姚小敏，鄒文陶

（中國移動重慶分公司，重慶 401221）

0 引言

截止2020 年，重慶高校45 所，大型工業(yè)園30 個，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，高校及園區(qū)的網(wǎng)絡(luò)迫切需要改造升級，因此電信運營商需要針對這部分客戶提供一套完整的便于維護(hù)且經(jīng)濟(jì)成本不高的技術(shù)組網(wǎng)，助力園區(qū)網(wǎng)絡(luò)改造升級

1 需求分析

目前學(xué)校、企業(yè)有線無線一體化，認(rèn)證計費本地化，登錄終端的多樣化的網(wǎng)絡(luò)接入成為發(fā)展趨勢。一校（企）一認(rèn)證系統(tǒng)、LAN 方式Wlan 成本過高，寬帶使用PPPoE 方式撥號不支持移動終端接入等成為我公司發(fā)展校園和勞動密集型企業(yè)寬帶用戶的痛點。

從公司及企業(yè)的角度，關(guān)注點有所不同。技術(shù)實現(xiàn)層面關(guān)注的是，如何縮短項目周期，如何減少本地認(rèn)證設(shè)備投資，如何有線無線網(wǎng)一體化運營管理，減少維護(hù)難度，如何杜絕違規(guī)私接入。而學(xué)校及園區(qū)企業(yè)的關(guān)注點則是，如何使用分組定制學(xué)生或員工賬號登錄策略（如多類型多終端），如何搭建清晰的日志審計查詢，實現(xiàn)落地查人。

2 組網(wǎng)方案設(shè)計

2.1 設(shè)計思路

2.1.1 統(tǒng)一認(rèn)證平臺，簡化維護(hù)管理

新建部署一套認(rèn)證計費系統(tǒng)，對所接入的企業(yè)和學(xué)校的寬帶用戶進(jìn)行認(rèn)證，替代傳統(tǒng)的認(rèn)證模式。精簡一校（企）一套的認(rèn)證計費、行為管理、防火墻、大帶寬互聯(lián)網(wǎng)專線出口等。

2.1.2 有效控制投資、運維成本

核心側(cè)：通過簡化設(shè)備投入，由各校（企）一套認(rèn)證系統(tǒng)方式變?yōu)榻y(tǒng)一認(rèn)證集中管理，減少設(shè)備數(shù)量，大幅發(fā)揮設(shè)備性能。且簡化了以前繁多的設(shè)備廠家，節(jié)省了維護(hù)成本。

接入側(cè)：使用FTTH 方式在學(xué)校或企業(yè)寢室安裝ONT 設(shè)備，通過云AC 方式對ONT 設(shè)備的無線配置進(jìn)行集中化管理。

2.1.3 個性化業(yè)務(wù)適應(yīng)性

根據(jù)校（企）網(wǎng)絡(luò)接入場景，適應(yīng)多業(yè)務(wù)發(fā)展需求，提供靈活多樣的管理策略，可根據(jù)用戶的具體需求提供高質(zhì)量、個性化的數(shù)據(jù)業(yè)務(wù)運營管理平臺。

2.2 組網(wǎng)方案

新增認(rèn)證計費設(shè)備連接BRAS，認(rèn)證計費設(shè)備下掛核心交換機(jī)，對各 校（企）下沉的OLT 進(jìn)行收斂。用戶使用各種數(shù)據(jù)終端通過接入FTTH 方式入室安裝的ONT（具有AP 功能的A 類ONU），經(jīng)過OLT 到統(tǒng)一認(rèn)證平臺的認(rèn)證計費系統(tǒng)，認(rèn)證計費系統(tǒng)portal 一個認(rèn)證登的WEB 頁面給客戶，客戶填入寬帶賬號和密碼后，由認(rèn)證計費設(shè)備進(jìn)行代理PPPoE 撥號，撥號成功后，客戶即可訪問互聯(lián)網(wǎng)資源。新增一臺防火墻將認(rèn)證日志等數(shù)據(jù)服務(wù)器進(jìn)行隔離，新增一條互聯(lián)網(wǎng)專線連接防火墻，使ONT 設(shè)備可用過互聯(lián)網(wǎng)通道連接華為云AC，完成AP 的管理工作。本項目所涉及的認(rèn)證計費設(shè)備、核心交換機(jī)均為主備配置，通過VRRP 協(xié)議進(jìn)行熱備保護(hù)。

2.3 業(yè)務(wù)規(guī)劃及配置

接入層通過劃分不用的VLAN 來區(qū)分校園網(wǎng)不通業(yè)務(wù)；OLT 設(shè)備配置虛擬業(yè)務(wù)端口，用戶側(cè)ONU 數(shù)據(jù)封裝不同的VLAN 上報；若為PPPoE 或者WEB 認(rèn)證撥號方式，則封裝不通的運營VLAN ID，透傳到學(xué)校或企業(yè)園區(qū)的運營商BRAS 側(cè)；若為IPoE 方式，則封裝校園網(wǎng)不通的業(yè)務(wù)VLAN ID，經(jīng)過匯聚設(shè)備透傳到校園核心設(shè)備。用戶終端通過DHCP 自動獲取IP 地址和DNS，通過wifi 或者有線接入ONU。

（1）DHCP 協(xié)議是基于UDP 的應(yīng)用，用戶端作為DHCP 客戶端主動向網(wǎng)絡(luò)發(fā)DHCPDISCOVER 廣播包。DHCP 報文由UDP 攜帶，UDP 報文是封裝在IP 數(shù)據(jù)包中，經(jīng)過用戶的中斷，封裝成以太網(wǎng)報文，幀類型字段為0X0800。

（2）ONU 收到DHCP 的廣播報文后，在報文上加上業(yè)務(wù)對應(yīng)的VLAN ID 標(biāo)簽，并依次透傳至匯聚層、核心層設(shè)備。

（3）匯聚交換機(jī)作為DHCP 服務(wù)器，收到DHCP 廣播包后，回應(yīng)DHCP-OFFER 報文，客戶端根據(jù)DHCPOFFER 報文選擇DHCP 服務(wù)器，發(fā)送DHCP-REQUEST報文，客戶端根據(jù)收到的DHCP-ACK 報文獲得IP 地址及相關(guān)參數(shù)信息。

（4）在用IPoE 接入期間，如果用戶要上互聯(lián)網(wǎng)，PC 終端可用PPPoE 撥號軟件，或者WEB 認(rèn)證首頁，發(fā)起認(rèn)證接入請求。

（5）接入互聯(lián)網(wǎng)主要包含2個階段：PPPoE 包含發(fā)現(xiàn)和會話兩個階段，在接入發(fā)現(xiàn)過程時，廣播尋找所網(wǎng)絡(luò)中所有PPPoE 接入服務(wù)器，PPP 報文封裝在以太幀中。

（6）OUN 收 到PPPoE 報 文 后， 加 上PPPoE 的VLAN ID 標(biāo)簽，并透傳至校園認(rèn)證設(shè)備上，而后分配PPPoE SESSIONID 給用戶作為標(biāo)簽，PPPOE 業(yè)務(wù)完全建立。

（7）用戶終端通過按照運營商標(biāo)準(zhǔn)接入方式，進(jìn)行PPP 協(xié)商，通過CHAP 或者PAP 進(jìn)行驗證，并獲取BRAS 設(shè)備分的IP 地址。

（8）PC 終端完成連接后，會生成一條默認(rèn)路由，與原IPoE 路由并存，但PPPOE 網(wǎng)關(guān)地址會取代IPoE 的默認(rèn)網(wǎng)關(guān)，運營商開始計費。

（9）如果用戶停止訪問公網(wǎng)，要訪問校園網(wǎng)，則用戶終端可主動斷開PPPoE 撥號連接，BRAS 刪除用戶的連接信息，停止計費，PC 刪除PPP 默認(rèn)路由，重新進(jìn)行IPOE 過程，用戶就只能訪問校園網(wǎng)資源。

（10）PC 終端重新IPOE 接入時，直接發(fā)送前次分配IP 的DHCPREQUEST 報文，DHCP 服務(wù)器判斷前次分配的IP 是否空閑，如果空閑，則可以繼續(xù)使用該IP接入；如果非空閑，則發(fā)送DHCPDISCOVER 報文來申請分配新IP。

3 結(jié)束語

此組網(wǎng)最大的優(yōu)勢是低成本高利用率，此外也得到用戶的認(rèn)可及好評，目前已在渝電專等8個高校成功運用，目前已普及到全市區(qū)縣分公司。