PPPOE在校園網(wǎng)升級(jí)改造中的應(yīng)用

蕭斌

摘要；該文首先分析傳統(tǒng)DHCP和固定1P網(wǎng)絡(luò)帶來(lái)的各種問(wèn)題，然后介紹PPPOE技術(shù)，再給出PPPOE在校園阿升級(jí)改造中實(shí)現(xiàn)的配置實(shí)例，最后舉例在校園網(wǎng)中采用Radius服務(wù)filter-id屬性解決欠費(fèi)用戶通過(guò)認(rèn)證訪問(wèn)校園資源需求。

關(guān)鍵詞：校園網(wǎng)；PPPOE；QINQ；RADIUS

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）07-0059-02

PPPOE全稱(chēng)Point to Point Protocol over Ethemet，意思是基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議。實(shí)質(zhì)是以太網(wǎng)和撥號(hào)網(wǎng)絡(luò)之間的—個(gè)中繼協(xié)議，所以在網(wǎng)絡(luò)中，它的物理結(jié)構(gòu)與原來(lái)的LAN接入方式?jīng)]有任何變化，只是用戶需要在保持原接入方式的基礎(chǔ)上，安裝一個(gè)PPPOE客戶端或使用操作系統(tǒng)自帶撥號(hào)程序。

利用PPPOE技術(shù)可以在校園網(wǎng)中方便地提供用戶接入、用戶管理及計(jì)費(fèi)服務(wù)。

1傳統(tǒng)DHCP及固定IP方式帶來(lái)的問(wèn)題

用戶管理方面，傳統(tǒng)IP網(wǎng)絡(luò)中通常采用固定IP及DHCP作為用戶接入方式，固定IP形式帶來(lái)的問(wèn)題有IP地址盜用、IP沖突、用戶及管理員需要記錄IP地址參數(shù)。DHCP接入方式帶來(lái)的問(wèn)題有非法DHCP Server接人引起用戶不能從合法的DHCPServer獲取IP、PC端Winsock協(xié)議問(wèn)題引起不能獲取IP。

計(jì)費(fèi)管理方面，固定IP地址用戶繳費(fèi)到期，需人工手工操作將其IP地址從認(rèn)證服務(wù)器中刪除，以取消其互聯(lián)網(wǎng)訪問(wèn)權(quán)限，限制其只能訪問(wèn)校內(nèi)部資源。DHCP用戶管理采用切換端口vlan的方式將用戶從一個(gè)vlan切換到另一個(gè)vlan，從而控制用戶獲取不同訪問(wèn)權(quán)限的地址段。這兩種計(jì)費(fèi)管理方式都需要定期手工操作，增加了管理員的工作量及登錄設(shè)備帶來(lái)的誤操作因素。

2PPPOE技術(shù)介紹

2.1PPPOE獲取地址方式

PPPOE用戶獲取radius服務(wù)器下發(fā)的地址：PPPOE用戶根據(jù)上線時(shí)攜帶的域名，去對(duì)應(yīng)域下獲取地址，如果域下配置是去radius服務(wù)器認(rèn)證的話，則去radius服務(wù)器獲取地址。

PPPOE用戶獲取域下的地址池；如果PPPOE用戶上線時(shí)攜帶的域名下的地址池是本地地址池或遠(yuǎn)端地址池的話，則去對(duì)應(yīng)的地址池獲取地址。

2.2PPPOE接入方式及業(yè)務(wù)模型

PPPOE業(yè)務(wù)組網(wǎng)，一臺(tái)計(jì)算機(jī)通過(guò)GPON網(wǎng)/交換機(jī)之后再接在ME60端口上面，用戶采用PPP方式。如圖1所示。

PPPOE業(yè)務(wù)模型

PPPOE業(yè)務(wù)模型，如圖2所示

3PPPOE配置實(shí)例

如圖3所示，VLAN 11和VLAN 22中的用戶需要相同的組播流。此時(shí)可以在CE上創(chuàng)建另外一個(gè)VLAN 3作為組播VLAN，通過(guò)部署組播復(fù)制功能，使CE能從VLAN 3收到的一份組播數(shù)據(jù)向VLAN 11和VLAN 22均復(fù)制一份，那么在VLAN 11和VLAN 22中的用戶就可以接收到組播數(shù)據(jù)流了。

配置思路如下：

1）在ME60上配置虛模板。

2）在ME60上配置認(rèn)證方案。

3）在ME60上配置計(jì)費(fèi)方案。

4）在ME60上配置Radius。

5）在ME60上配置地址池。

6）在ME60上配置域。

7）在ME60上配置BAS口，并為其指定虛擬模板

其中配置域和bas口的配置如下，其他配置從略。

配置域

[ME60]aaa

[ME60-aaa]domain pppoe

[ME60-aaa-domain-huawei]authentication-scheme radius

[ME60-aaa-&amain-huawei]accounting-scheme radius

[ME60-aaa-domain-huawei]ip-pool pppoe

[ME60-aaa-dixnain-huawei]radius-server group radius

配置BAS口

[ME60]interfaceGigabitEthernet 1/0/1

[ME60-Gigabitgthernet 1/0/1]pppoe-server bind Virtual-Templatel

[ME60-GigabitEthemet 1/0/1]user-vXan 100

[ME60-GigabitEthemet 1/0/1]has

[ME60-GigabkEthernet 1/0/1-bas]access-type layer2-subscriber default-domain authentication pppoe

ME60采用認(rèn)證域策略將用戶認(rèn)證通過(guò)radius協(xié)議送達(dá)radius認(rèn)證服務(wù)器完成用戶認(rèn)證。

4解決欠費(fèi)用戶訪問(wèn)校內(nèi)資源問(wèn)題

在介紹了PPPOE業(yè)務(wù)模型后我們知道，用戶的上網(wǎng)認(rèn)證請(qǐng)求需要ME60通過(guò)radius協(xié)議提交給radius認(rèn)證服務(wù)器認(rèn)證成功后，由ME60放行用戶Internet訪問(wèn)流量。但如果用戶欠費(fèi)，radius服務(wù)器將拒絕用戶接入指令發(fā)給ME60，用戶將無(wú)法獲取地址，從而無(wú)法訪問(wèn)網(wǎng)絡(luò)。

我校使用城市熱點(diǎn)計(jì)費(fèi)網(wǎng)關(guān)作為radius服務(wù)器?；驹O(shè)計(jì)原理是城市熱點(diǎn)計(jì)費(fèi)網(wǎng)關(guān)上設(shè)置特殊用戶組，此用戶組會(huì)通過(guò)radius協(xié)議傳遞filter-id屬性給ME60，此字段在ME60上對(duì)應(yīng)user-group屬性，在ME60上使用流策略將此user-group流量引至校園網(wǎng)資源。

5結(jié)論

通過(guò)在校園網(wǎng)中使用PPPOE接入方式，既有效地解決在用戶管理方面存在的IP地址管理問(wèn)題，又減輕了管理員在計(jì)費(fèi)方面的工作量，還降低了傳統(tǒng)二層接入方式帶來(lái)的大量廣播流量。此次還巧妙運(yùn)用radius的Filter-id屬性解決了欠費(fèi)用戶也可通過(guò)radius認(rèn)證訪問(wèn)有限的校內(nèi)資源。