基于PPPoE拨号的校园网统一部署实现
扫描二维码
随时随地手机看文章
随着师生对网络需求不断增大,校园网在高校的教学、科研、学习、生活中发挥了越来越多的支撑作用,同时也推动了教育信息化的发展。为了方便教职工在家属区使用校园网,北京师范大学于2010年开始在校内家属区45栋家属楼全部部署了校园网。考虑到家属区用户以前使用歌华或者联通宽带,采用拨号方式上网,习惯按带宽计费模式,以及为了家属区网络维护方便,我们在家属区网络建设中采用了PPPoE拨号方式上网,而不是通常在校园网内采用的以太局域网方式。和校园网以太局域网相比,PPPoE拨号方式简单,带宽控制精准,性价比高。在与现有校园网网络以及计费系统对接时,需要做一些特殊配置,从而保证通过家属区方便、快速的访问校内外资源。
PPPoE原理简介
PPPoE(Point-to-Point Protocol over Ethernet),以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成了PPP协议,所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
PPPoE建立过程可以分为Discovery阶段和PPP 会话阶段。Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。
宽带接入服务器(Broadband Remote Access Server,简称BRAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备,是宽带网络可运营、可管理的基石。宽带接入服务器(BRAS)主要完成两方面功能,一是网络承载功能:负责终结用户的PPPoE连接、汇聚用户的流量功能;二是控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能。宽带接入综合了IP网络核心技术、AAA技术、数据库等技术,软硬结合,对进入宽带网络的用户实施必要的认证,访问权限控制、服务质量控制、和计费。方案既可按时间、流量计费,又可作为包月制的技术保障,对个人用户实施带宽、流量、时长等限制。
校园网、计费系统及家属区现状
北京师范大学校园网以1台H3C 9508和2台思科6509为核心,连接了教学区各楼宇以及宿舍区楼宇,并将附中等单位通过光纤接入校园网。校园网出口通过防火墙接入教育网和联通、电信。校园网认证采用深澜计费系统,将计费网关串联在出口主干。校园网出口包括教育网、联通、电信三条线路。
教职工家属区大部分是通过歌华有线电视网接入互联网。由于原网络建设时间早,面临设备老化、掉线等问题,为满足教职工家属区网络信息化需求,在进行大量的前期调查和研究工作的基础上,开始建设校内生活区网络。该区域中,现有励耘区13栋、别墅7栋、老年活动中心、丽泽区14栋、乐育区9栋、乐育活动站,总计43栋楼和两个活动站,都需要接入到校园网中。
图1 家属区网络拓扑
基于PPPoE的家属区网络与校园网网络和计费系统
北京师范大学家属区网络以华为MA5200G为BRAS设备,两台华为S5328为家属区总汇聚,汇聚各楼的光纤,45台E328作为楼宇汇聚,190多台E026作为二层终端接入。
用户在家属区使用普通网线接入家属区网络,通过PPPoE拨号,在深澜Radius服务器上进行认证,根据计费数据库里用户的身份进行密码确认,认证通过后向BRAS设备下发IP 分配策略、ACL访问策略、带宽策略等。用户通过与BRAS直连的H3C 9508直接接入校园网,从而实现访问校园网资源以及通过计费系统访问校外互联网资源。
家属区用户根据用户类型分为家属区教工、家属区非教工和家属区办公用户。其中家属区教工用户可以访问校内所有资源,而家属区非教工用户不能访问图书馆资源及其他资源;家属区办公用户可以免费访问国内互联网。这些策略分别在BRAS设备和计费系统上配置ACL策略实现。
对应计费模式,按照现在公网网络运营商习惯,设置1Mbps和2Mbps等,收费方式主要以校园卡充值和校内转账单充值。校园卡充值系统和计费数据库对接,从而实现家属区用户方便缴费充值。
BRAS上Raius配置:
radius-server group radius
radius-server authentication 172.16.*.* 1812 weight 0
radius-server accounting 172.16.*.* 1813 weight 0
radius-server shared-key jsqtest
radius-server class-as-car
radius-server attribute translate
undo radius-server user-name domain-included
家属区账号分配按照楼宇和房间号编排,和用户所在房间对应。家属区划分了4000多个VLAN,每个用户一个单独的VLAN,VLAN与家属区用户接入端口对应,并在各楼预留一定的VLAN。为了账号使用安全,在计费系统里对用户VLAN进行了绑定,每个用户的账号只能从自己家的端口VLAN认证,即使账号被盗,也无法在其他楼宇房间使用。
图2 家属区拨号认证示意
图3 家属区用户账号管理
北师大实现了基于PPPoE拨号家属区网络与校园网网络及计费认证的统一部署。使用BRAS和普通二层交换机,成本较低,管理方便,在小区网络环境中非常适用。同时,我们也看到,基于PPPoE拨号的网络存在一些问题,例如对下一代互联网IPv6的标准支持不完善;在建设初期,前期VLAN规划比较费时;如果需要设置固定IP比较复杂;不适合不能进行PPPoE拨号的特殊设备,例如电控终端、校园卡PoS机商务网关等。但随着PPPoE技术和设备的不断发展和成熟,网络扁平化,三层核心更加集中和强大将是趋势,既方便管理,也便于维护。
下载文档
