裴纯

摘要：浅析了江西财经职业学院多运营商接入环境下，用户基于pppoe和ipoe的基本认证流程，分析了在一套网络硬件下实现多运营商接入的工作流程。

关键词：Radius；pppoe；ipoe；qos；认证流程

一、网络构架

1.1 网络拓扑

1.2 关键组件说明

1.2.1 网络出口层。当运营商给给学生分配私网地址时，需要设置网络出口防火墙设备进行地址转换。

1.2.2 网络核心层。江西财经职业技术学院宿舍网以Juniper BAS设备MX960为核心，开启PPPoE和IPoE终结功能，为校园网内的有线、无线宽带用户提供一体化接入功能，与Radius系统配合，智能化地实现用户的汇聚、认证、计费、管理等服务。

部署完成后，新增MX960做为有线用户网关设备，在整个校园网中的角色为业务控制层，实现：

> 宿舍区的千兆线路汇聚

> 预留接口与校园网办公区核心设备MX960以网络虚拟化VC技术实现双机热备、冗余

> IPv4/IPv6双栈单播转发

> IPv4/IPv6双栈组播控制

> ACL、速率限制

> QoS服务

> 基于用户的认证接入和控制

1.2.3 校园网Radius服务器。校园网Radius服务器为校园网用户提供用户的接入、认证功能，横向与数字化校园后台库对接，南向作为Radius Server为来自MX960的接入认证、计费信息提供处理，北向作为Radius Client接入各家运营商的Radius服务器，实现两个转译：

1.向上校园网用户拨号用户名的转译：学号-运营商帐号

2.向下将各个运营商私有属性转译成MX960属性名

1.2.4 校园网Portal服务器。校园网Portal服务器为有线无线用户提供Web Portal界面，无线分配不同的SSID，根据不同的运营商用户选择接入对应的SSID，从而实现IP地址的提前规划，以便根据源地址做策略路由，让用户出口线路走对应运营商。根据选择的运营商不同自动为账号添加后缀，由校园网Radius做进一步处理。

二、认证流程

2.1系统设计目标。整个认证体系逻辑上分为三层：运营商Radius、校园网Radius、校园网BAS，校园网Radius相对于运营商Radius来说是Radius Client，相对校园网BAS来说是RadiusServer，整体校园网实现有线无线一体化接入、认证，明细如下：

1、 用户自由选择在哪个运营商开户；2、 用户开户完成后可以在自服务平台上将开户账号与自己的学号进行绑定；3、 用户日常使用过程中使用学号进行拨号；4、 校园网Radius完成对拨号账号的转译、运营商Radius的选择、下发私有属性的转译；5、 学校具备对每个运营商实际开户用户数的精确统计能力

2.2 用户分类

将PPPoE拨号用户区分为以下四类：

（一） 教师账号：用户账号特征为@tch，拨号完成后分配教师专用私网地址段，具有教育网及三个运营商的智能路由选路功能

（二） 电信账号：用户账号特征为@ct，拨号完成后分配电信专用地址段，具有教育网及电信网络访问权限

（三） 移动账号：用户账号特征为@cmcc，拨号完成后分配移动专用地址段，具有教育网及移动访问权限

（四） 联通账号：用户账号特征为@cu，拨号完成后分配联通专用地址段，具教育网及联通访问权限。

每个运营商开户账号的带宽策略由电信运营商提供。

2.3 QoS限速。Juniper MX960 BAS根据Radius返回的账号属性调用MX960上的QoS限速模板，以实现PPPoE/IPoE用户的自动QoS，流程如下：

1、用户拨号，相应报文通过交换机到达MX960；2、MX960根据PPPoE/IPoE报文的内外层VLAN自动创建接入点；3、MX960将拨号用户认证报文前递到Radius服务器；4、Radius通过认证后返回限速模板属性“1m”（假设）；5、MX960根据返回的属性值“1m”调用本地创建的限速模板“1m”；6、MX960開始分配IP；7、获得IP后 SESSION建立

2.4 业务流程

2.4.1用户开户。用户可以自由在各家运营商开户，开户完成拿到相关用户名密码后，在城市热点Radius服务器的自服务平台上将运营商开户的账号（如：13333333333）与学生自己的学号进行绑定（如：1412009230）。

绑定完成之后，用户以1412009230@不同的后缀的形式进行接入，并由校园网Radius根据不同的后缀将用户名转译后送往不同的运营商Radius

2.4.2 PPPoE认证流程

1、 用户输入用户名142009230@ct进行拨号；2、 MX960将认证信息送往校园网Radius；3、 校园网Radius将142009230（学号）转译成13333333333（实际在运营商开户账号），并根据认证报文所携带的后缀为@ct将认证信息送往电信Radius

4.1、认证失败则电信Radius返回相关报错信息（如access-reject）给校园网Radius，校园网Radius将相关信息传递给MX960，MX960传递给终端后在PC上显示相关报错

4.2、认证成功则电信Radius返回access-accept，且返回相关私有属性

5、校园网Radius将返回的私有属性转译成Juniper相关私有属性，并返回给MX960

6、MX960根据返回的String调用本地Qos模板实现限速、访问控制

2.4.3 IPoE认证流程

1、用户输入用户名142009230在Portal页面上登陆；2、 Portal服务器将相关用户名字前递给校园网Radius；3、 校园网Radius将142009230（学号）转译成13333333333（实际在运营商开户账号），并根据认证报文所携带的后缀为@ct将认证信息送往电信Radius；4、 认证失败则电信Radius返回相关报错信息（如access-reject）给校园网Radius，校园网Radius将相关信息传递给Portal服务器，Portal页面显示错误信息；认证成功则电信Radius返回接入认证成功，校园网Radius下发COA消息更改该用户的上网认证策略；5、MX960根据返回COA消息的String调用本地Qos模板实现限速、访问控制（作者单位：江西财经职业学院）