應(yīng)出口運營商線路上配置的正確的DNS地址，并把報文從該出口轉(zhuǎn)發(fā)。

2.相應(yīng)的DNS服務(wù)器對請求作出響應(yīng)后，RSR7716-X會把相應(yīng)的響應(yīng)報文源IP替換為用戶的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障不同運營用戶解析公網(wǎng)域名時采用的本運營商的DNS服務(wù)器的解析結(jié)果。

DNS重定向原理

1.RSR7716-X設(shè)備截取用戶解析校內(nèi)域名的DNS請求報文，修改該報文中的目的DNS服務(wù)器IP地址為校內(nèi)DNS服務(wù)器IP地址，源IP替換為RSR7716-X設(shè)備內(nèi)網(wǎng)口IP，然把修改后的報文從內(nèi)網(wǎng)口轉(zhuǎn)發(fā)給內(nèi)DNS服務(wù)器。

2.內(nèi)網(wǎng)的DNS服務(wù)器對請求作出響應(yīng)后，RSR7716-X會把相應(yīng)的響應(yīng)報文源IP替換為用戶的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障校內(nèi)域名解析為校內(nèi)私網(wǎng)IP。

運行效果

系統(tǒng)開通運行后，多個用戶可在同一個寢室同一條線路上選擇不同運營商網(wǎng)絡(luò)，體驗良好，平均在線用戶達到2萬余人。