龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

合作寬帶小區(qū)網(wǎng)絡(luò)互聯(lián)及認證技術(shù)方案研究

龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

當(dāng)前家庭寬帶高速發(fā)展帶來業(yè)務(wù)管控的政策風(fēng)險，本文介紹了一種新的通過移動駐地網(wǎng)及城域網(wǎng)，使用鐵通RADIUS認證及流量出口的家庭寬帶網(wǎng)絡(luò)互聯(lián)及認證方案，測試表明該方案業(yè)務(wù)運行穩(wěn)定，有效地加快推廣家庭寬帶業(yè)務(wù)，是值得推廣的一種新的合作小區(qū)方式。

家庭寬帶；MPLS VPN；OSPF

當(dāng)前，公司的家庭寬帶業(yè)務(wù)處于高速發(fā)展階段，然而家庭寬帶業(yè)務(wù)使用省公司認證以及CMNET出口不可避免的會帶來業(yè)務(wù)管控的政策風(fēng)險。

為規(guī)避管控政策的同時繼續(xù)加快推廣寬帶業(yè)務(wù)的發(fā)展，有必要探索移動鐵通合作發(fā)展家庭寬帶小區(qū)的模式。本文介紹了一種新的通過移動城域網(wǎng)側(cè)IP專線匯聚交換機互聯(lián)鐵通城域網(wǎng)，實現(xiàn)業(yè)務(wù)流量鐵通出口的家庭寬帶網(wǎng)絡(luò)互聯(lián)方案。同時為克服移動鐵通互聯(lián)互通出口負荷高的問題，本文提出了通過在城域網(wǎng)新建鐵通出口VPN實例實現(xiàn)鐵通認證流量本地疏導(dǎo)的認證技術(shù)方案。測試表明本技術(shù)方案可行，業(yè)務(wù)運行正常，實施效果理想。

1 IP城域網(wǎng)及家庭寬帶網(wǎng)絡(luò)現(xiàn)狀

IP城域網(wǎng)采用核心層、匯聚層和接入層3層結(jié)構(gòu)，如圖1所示。

核心層通過核心路由器實現(xiàn)與CMNET骨干網(wǎng)的連接，完成高速的數(shù)據(jù)轉(zhuǎn)發(fā)，并充當(dāng)IP城域網(wǎng)出口設(shè)備。

業(yè)務(wù)接入控制層是二層網(wǎng)絡(luò)與三層IP網(wǎng)絡(luò)的轉(zhuǎn)換點，同時負責(zé)業(yè)務(wù)的控制、用戶的管理、計費信息采集等功能，是業(yè)務(wù)提供的關(guān)鍵層。業(yè)務(wù)接入控制層設(shè)備包括BRAS（寬帶接入服務(wù)器）和SR（業(yè)務(wù)路由器）。

圖1 東莞IP城域網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

寬帶接入網(wǎng)是業(yè)務(wù)接入控制點以下的二層接入網(wǎng)絡(luò)。負責(zé)將以太網(wǎng)、OLT匯聚到BRAS或匯聚到業(yè)務(wù)路由器。為提高業(yè)務(wù)性能并避免以太網(wǎng)廣播泛濫等問題，匯聚交換機僅設(shè)置一級，并啟動VLAN。原則上城域網(wǎng)匯聚交換機對接業(yè)務(wù)交換機的端口模式只能為access口或QinQ端口。對于采用動態(tài)IP地址的普通上網(wǎng)業(yè)務(wù)如家庭寬帶應(yīng)使用QinQ（兩層VLAN標(biāo)簽），其中城域網(wǎng)的外層VLAN在城域網(wǎng)匯聚交換機端口劃分，目前同一板PON板下相同的業(yè)務(wù)分配了一個外層VLAN；城域網(wǎng)的內(nèi)網(wǎng)VLAN在客戶端設(shè)備ONT端口劃分。

目前公司的家庭寬帶用戶通過GPON接入IP城域網(wǎng)的BRAS服務(wù)器，使用省公司統(tǒng)一認證，業(yè)務(wù)流量CMNET出口。然而這樣的認證及出口方式不可避免的會帶來業(yè)務(wù)管控的政策風(fēng)險。接下來本文將介紹一種利用移動駐地網(wǎng)及城域網(wǎng)，使用鐵通RADIUS認證及流量出口的家庭寬帶網(wǎng)絡(luò)互聯(lián)及認證方案。

2 MPLS VPN關(guān)鍵技術(shù)

在介紹技術(shù)方案前，先簡要介紹MPLS VPN關(guān)鍵技術(shù)。 MPLS VPN可為企業(yè)提供二層和三層的虛擬互連業(yè)務(wù)，網(wǎng)絡(luò)主要由CE、PE和P等3部分組成：用戶網(wǎng)絡(luò)邊緣路由器(CE)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)相連；骨干網(wǎng)邊緣路由器（PE）設(shè)備與用戶的CE直接相連，負責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者：骨干網(wǎng)核心路由器(P)負責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個MPLS VPN中，P、PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS。MPLS VPN一般采用圖2所示的網(wǎng)絡(luò)結(jié)構(gòu)。

圖2 MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖

MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(隧道標(biāo)簽)和內(nèi)標(biāo)簽(VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對應(yīng)的VRF表，從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)。在出口PE之前的最后一個P路由器上，外層標(biāo)簽被彈出，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。

3 問題提出

在制定網(wǎng)絡(luò)互聯(lián)的技術(shù)方案時，需要解決以下問題：

(1) 要規(guī)避省公司統(tǒng)一認證，業(yè)務(wù)流量CMNET出口的政策風(fēng)險；

(2) 保持IP城域網(wǎng)的整體結(jié)構(gòu)及滿足城域網(wǎng)相關(guān)規(guī)范；

(3) 由于城域網(wǎng)的缺省路由被引導(dǎo)到CMNET，如要通過鐵通出口就必需新建IP專線匯聚交換機，將流量引導(dǎo)到IP專線匯聚交換機上；

(4) CMNET到鐵通互聯(lián)互通出口負荷已經(jīng)較高，考慮通過東莞本地移動與鐵通的互聯(lián)鏈路進行業(yè)務(wù)流量和認證流量的疏導(dǎo)；

圖3 組網(wǎng)及認證技術(shù)方案

(5) 網(wǎng)絡(luò)組網(wǎng)需考慮到后期維護問題與故障定位的便捷性，分工界面應(yīng)清晰，移動駐地網(wǎng)OLT盡量將為鐵通寬帶業(yè)務(wù)分配特定的外層VLAN。

4 網(wǎng)絡(luò)互聯(lián)及認證方案實施

4.1 技術(shù)方案

為保持IP城域網(wǎng)的整體結(jié)構(gòu)及滿足城域網(wǎng)相關(guān)規(guī)范，鐵通出口不與城域網(wǎng)直接互聯(lián)，城域網(wǎng)側(cè)采用MPLSVPN方式，通過IP專線匯聚交換機互聯(lián)城域網(wǎng)鐵通。

網(wǎng)絡(luò)組網(wǎng)如圖3所示，選定運河SR3、二機樓SR3路由器作為鐵通出口匯聚路由器，SR上新建鐵通出口VPN實例，在與IP專線匯聚交換機互聯(lián)的端口上綁定該實例。BRAS上新建鐵通出口VPN實例，并新增一個LoopBack接口配置鐵通公網(wǎng)IP地址，在該接口BRAS的IP Pool上綁定該VPN實例，當(dāng)用戶認證發(fā)送認證請求及獲取到的IP地址就直接在鐵通出口VPN實例中，實現(xiàn)與城域網(wǎng)公網(wǎng)的路由表分離。

4.2 流量引導(dǎo)

運河SR3、二機樓SR3與IP專線匯聚交換機通過OSPF路由方式互聯(lián)；在IP專線匯聚交換機OSPF中強制下發(fā)缺省路由；運河SR3、二機樓SR3通過OSPF路由學(xué)習(xí)到IP專線匯聚下發(fā)的缺省路由后，將缺省路由泛洪至整個城域網(wǎng)鐵通出口VPN實例中，鐵通出口VPN實例的缺省路由將指向運河SR3、二機樓SR3并到達IP專線匯聚交換機；流量到達IP專線匯聚交換機后查找交換機的本地路由，IP專線匯聚交換上的缺省路由指向鐵通，從而實現(xiàn)在從移動接入、鐵通認證、鐵通出口。

路由實現(xiàn)如下：

SW-BRAS-CR-SR-IP專線匯聚交換機-鐵通出口。

4.3 數(shù)據(jù)配置說明

4.3.1 新建VPN實例

4.3.2 配置到鐵通認證的LoopBack口

interface LoopBack10 description To-[GDDG_ IPMAN_TieTong_Export]

4.3.3 BGP路由配置

4.3.4 鐵通地址池

4.4 OLT側(cè)資源規(guī)劃

目前OLT同一板PON板下相同的業(yè)務(wù)分配了一個外層VLAN?？紤]到合作小區(qū)日后的開通與維護工作，現(xiàn)將1901～1991MHz分配給用于發(fā)展鐵通用戶小區(qū)專門使用。

5 應(yīng)用總結(jié)

本研究提出了一種創(chuàng)新的合作發(fā)展家庭寬帶的方案思路，經(jīng)試點測試驗證了本文的移動鐵通合作家庭寬帶網(wǎng)絡(luò)組網(wǎng)及認證方案的可行性，業(yè)務(wù)認證撥號快速，業(yè)務(wù)運行正常、穩(wěn)定，有效利用公司的網(wǎng)絡(luò)資源優(yōu)勢，整合移動鐵通力量。本寬帶小區(qū)方案已在東莞分公司10個試點小區(qū)進行應(yīng)用，累計發(fā)展用戶數(shù)達987戶，是值得推廣的一種新的合作小區(qū)的技術(shù)模式。

[1] Doraswamy N，Harkins D.IPSec－新一代因特網(wǎng)安全標(biāo)準[M].北京：機械工業(yè)出版社，2000.

[2] 思科考試教程：CCIE路由與交換認證考試指南第三版[Z]. 2009.

[3] 陳淑榮， 馬力. 多協(xié)議標(biāo)記交換（MPLS）的研究與分析[J].數(shù)據(jù)通信，2009.

[4] 郭仕剛. IP承載網(wǎng)MPLS VPN技術(shù)[J]. 現(xiàn)代電信科技， 2008，(9).

[5] 金濤， 李青， 王苑超. 基于IPSec與基于MSPL的VPN的分析與比較[J]. 計算機安全， 2007，(06).

Study of broadband interconnection and authentication scheme incooperation residential

PANG Heng-li, YANG Wen-bin, XU Tie-cheng, LI Wei, YE Yue-qing
(China Mobile Group Guangdong Co., Ltd. Dongguan Branch, Dongguan 523129, China)

The rapid development of home broadband could bring a high risk of policy control, this paper introduces a new broadband interconnection and authentication scheme, which is through ours access and metropolitan area network, and use CTT’s AAA server and internet exportation. Test shows the scheme operation stably, accelerates the promotion of broadband effectively, and it will be a new experience worth promoting about cooperation residential broadband.

broadband access; MPLS VPN; OSPF

TN915

A

1008-5599（2012）10-0020-04

2012-09-10