裴純

摘要：淺析了江西財(cái)經(jīng)職業(yè)學(xué)院多運(yùn)營(yíng)商接入環(huán)境下，用戶(hù)基于pppoe和ipoe的基本認(rèn)證流程，分析了在一套網(wǎng)絡(luò)硬件下實(shí)現(xiàn)多運(yùn)營(yíng)商接入的工作流程。

關(guān)鍵詞：Radius；pppoe；ipoe；qos；認(rèn)證流程

一、網(wǎng)絡(luò)構(gòu)架

1.1 網(wǎng)絡(luò)拓?fù)?/p>

1.2 關(guān)鍵組件說(shuō)明

1.2.1 網(wǎng)絡(luò)出口層。當(dāng)運(yùn)營(yíng)商給給學(xué)生分配私網(wǎng)地址時(shí)，需要設(shè)置網(wǎng)絡(luò)出口防火墻設(shè)備進(jìn)行地址轉(zhuǎn)換。

1.2.2 網(wǎng)絡(luò)核心層。江西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院宿舍網(wǎng)以Juniper BAS設(shè)備MX960為核心，開(kāi)啟PPPoE和IPoE終結(jié)功能，為校園網(wǎng)內(nèi)的有線(xiàn)、無(wú)線(xiàn)寬帶用戶(hù)提供一體化接入功能，與Radius系統(tǒng)配合，智能化地實(shí)現(xiàn)用戶(hù)的匯聚、認(rèn)證、計(jì)費(fèi)、管理等服務(wù)。

部署完成后，新增MX960做為有線(xiàn)用戶(hù)網(wǎng)關(guān)設(shè)備，在整個(gè)校園網(wǎng)中的角色為業(yè)務(wù)控制層，實(shí)現(xiàn)：

> 宿舍區(qū)的千兆線(xiàn)路匯聚

> 預(yù)留接口與校園網(wǎng)辦公區(qū)核心設(shè)備MX960以網(wǎng)絡(luò)虛擬化VC技術(shù)實(shí)現(xiàn)雙機(jī)熱備、冗余

> IPv4/IPv6雙棧單播轉(zhuǎn)發(fā)

> IPv4/IPv6雙棧組播控制

> ACL、速率限制

> QoS服務(wù)

> 基于用戶(hù)的認(rèn)證接入和控制

1.2.3 校園網(wǎng)Radius服務(wù)器。校園網(wǎng)Radius服務(wù)器為校園網(wǎng)用戶(hù)提供用戶(hù)的接入、認(rèn)證功能，橫向與數(shù)字化校園后臺(tái)庫(kù)對(duì)接，南向作為Radius Server為來(lái)自MX960的接入認(rèn)證、計(jì)費(fèi)信息提供處理，北向作為Radius Client接入各家運(yùn)營(yíng)商的Radius服務(wù)器，實(shí)現(xiàn)兩個(gè)轉(zhuǎn)譯：

1.向上校園網(wǎng)用戶(hù)撥號(hào)用戶(hù)名的轉(zhuǎn)譯：學(xué)號(hào)-運(yùn)營(yíng)商帳號(hào)

2.向下將各個(gè)運(yùn)營(yíng)商私有屬性轉(zhuǎn)譯成MX960屬性名

1.2.4 校園網(wǎng)Portal服務(wù)器。校園網(wǎng)Portal服務(wù)器為有線(xiàn)無(wú)線(xiàn)用戶(hù)提供Web Portal界面，無(wú)線(xiàn)分配不同的SSID，根據(jù)不同的運(yùn)營(yíng)商用戶(hù)選擇接入對(duì)應(yīng)的SSID，從而實(shí)現(xiàn)IP地址的提前規(guī)劃，以便根據(jù)源地址做策略路由，讓用戶(hù)出口線(xiàn)路走對(duì)應(yīng)運(yùn)營(yíng)商。根據(jù)選擇的運(yùn)營(yíng)商不同自動(dòng)為賬號(hào)添加后綴，由校園網(wǎng)Radius做進(jìn)一步處理。

二、認(rèn)證流程

2.1系統(tǒng)設(shè)計(jì)目標(biāo)。整個(gè)認(rèn)證體系邏輯上分為三層：運(yùn)營(yíng)商Radius、校園網(wǎng)Radius、校園網(wǎng)BAS，校園網(wǎng)Radius相對(duì)于運(yùn)營(yíng)商Radius來(lái)說(shuō)是Radius Client，相對(duì)校園網(wǎng)BAS來(lái)說(shuō)是RadiusServer，整體校園網(wǎng)實(shí)現(xiàn)有線(xiàn)無(wú)線(xiàn)一體化接入、認(rèn)證，明細(xì)如下：

1、 用戶(hù)自由選擇在哪個(gè)運(yùn)營(yíng)商開(kāi)戶(hù)；2、 用戶(hù)開(kāi)戶(hù)完成后可以在自服務(wù)平臺(tái)上將開(kāi)戶(hù)賬號(hào)與自己的學(xué)號(hào)進(jìn)行綁定；3、 用戶(hù)日常使用過(guò)程中使用學(xué)號(hào)進(jìn)行撥號(hào)；4、 校園網(wǎng)Radius完成對(duì)撥號(hào)賬號(hào)的轉(zhuǎn)譯、運(yùn)營(yíng)商Radius的選擇、下發(fā)私有屬性的轉(zhuǎn)譯；5、 學(xué)校具備對(duì)每個(gè)運(yùn)營(yíng)商實(shí)際開(kāi)戶(hù)用戶(hù)數(shù)的精確統(tǒng)計(jì)能力

2.2 用戶(hù)分類(lèi)

將PPPoE撥號(hào)用戶(hù)區(qū)分為以下四類(lèi)：

（一） 教師賬號(hào)：用戶(hù)賬號(hào)特征為@tch，撥號(hào)完成后分配教師專(zhuān)用私網(wǎng)地址段，具有教育網(wǎng)及三個(gè)運(yùn)營(yíng)商的智能路由選路功能

（二） 電信賬號(hào)：用戶(hù)賬號(hào)特征為@ct，撥號(hào)完成后分配電信專(zhuān)用地址段，具有教育網(wǎng)及電信網(wǎng)絡(luò)訪問(wèn)權(quán)限

（三） 移動(dòng)賬號(hào)：用戶(hù)賬號(hào)特征為@cmcc，撥號(hào)完成后分配移動(dòng)專(zhuān)用地址段，具有教育網(wǎng)及移動(dòng)訪問(wèn)權(quán)限

（四） 聯(lián)通賬號(hào)：用戶(hù)賬號(hào)特征為@cu，撥號(hào)完成后分配聯(lián)通專(zhuān)用地址段，具教育網(wǎng)及聯(lián)通訪問(wèn)權(quán)限。

每個(gè)運(yùn)營(yíng)商開(kāi)戶(hù)賬號(hào)的帶寬策略由電信運(yùn)營(yíng)商提供。

2.3 QoS限速。Juniper MX960 BAS根據(jù)Radius返回的賬號(hào)屬性調(diào)用MX960上的QoS限速模板，以實(shí)現(xiàn)PPPoE/IPoE用戶(hù)的自動(dòng)QoS，流程如下：

1、用戶(hù)撥號(hào)，相應(yīng)報(bào)文通過(guò)交換機(jī)到達(dá)MX960；2、MX960根據(jù)PPPoE/IPoE報(bào)文的內(nèi)外層VLAN自動(dòng)創(chuàng)建接入點(diǎn)；3、MX960將撥號(hào)用戶(hù)認(rèn)證報(bào)文前遞到Radius服務(wù)器；4、Radius通過(guò)認(rèn)證后返回限速模板屬性“1m”（假設(shè)）；5、MX960根據(jù)返回的屬性值“1m”調(diào)用本地創(chuàng)建的限速模板“1m”；6、MX960開(kāi)始分配IP；7、獲得IP后 SESSION建立

2.4 業(yè)務(wù)流程

2.4.1用戶(hù)開(kāi)戶(hù)。用戶(hù)可以自由在各家運(yùn)營(yíng)商開(kāi)戶(hù)，開(kāi)戶(hù)完成拿到相關(guān)用戶(hù)名密碼后，在城市熱點(diǎn)Radius服務(wù)器的自服務(wù)平臺(tái)上將運(yùn)營(yíng)商開(kāi)戶(hù)的賬號(hào)（如：13333333333）與學(xué)生自己的學(xué)號(hào)進(jìn)行綁定（如：1412009230）。

綁定完成之后，用戶(hù)以1412009230@不同的后綴的形式進(jìn)行接入，并由校園網(wǎng)Radius根據(jù)不同的后綴將用戶(hù)名轉(zhuǎn)譯后送往不同的運(yùn)營(yíng)商Radius

2.4.2 PPPoE認(rèn)證流程

1、 用戶(hù)輸入用戶(hù)名142009230@ct進(jìn)行撥號(hào)；2、 MX960將認(rèn)證信息送往校園網(wǎng)Radius；3、 校園網(wǎng)Radius將142009230（學(xué)號(hào)）轉(zhuǎn)譯成13333333333（實(shí)際在運(yùn)營(yíng)商開(kāi)戶(hù)賬號(hào)），并根據(jù)認(rèn)證報(bào)文所攜帶的后綴為@ct將認(rèn)證信息送往電信Radius

4.1、認(rèn)證失敗則電信Radius返回相關(guān)報(bào)錯(cuò)信息（如access-reject）給校園網(wǎng)Radius，校園網(wǎng)Radius將相關(guān)信息傳遞給MX960，MX960傳遞給終端后在PC上顯示相關(guān)報(bào)錯(cuò)

4.2、認(rèn)證成功則電信Radius返回access-accept，且返回相關(guān)私有屬性

5、校園網(wǎng)Radius將返回的私有屬性轉(zhuǎn)譯成Juniper相關(guān)私有屬性，并返回給MX960

6、MX960根據(jù)返回的String調(diào)用本地Qos模板實(shí)現(xiàn)限速、訪問(wèn)控制

2.4.3 IPoE認(rèn)證流程

1、用戶(hù)輸入用戶(hù)名142009230在Portal頁(yè)面上登陸；2、 Portal服務(wù)器將相關(guān)用戶(hù)名字前遞給校園網(wǎng)Radius；3、 校園網(wǎng)Radius將142009230（學(xué)號(hào)）轉(zhuǎn)譯成13333333333（實(shí)際在運(yùn)營(yíng)商開(kāi)戶(hù)賬號(hào)），并根據(jù)認(rèn)證報(bào)文所攜帶的后綴為@ct將認(rèn)證信息送往電信Radius；4、 認(rèn)證失敗則電信Radius返回相關(guān)報(bào)錯(cuò)信息（如access-reject）給校園網(wǎng)Radius，校園網(wǎng)Radius將相關(guān)信息傳遞給Portal服務(wù)器，Portal頁(yè)面顯示錯(cuò)誤信息；認(rèn)證成功則電信Radius返回接入認(rèn)證成功，校園網(wǎng)Radius下發(fā)COA消息更改該用戶(hù)的上網(wǎng)認(rèn)證策略；5、MX960根據(jù)返回COA消息的String調(diào)用本地Qos模板實(shí)現(xiàn)限速、訪問(wèn)控制（作者單位：江西財(cái)經(jīng)職業(yè)學(xué)院）