王翱翔

摘 要：在校園網(wǎng)有線寬帶發(fā)展的過程中，越來越多的校方提出了個(gè)性化認(rèn)證需求。本文列舉了3個(gè)常見的個(gè)性化認(rèn)證需求（多運(yùn)營(yíng)商共享接入網(wǎng)場(chǎng)景下PPPoE一次認(rèn)證需求、二次認(rèn)證需求以及單運(yùn)營(yíng)商接入場(chǎng)景下一次認(rèn)證實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問需求），并重點(diǎn)介紹了如何綜合應(yīng)用PPPoE、L2TP以及策略路由等技術(shù)制定相應(yīng)解決方案以滿足上述個(gè)性化需求。

關(guān)鍵詞：校園網(wǎng) PPPoE L2TP 策略路由

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）10（b）-0095-02

隨著信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及，有線寬帶接入目前已成為了每個(gè)高校的必然需求。在校園網(wǎng)有線寬帶發(fā)展的初期，校方對(duì)于校園網(wǎng)的需求通常簡(jiǎn)單地局限在“能上網(wǎng)”即可，需求模型較為單一；但隨著校園網(wǎng)有線寬帶的普及，以及日常業(yè)務(wù)模型不斷復(fù)雜，越來越多的校方提出了個(gè)性化認(rèn)證需求。

1 多運(yùn)營(yíng)商共享接入網(wǎng)場(chǎng)景下PPPoE一次認(rèn)證

1.1 需求描述

前期校方已經(jīng)通過某家運(yùn)營(yíng)商代建的方式建設(shè)了一張校園有線寬帶網(wǎng)絡(luò)，采用PPPoE方式進(jìn)行撥號(hào)認(rèn)證，認(rèn)證通過后可進(jìn)行公網(wǎng)訪問。

后期，為了讓學(xué)生有更多的自主選擇權(quán)利，校方擬引入多家運(yùn)營(yíng)商；考慮到接入網(wǎng)的建設(shè)及運(yùn)營(yíng)成本，多家運(yùn)營(yíng)商需共享原接入網(wǎng)（即各運(yùn)營(yíng)商無需重新布線，用戶使用原接入網(wǎng)）；鑒于PPPoE撥號(hào)較好的安全性、兼容性，以及用戶使用習(xí)慣的延續(xù)性，要求撥號(hào)方式保持不變。上述需求可以歸納為多運(yùn)營(yíng)商共享接入網(wǎng)場(chǎng)景下PPPoE一次認(rèn)證需求。

1.2 PPPoE撥號(hào)認(rèn)證簡(jiǎn)介

PPP協(xié)議在撥號(hào)上網(wǎng)方面具有豐富的訪問控制、計(jì)費(fèi)功能，同時(shí)具備良好的可擴(kuò)展性和優(yōu)秀的管理機(jī)制；另一方面，以太網(wǎng)技術(shù)已經(jīng)成為了最為流行的局域網(wǎng)技術(shù)。PPPoE協(xié)議（Point to Point Protocol over Ethernet）將PPP協(xié)議和以太網(wǎng)協(xié)議兩者進(jìn)行了緊密地銜接，成為了運(yùn)營(yíng)商廣為采用的撥號(hào)認(rèn)證協(xié)議[1]。

PPPoE使用Client/Server模型，分為Discovery、Session和Terminate3個(gè)階段。其中Discovery階段主要用來建立主機(jī)端與服務(wù)器端的會(huì)話連接，常規(guī)情況下由PADI、PADO、PADR、PADS構(gòu)成[2]：（1）PPPoE Client廣播發(fā)送一個(gè)PADI報(bào)文，在此報(bào)文中包含PPPoE Client想要得到的服務(wù)類型信息。（2）所有的PPPoE Server收到PADI報(bào)文之后，將其中請(qǐng)求的服務(wù)與自己能夠提供的服務(wù)進(jìn)行比較，如果可以提供，則單播回復(fù)一個(gè)PADO報(bào)文。（3）根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，PPPoE Client可能收到多個(gè)PPPoE Server發(fā)送的PADO報(bào)文，PPPoE Client選擇最先收到的PADO報(bào)文對(duì)應(yīng)的PPPoE Server做為自己的PPPoE Server，并單播發(fā)送一個(gè)PADR報(bào)文。（4）PPPoE Server產(chǎn)生一個(gè)唯一的會(huì)話ID（SESSION ID），標(biāo)識(shí)和PPPoE Client的這個(gè)會(huì)話，通過發(fā)送一個(gè)PADS報(bào)文把會(huì)話ID發(fā)送給PPPoE Client，如果沒有錯(cuò)誤，會(huì)話建立后便進(jìn)入PPPoE Session階段。

1.3 解決方案

1.3.1 組網(wǎng)設(shè)計(jì)

該場(chǎng)景下的組網(wǎng)如圖所示：各家新接入的運(yùn)營(yíng)商在局端BRAS設(shè)備和校園匯聚交換機(jī)之間搭建光路，帶寬根據(jù)實(shí)際業(yè)務(wù)需求而定。為保證鏈路可靠性，建議進(jìn)行鏈路匯聚，啟用LACP協(xié)議。

1.3.2 撥號(hào)軟件設(shè)計(jì)

為實(shí)現(xiàn)多運(yùn)營(yíng)商在共享接入網(wǎng)場(chǎng)景下同時(shí)使用PPPoE撥號(hào)認(rèn)證，必須修改前文中所述的PPPoE Discovery階段常規(guī)流程：在PADI和PADO報(bào)文中設(shè)置相關(guān)參數(shù)，便于PPPoE Client和Server相互識(shí)別，確保PPPoE Client能夠和指定的PPPoE Server進(jìn)行通信，建立起會(huì)話。

為此，需要開發(fā)一款特定的撥號(hào)客戶端。該撥號(hào)客戶端軟件除了普通PPPoE撥號(hào)功能外，還可以設(shè)置Service NAME字段，該字段用于在PPPoE的PADI報(bào)文中攜帶Service-NAME參數(shù)，與BRAS設(shè)備上設(shè)置的AC-NAME參數(shù)進(jìn)行匹配。如果BRAS設(shè)備判斷客戶端發(fā)送的PADI報(bào)文中的Service-NAME與自身配置的AC-NAME參數(shù)一致，則向終端回復(fù)PADO；如果不一致，則回復(fù)PADT終止PPPoE協(xié)商。

1.3.3 業(yè)務(wù)流程

（1）校園匯聚設(shè)備與不同運(yùn)營(yíng)商局端BRAS互聯(lián)。（2）運(yùn)營(yíng)商局端BRAS創(chuàng)建PPPoE局?jǐn)?shù)據(jù)，特別要注意配置AC-NAME參數(shù)。（3）用戶電腦安裝撥號(hào)軟件客戶端。用戶啟動(dòng)客戶端軟件后，填寫運(yùn)營(yíng)商分配的用戶名和密碼，選擇運(yùn)營(yíng)商后點(diǎn)擊登錄按鈕。（4）客戶端發(fā)送PPPoE PADI請(qǐng)求，請(qǐng)求中攜帶Service-NAME參數(shù)（依據(jù)第3步中客戶選擇的運(yùn)營(yíng)商）。（5）BRAS收到校驗(yàn)PADI報(bào)文后進(jìn)行解析。如報(bào)文中Service-NAME參數(shù)與自身配置的參數(shù)一致，則校驗(yàn)通過，回復(fù)PADO報(bào)文；客戶端收到PADO報(bào)文后，檢查里面的AC-Name參數(shù)與自身配置是否一致，如果一致，繼續(xù)發(fā)送PADR報(bào)文，進(jìn)行接下來的PPPoE Discovery過程。（6）運(yùn)營(yíng)商BRAS聯(lián)動(dòng)AAA系統(tǒng)進(jìn)行用戶認(rèn)證，通過后即可訪問公網(wǎng)。

2 多運(yùn)營(yíng)商共享接入網(wǎng)場(chǎng)景下二次認(rèn)證

2.1 需求描述

部分高校為了自主掌握學(xué)生內(nèi)網(wǎng)認(rèn)證、計(jì)費(fèi)信息，要求學(xué)生在撥號(hào)接入運(yùn)營(yíng)商出口之前，先通過PPPoE進(jìn)行內(nèi)網(wǎng)認(rèn)證。內(nèi)網(wǎng)認(rèn)證通過后，方可采用L2TP進(jìn)行運(yùn)營(yíng)商網(wǎng)絡(luò)認(rèn)證。

2.2 L2TP撥號(hào)協(xié)議簡(jiǎn)介

L2TP（Layer 2 Tunnel Protocol）是由IETF起草，微軟，思科等多家公司共同參與制定的第二層隧道協(xié)議。與PPPoE類似，L2TP一般也采用Client/Server模型，由L2TP訪問集中器LAC和L2TP網(wǎng)絡(luò)服務(wù)器LNS這2個(gè)基本構(gòu)件組成。其中，LAC用于發(fā)起呼叫和建立隧道，將撥號(hào)用戶的PPP幀進(jìn)行封裝后傳送至LNS；LNS為隧道終點(diǎn)，去掉封裝包頭，去掉PPP幀頭，獲得網(wǎng)絡(luò)層數(shù)據(jù)包[3]。隧道的建立是一個(gè)3次握手的過程，首先由LAC發(fā)起隧道建立請(qǐng)求SCCRQ，LNS收到請(qǐng)求后進(jìn)行應(yīng)答SCCRP，LAC在收到應(yīng)答后返回確認(rèn)SCCCN，隧道建立；會(huì)話建立的過程與隧道類似：首先由LAC發(fā)起會(huì)話建立請(qǐng)求ICRQ，LNS收到請(qǐng)求后返回應(yīng)答ICRP，LAC收到應(yīng)答后返回確認(rèn)ICCN，會(huì)話建立[4]。endprint

2.3 解決方案

2.3.1 組網(wǎng)設(shè)計(jì)

各家新接入的運(yùn)營(yíng)商在局端BRAS設(shè)備和校園BRAS之間搭建光路，帶寬根據(jù)實(shí)際業(yè)務(wù)需求而定。為保證鏈路可靠性，建議進(jìn)行鏈路匯聚，啟用LACP協(xié)議；校園BRAS設(shè)備和校方認(rèn)證系統(tǒng)使用千兆光路互聯(lián)。

2.3.2 業(yè)務(wù)實(shí)現(xiàn)流程

（1）校園BRAS與運(yùn)營(yíng)商局端BRAS及內(nèi)網(wǎng)認(rèn)證平臺(tái)互聯(lián)。（2）校園BRAS針對(duì)不同運(yùn)營(yíng)商創(chuàng)建相應(yīng)的用戶域，將校園BRAS與不同運(yùn)營(yíng)商互聯(lián)的接口綁定至對(duì)應(yīng)的域中；創(chuàng)建其他PPPoE相關(guān)局?jǐn)?shù)據(jù)。（3）校園BRAS為不同的域分配特定的IP地址池資源，打通地址池中IP與認(rèn)證平臺(tái)的路由，使得地址池中的IP至對(duì)應(yīng)運(yùn)營(yíng)商LNS路由可達(dá)；運(yùn)營(yíng)商BRAS創(chuàng)建L2TP相關(guān)局?jǐn)?shù)據(jù)，以及至校園BRAS用戶地址池的回程路由。（4）用戶使用校方分配的賬號(hào)/密碼進(jìn)行PPPoE撥號(hào)，校園BRAS聯(lián)動(dòng)內(nèi)網(wǎng)認(rèn)證平臺(tái)進(jìn)行用戶認(rèn)證。認(rèn)證通過后，用戶從所在域中獲取特定IP地址，并且至對(duì)應(yīng)運(yùn)營(yíng)商LNS路由可達(dá)。（5）用戶使用對(duì)應(yīng)運(yùn)營(yíng)商分配的賬號(hào)/密碼進(jìn)行L2TP撥號(hào)，運(yùn)營(yíng)商BRAS聯(lián)動(dòng)AAA系統(tǒng)進(jìn)行用戶認(rèn)證，通過后即可訪問公網(wǎng)。

3 單運(yùn)營(yíng)商接入場(chǎng)景下一次認(rèn)證實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問

3.1 需求描述

目前，部分校園在學(xué)生宿舍內(nèi)同時(shí)開通了公網(wǎng)及校園內(nèi)網(wǎng)。為了對(duì)學(xué)生上網(wǎng)進(jìn)行認(rèn)證審計(jì)，同時(shí)提升學(xué)生用戶使用感知，要求學(xué)生進(jìn)行一次認(rèn)證后便可同時(shí)訪問外網(wǎng)及校園內(nèi)網(wǎng)。

3.2 策略路由

策略路由是一種數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活。通常情況下，路由器根據(jù)所接收數(shù)據(jù)包的目的地址查找路由表，進(jìn)而做出路由轉(zhuǎn)發(fā)決策，路由表決定了一個(gè)數(shù)據(jù)包的下一跳。

但特殊場(chǎng)景下，如果希望某些數(shù)據(jù)包通過其他路徑，而非根據(jù)路由表路徑進(jìn)行轉(zhuǎn)發(fā)時(shí)，就需要使用策略路由。在此場(chǎng)景下，路由器轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)報(bào)文時(shí)，首先根據(jù)配置的規(guī)則對(duì)報(bào)文進(jìn)行過濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)。配置的規(guī)則可以基于源/目IP地址，可以基于訪問控制列表（ACL），可以基于報(bào)文長(zhǎng)度等，使用起來極為靈活[5]。

正是因?yàn)檫@個(gè)靈活性，使得策略路由成為了傳統(tǒng)IP路由機(jī)制的有效增強(qiáng)。

3.3 解決方案

運(yùn)營(yíng)商局端BRAS設(shè)備分別與校園網(wǎng)匯聚設(shè)備和校園網(wǎng)內(nèi)網(wǎng)出口設(shè)備建立物理光路，帶寬根據(jù)實(shí)際需求而定。為保證鏈路可靠性，建議進(jìn)行鏈路匯聚，啟用LACP協(xié)議。

每個(gè)用戶在物理上具備公網(wǎng)、內(nèi)網(wǎng)兩個(gè)出口。

4 結(jié)語

在筆者參與的65所高?；ヂ?lián)網(wǎng)建設(shè)過程中，發(fā)現(xiàn)每個(gè)學(xué)校對(duì)于其校園有線寬帶網(wǎng)絡(luò)均有其特定的個(gè)性化需求，但大的個(gè)性化需求不外乎前文所述的3類。綜合運(yùn)用PPPoE、L2TP、策略路由技術(shù)可以滿足絕大部分應(yīng)用場(chǎng)景。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].6版.北京：電子工業(yè)出版社，2013.

[2] L Mamakos，K Lidl，J Evarts，et al.A Method for Transmitting PPP Over Ethernet（PPPoE）[Z]. RFC 2516，1999.

[3] 佘堃，譚興烈，周明天.L2TP虛擬專用網(wǎng)[J].電子科技大學(xué)學(xué)報(bào)，2002（31）：383-386.

[4] W Townsley，A Valencia，A Rubens，et al.Layer 2 Tunneling Protocol（L2TP）[Z].RFC2661，1999.

[5] 李金平，高東杰.策略路由技術(shù)[Z].計(jì)算機(jī)科學(xué)，2002，29（4）：84-85.endprint