校园有线宽带常见个性化认证需求及解决方案
2017-12-12王翱翔
王翱翔
摘 要:在校园网有线宽带发展的过程中,越来越多的校方提出了个性化认证需求。本文列举了3个常见的个性化认证需求(多运营商共享接入网场景下PPPoE一次认证需求、二次认证需求以及单运营商接入场景下一次认证实现内外网同时访问需求),并重点介绍了如何综合应用PPPoE、L2TP以及策略路由等技术制定相应解决方案以满足上述个性化需求。
关键词:校园网 PPPoE L2TP 策略路由
中图分类号:TP393.18 文献标识码:A 文章编号:1672-3791(2017)10(b)-0095-02
随着信息技术的发展和互联网应用的普及,有线宽带接入目前已成为了每个高校的必然需求。在校园网有线宽带发展的初期,校方对于校园网的需求通常简单地局限在“能上网”即可,需求模型较为单一;但随着校园网有线宽带的普及,以及日常业务模型不断复杂,越来越多的校方提出了个性化认证需求。
1 多运营商共享接入网场景下PPPoE一次认证
1.1 需求描述
前期校方已经通过某家运营商代建的方式建设了一张校园有线宽带网络,采用PPPoE方式进行拨号认证,认证通过后可进行公网访问。
后期,为了让学生有更多的自主选择权利,校方拟引入多家运营商;考虑到接入网的建设及运营成本,多家运营商需共享原接入网(即各运营商无需重新布线,用户使用原接入网);鉴于PPPoE拨号较好的安全性、兼容性,以及用户使用习惯的延续性,要求拨号方式保持不变。上述需求可以归纳为多运营商共享接入网场景下PPPoE一次认证需求。
1.2 PPPoE拨号认证简介
PPP协议在拨号上网方面具有丰富的访问控制、计费功能,同时具备良好的可扩展性和优秀的管理机制;另一方面,以太网技术已经成为了最为流行的局域网技术。PPPoE协议(Point to Point Protocol over Ethernet)将PPP协议和以太网协议两者进行了紧密地衔接,成为了运营商广为采用的拨号认证协议[1]。
PPPoE使用Client/Server模型,分为Discovery、Session和Terminate3个阶段。其中Discovery阶段主要用来建立主机端与服务器端的会话连接,常规情况下由PADI、PADO、PADR、PADS构成[2]:(1)PPPoE Client广播发送一个PADI报文,在此报文中包含PPPoE Client想要得到的服务类型信息。(2)所有的PPPoE Server收到PADI报文之后,将其中请求的服务与自己能夠提供的服务进行比较,如果可以提供,则单播回复一个PADO报文。(3)根据网络的拓扑结构,PPPoE Client可能收到多个PPPoE Server发送的PADO报文,PPPoE Client选择最先收到的PADO报文对应的PPPoE Server做为自己的PPPoE Server,并单播发送一个PADR报文。(4)PPPoE Server产生一个唯一的会话ID(SESSION ID),标识和PPPoE Client的这个会话,通过发送一个PADS报文把会话ID发送给PPPoE Client,如果没有错误,会话建立后便进入PPPoE Session阶段。
1.3 解决方案
1.3.1 组网设计
该场景下的组网如图所示:各家新接入的运营商在局端BRAS设备和校园汇聚交换机之间搭建光路,带宽根据实际业务需求而定。为保证链路可靠性,建议进行链路汇聚,启用LACP协议。
1.3.2 拨号软件设计
为实现多运营商在共享接入网场景下同时使用PPPoE拨号认证,必须修改前文中所述的PPPoE Discovery阶段常规流程:在PADI和PADO报文中设置相关参数,便于PPPoE Client和Server相互识别,确保PPPoE Client能够和指定的PPPoE Server进行通信,建立起会话。
为此,需要开发一款特定的拨号客户端。该拨号客户端软件除了普通PPPoE拨号功能外,还可以设置Service NAME字段,该字段用于在PPPoE的PADI报文中携带Service-NAME参数,与BRAS设备上设置的AC-NAME参数进行匹配。如果BRAS设备判断客户端发送的PADI报文中的Service-NAME与自身配置的AC-NAME参数一致,则向终端回复PADO;如果不一致,则回复PADT终止PPPoE协商。
1.3.3 业务流程
(1)校园汇聚设备与不同运营商局端BRAS互联。(2)运营商局端BRAS创建PPPoE局数据,特别要注意配置AC-NAME参数。(3)用户电脑安装拨号软件客户端。用户启动客户端软件后,填写运营商分配的用户名和密码,选择运营商后点击登录按钮。(4)客户端发送PPPoE PADI请求,请求中携带Service-NAME参数(依据第3步中客户选择的运营商)。(5)BRAS收到校验PADI报文后进行解析。如报文中Service-NAME参数与自身配置的参数一致,则校验通过,回复PADO报文;客户端收到PADO报文后,检查里面的AC-Name参数与自身配置是否一致,如果一致,继续发送PADR报文,进行接下来的PPPoE Discovery过程。(6)运营商BRAS联动AAA系统进行用户认证,通过后即可访问公网。
2 多运营商共享接入网场景下二次认证
2.1 需求描述
部分高校为了自主掌握学生内网认证、计费信息,要求学生在拨号接入运营商出口之前,先通过PPPoE进行内网认证。内网认证通过后,方可采用L2TP进行运营商网络认证。
2.2 L2TP拨号协议简介
L2TP(Layer 2 Tunnel Protocol)是由IETF起草,微软,思科等多家公司共同参与制定的第二层隧道协议。与PPPoE类似,L2TP一般也采用Client/Server模型,由L2TP访问集中器LAC和L2TP网络服务器LNS这2个基本构件组成。其中,LAC用于发起呼叫和建立隧道,将拨号用户的PPP帧进行封装后传送至LNS;LNS为隧道终点,去掉封装包头,去掉PPP帧头,获得网络层数据包[3]。隧道的建立是一个3次握手的过程,首先由LAC发起隧道建立请求SCCRQ,LNS收到请求后进行应答SCCRP,LAC在收到应答后返回确认SCCCN,隧道建立;会话建立的过程与隧道类似:首先由LAC发起会话建立请求ICRQ,LNS收到请求后返回应答ICRP,LAC收到应答后返回确认ICCN,会话建立[4]。endprint
2.3 解决方案
2.3.1 组网设计
各家新接入的运营商在局端BRAS设备和校园BRAS之间搭建光路,带宽根据实际业务需求而定。为保证链路可靠性,建议进行链路汇聚,启用LACP协议;校园BRAS设备和校方认证系统使用千兆光路互联。
2.3.2 业务实现流程
(1)校园BRAS与运营商局端BRAS及内网认证平台互联。(2)校园BRAS针对不同运营商创建相应的用户域,将校园BRAS与不同运营商互联的接口绑定至对应的域中;创建其他PPPoE相关局数据。(3)校园BRAS为不同的域分配特定的IP地址池资源,打通地址池中IP与认证平台的路由,使得地址池中的IP至对应运营商LNS路由可达;运营商BRAS创建L2TP相关局数据,以及至校园BRAS用户地址池的回程路由。(4)用户使用校方分配的账号/密码进行PPPoE拨号,校园BRAS联动内网认证平台进行用户认证。认证通过后,用户从所在域中获取特定IP地址,并且至对应运营商LNS路由可达。(5)用户使用对应运营商分配的账号/密码进行L2TP拨号,运营商BRAS联动AAA系统进行用户认证,通过后即可访问公网。
3 单运营商接入场景下一次认证实现内外网同时访问
3.1 需求描述
目前,部分校园在学生宿舍内同时开通了公网及校园内网。为了对学生上网进行认证审计,同时提升学生用户使用感知,要求学生进行一次认证后便可同时访问外网及校园内网。
3.2 策略路由
策略路由是一种数据包路由转发机制,比基于目标网络进行路由更加灵活。通常情况下,路由器根据所接收数据包的目的地址查找路由表,进而做出路由转发决策,路由表决定了一个数据包的下一跳。
但特殊场景下,如果希望某些数据包通过其他路径,而非根据路由表路径进行转发时,就需要使用策略路由。在此场景下,路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。配置的规则可以基于源/目IP地址,可以基于访问控制列表(ACL),可以基于报文长度等,使用起来极为灵活[5]。
正是因为这个灵活性,使得策略路由成為了传统IP路由机制的有效增强。
3.3 解决方案
运营商局端BRAS设备分别与校园网汇聚设备和校园网内网出口设备建立物理光路,带宽根据实际需求而定。为保证链路可靠性,建议进行链路汇聚,启用LACP协议。
每个用户在物理上具备公网、内网两个出口。
4 结语
在笔者参与的65所高校互联网建设过程中,发现每个学校对于其校园有线宽带网络均有其特定的个性化需求,但大的个性化需求不外乎前文所述的3类。综合运用PPPoE、L2TP、策略路由技术可以满足绝大部分应用场景。
参考文献
[1] 谢希仁.计算机网络[M].6版.北京:电子工业出版社,2013.
[2] L Mamakos,K Lidl,J Evarts,et al.A Method for Transmitting PPP Over Ethernet(PPPoE)[Z]. RFC 2516,1999.
[3] 佘堃,谭兴烈,周明天.L2TP虚拟专用网[J].电子科技大学学报,2002(31):383-386.
[4] W Townsley,A Valencia,A Rubens,et al.Layer 2 Tunneling Protocol(L2TP)[Z].RFC2661,1999.
[5] 李金平,高东杰.策略路由技术[Z].计算机科学,2002,29(4):84-85.endprint