四川 黃生海

隨著光網(wǎng)的普遍覆蓋，類似光網(wǎng)PON網(wǎng)絡(luò)的隔離機(jī)制比如局域網(wǎng)內(nèi)每PC 機(jī)直接單獨(dú)1個(gè)光貓PPPOE 家庭式撥號(hào)直接上網(wǎng)方式逐漸盛行。這種架構(gòu)客戶也很滿意，因?yàn)椴挥迷倩ň蜁r(shí)間、成本在網(wǎng)絡(luò)維護(hù)上了，只管使用，其他交給運(yùn)營(yíng)商（就只有皮線光纜線路問(wèn)題）！但是這種情況下問(wèn)題又來(lái)了，業(yè)務(wù)專網(wǎng)咋辦？（該情景要求非物理隔離、邏輯隔離環(huán)境下PC 能安全使用專網(wǎng)業(yè)務(wù)系統(tǒng)同時(shí)訪問(wèn)互聯(lián)網(wǎng)，且避免傳統(tǒng)局域網(wǎng)模式建設(shè)組網(wǎng)情況的種種弊端）

最近在實(shí)施某政務(wù)外網(wǎng)項(xiàng)目中成功攻克各種技術(shù)難題，覓得巧妙實(shí)施解決方案，其在各種實(shí)際環(huán)境下的運(yùn)用也具有極大的推廣價(jià)值！

項(xiàng)目現(xiàn)狀及需求

某單位近60 余辦公室，多年前建設(shè)采取的交換機(jī)+網(wǎng)線接入每辦公室PPPOE 撥號(hào)方式上網(wǎng)，因每辦公室單獨(dú)一個(gè)VLAN，嚴(yán)格隔離，加之采取的點(diǎn)到點(diǎn)PPPOE 方式，所以長(zhǎng)期以來(lái)運(yùn)行穩(wěn)定，沒(méi)出現(xiàn)過(guò)病毒擴(kuò)散、環(huán)路影響等問(wèn)題。

隨著日益強(qiáng)烈的信息化需求，某政務(wù)單位提出每個(gè)辦公室上政務(wù)外網(wǎng)的需求，因?yàn)榇髽莿倓傃b修好，根本無(wú)法放線進(jìn)去，且每辦公室敷設(shè)線路開通也根本不太現(xiàn)實(shí)！

項(xiàng)目分析

傳統(tǒng)方式想到的是把每個(gè)辦公室現(xiàn)有的上網(wǎng)方式改為大局域網(wǎng)模式，通過(guò)中心機(jī)房匯聚后策略路由NAT 方式不同網(wǎng)絡(luò)不同出口解決，但是這種回歸原始的組網(wǎng)模式將必然出現(xiàn)各種局域網(wǎng)問(wèn)題，網(wǎng)絡(luò)質(zhì)量和穩(wěn)定肯定下降，由此帶來(lái)的客戶感知，以及大動(dòng)作改造帶來(lái)的工作量和改造期網(wǎng)絡(luò)的運(yùn)行問(wèn)題都是一個(gè)巨大的挑戰(zhàn)！

還想到的方案是在大樓出口設(shè)備上進(jìn)行截流采取重定向方式實(shí)現(xiàn)2個(gè)網(wǎng)絡(luò)訪問(wèn)的不同走向?qū)崿F(xiàn)，但是每個(gè)辦公室出來(lái)的是PPPOE 報(bào)文，IP 頭前面已經(jīng)封裝了1 層PPP頭，2層/3層設(shè)備根本無(wú)法對(duì)流量進(jìn)行抓取，包括源MAC 方式，也無(wú)法根據(jù)不同訪問(wèn)目的IP 進(jìn)行下一條的選?。?/p>

既然以上2 種方案均無(wú)法采取，想到的思路就是能否實(shí)現(xiàn)報(bào)文去掉PPP 頭封裝又不變目前的上網(wǎng)模式？在目前技術(shù)要想在某個(gè)層面實(shí)現(xiàn)幾無(wú)可能。

項(xiàng)目場(chǎng)景及具體解決方案

目前PPPOE 報(bào)文經(jīng)過(guò)2/3 層交換機(jī)后在BAS 進(jìn)行終結(jié)，專網(wǎng)情景下要求PC 為靜態(tài)IP 或者DHCP 服務(wù)器下發(fā)IP，能否在同1臺(tái)PC 上進(jìn)行雙場(chǎng)景整合，同時(shí)接入鏈路共享，并根據(jù)不同網(wǎng)絡(luò)需求在不同地方進(jìn)行終結(jié)？

經(jīng)過(guò)實(shí)際測(cè)試，思路可行！具體請(qǐng)?jiān)斠?jiàn)圖1。

圖中樓層交換機(jī)為2 層即可，只需要實(shí)現(xiàn)VLAN 劃分，無(wú)其他特殊配置支持和性能要求，機(jī)房的匯聚交換機(jī)為支持SUPPERVLAN 的三層交換機(jī)，一是作為PPPOE報(bào)文VLAN 的透?jìng)?，二是作為?網(wǎng)SUBVLAN（子VLAN）的超級(jí)VLAN 聚合終結(jié)及專網(wǎng)網(wǎng)關(guān)，實(shí)施中PC 進(jìn)入交換機(jī)的PPPOE 報(bào)文和專網(wǎng)報(bào)文均封裝同一VLAN 上傳（既作為PPPOE 報(bào)文VLAN 又作為專網(wǎng)子VLAN），以此實(shí)現(xiàn)2 網(wǎng)的同鏈路！而在客戶端PC 上當(dāng)僅僅使用專網(wǎng)時(shí)直接發(fā)出IP報(bào)文，進(jìn)行常規(guī)處理，在需要使用互聯(lián)網(wǎng)時(shí)客戶端進(jìn)行寬帶連接撥號(hào)，撥號(hào)后根據(jù)PC路由表生成專網(wǎng)在本地連接上設(shè)置的IP 地址相關(guān)鏈路通道自動(dòng)失效，此時(shí)僅僅互聯(lián)網(wǎng)通道可用，如此實(shí)施后不同時(shí)段（根據(jù)用戶選擇）只能使用某一個(gè)網(wǎng)，徹底實(shí)現(xiàn)了2 網(wǎng)間的邏輯隔離，同時(shí)針對(duì)原WiFi 場(chǎng)景（賬號(hào)在辦公室寬帶路由器上，PC DHCP方式WiFi 接入）采取路由器DHCP 禁用，不再使用WAN 口，LAN 口接入交換機(jī)方式予以解決，此時(shí)需要首先PC 無(wú)線連接上寬帶路由器，無(wú)線連接同時(shí)設(shè)置專網(wǎng)IP，若只使用專網(wǎng)直接訪問(wèn)，若使用互聯(lián)網(wǎng)，和有線方式一樣點(diǎn)“寬帶連接”進(jìn)行撥號(hào)即可！對(duì)于中間串了多個(gè)路由器的場(chǎng)合，也采取將路由器全部橋方式（只使用LAN 口和無(wú)線延伸）再PC 撥號(hào)（連接數(shù)開大）同樣方式即可。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

圖2 三層交換機(jī)配置

圖3 上網(wǎng)采集

三層交換機(jī)配置，如圖2所示。

以下為測(cè)試效果：

1.有線 僅專網(wǎng)情況效果

專網(wǎng)PING 測(cè)正常。

2.有線 僅互聯(lián)網(wǎng)情況效果（點(diǎn)擊寬帶連接撥號(hào)后）

此時(shí)專網(wǎng)自動(dòng)斷開，僅能實(shí)現(xiàn)互聯(lián)網(wǎng)出口了。

DOS 下發(fā)現(xiàn)PC 獲取了互聯(lián)網(wǎng)IP，PC 上默認(rèn)路由已經(jīng)撥號(hào)通道優(yōu)先（躍點(diǎn)11<4491專網(wǎng)的）。

3.無(wú)線 僅專網(wǎng)情況效果

同有線一樣，專網(wǎng)PING測(cè)正常。

4.無(wú)線 僅互聯(lián)網(wǎng)情況效果截圖（點(diǎn)擊寬帶連接撥號(hào)后）

同有線一樣，此時(shí)專網(wǎng)自動(dòng)斷開，僅能實(shí)現(xiàn)互聯(lián)網(wǎng)出口了。

DOS 下發(fā)現(xiàn)PC 獲取了互聯(lián)網(wǎng)IP，PC 上默認(rèn)路由已經(jīng)撥號(hào)通道優(yōu)先（躍點(diǎn)26<4506 專網(wǎng)的）。

BAS 上針 對(duì)PPPOE 上網(wǎng)采集，如圖3 所示。

項(xiàng)目創(chuàng)新方案亮點(diǎn)

1.實(shí)現(xiàn)了終端無(wú)線WiFi環(huán)境PPPOE 撥號(hào)。

2.巧妙實(shí)現(xiàn)雙網(wǎng)同終端環(huán)境下的嚴(yán)格邏輯隔離，及單鏈路問(wèn)題。

3.實(shí)現(xiàn)了專網(wǎng)終端IP的嚴(yán)格固定，避免亂用混用。

4.突破了PPPOE 報(bào)文無(wú)法截流重定向限制難題。

5.針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下無(wú)線路由設(shè)備橋接方式解決了PPPOE 報(bào)文和IP 報(bào)文的傳輸難題。

項(xiàng)目拓展

根據(jù)再次實(shí)際測(cè)試，在目前的FTTH PON 網(wǎng)絡(luò)環(huán)境下該成果同樣適用，實(shí)際中將光貓改為橋接，同時(shí)綁定無(wú)線SSID 到 橋WAN 口，PC 設(shè)置專網(wǎng)地址，在MPLS PE 上進(jìn)行VSI（MPLS VPLS VPN）匯總收斂，同時(shí)使用相關(guān)創(chuàng)新隔離及安全機(jī)制，而后報(bào)文到達(dá)客戶機(jī)房三層設(shè)備進(jìn)行基于MAC 定義VLAN，再在其上進(jìn)行SUPPERVLAN，實(shí)現(xiàn)專網(wǎng)終結(jié)和路由，互聯(lián)網(wǎng)PPPOE 同VLAN 透?jìng)鞯紹AS進(jìn)行終結(jié)解決。該方案同樣可以僅僅用于專網(wǎng)環(huán)境，徹底解決了所有已經(jīng)出現(xiàn)的局域網(wǎng)問(wèn)題，同時(shí)因?yàn)榫钟蚓W(wǎng)接入交換機(jī)的不再使用，將徹底解決單位的內(nèi)網(wǎng)建設(shè)和維護(hù)難題，是一套切實(shí)可行的局域網(wǎng)問(wèn)題終極創(chuàng)新解決革新方案，節(jié)約了客戶單位很多成本，網(wǎng)絡(luò)也更加穩(wěn)定，二層問(wèn)題不會(huì)再出現(xiàn)！