讓用戶(hù)自由選擇網(wǎng)絡(luò)出口

引言： 某校與電信、聯(lián)通、移動(dòng)三家運(yùn)營(yíng)商合作，以市場(chǎng)化運(yùn)營(yíng)方式實(shí)現(xiàn)校方和運(yùn)營(yíng)商的雙贏，同時(shí)為解決長(zhǎng)期以來(lái)各個(gè)宿舍區(qū)域?qū)W生只能選擇某一個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)的困境，在不新增加線路的情況下，利用原有各個(gè)運(yùn)營(yíng)商的線路，根據(jù)業(yè)務(wù)需求，采用某公司運(yùn)營(yíng)商SAM方案來(lái)實(shí)現(xiàn)校園SAM與運(yùn)營(yíng)商Radius系統(tǒng)對(duì)接，實(shí)現(xiàn)學(xué)校與運(yùn)營(yíng)商共同運(yùn)營(yíng)校園網(wǎng)。

方案概述

1.目標(biāo)

基于三家運(yùn)營(yíng)商（電信、聯(lián)通、移動(dòng)）共同運(yùn)營(yíng)校園網(wǎng)的業(yè)務(wù)需求，以及學(xué)校對(duì)整個(gè)校園網(wǎng)進(jìn)行統(tǒng)一運(yùn)營(yíng)、管理的需求，需要實(shí)現(xiàn)運(yùn)營(yíng)商賬號(hào)的開(kāi)通、認(rèn)證、計(jì)費(fèi)都在運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)上完成，然后在校園SAM系統(tǒng)上完成運(yùn)營(yíng)商賬號(hào)與校園網(wǎng)賬號(hào)的綁定，既運(yùn)營(yíng)商寬帶賬號(hào)統(tǒng)一管理，防止私開(kāi)寬帶賬號(hào)和帶寬不一致的問(wèn)題。為達(dá)到上述目標(biāo)，將學(xué)校的SAM認(rèn)證計(jì)費(fèi)管理系統(tǒng)和運(yùn)營(yíng)商Radius系統(tǒng)進(jìn)行對(duì)接。

2.相關(guān)協(xié)議

如圖1所示，校園網(wǎng)SAM和運(yùn)營(yíng)商SAM之間使用radius-proxy進(jìn)行交互，運(yùn)營(yíng)商SAM和運(yùn)營(yíng)商Radius之間也使用radius-proxy進(jìn)行交互。

圖1 協(xié)議交互圖

Radius-proxy報(bào)文，本質(zhì)上還是Radius報(bào)文，但有一定區(qū)別。

詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)

1.總體需求

總體需求如下：運(yùn)營(yíng)商保留經(jīng)營(yíng)權(quán)，自主掌控開(kāi)戶(hù)、計(jì)費(fèi)、收費(fèi)、銷(xiāo)戶(hù)等運(yùn)營(yíng)關(guān)鍵環(huán)節(jié)，保障運(yùn)營(yíng)收入。學(xué)校要求校園網(wǎng)實(shí)現(xiàn)統(tǒng)一平臺(tái)，即全?！敖y(tǒng)一賬號(hào)、統(tǒng)一運(yùn)營(yíng)、統(tǒng)一管理”。學(xué)校要求校園網(wǎng)可自主管控，配合規(guī)范教學(xué)秩序，針對(duì)時(shí)間段、接入?yún)^(qū)域、用戶(hù)身份類(lèi)型等方面信息對(duì)用戶(hù)進(jìn)行精細(xì)化管理。

表1 擬用設(shè)備

2.拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)出口拓?fù)鋱D如圖2。拓?fù)湔f(shuō)明：

（1）核心N18014上配置3條默認(rèn)路由指向3臺(tái)RSR7716-X路由器，實(shí)現(xiàn)路由負(fù)載均衡。

（2）3臺(tái) RSR7716-X設(shè)備都配置默認(rèn)路由指向辦公網(wǎng)出口NPE60E設(shè)備，每臺(tái)RSR7716-X設(shè)備都為3家運(yùn)營(yíng)商鏈路配置用戶(hù)路由（基于源IP的動(dòng)態(tài)策略路由）。

（3）辦公網(wǎng)用戶(hù)數(shù)據(jù)和服務(wù)器數(shù)據(jù)將從NPE60E設(shè)備到達(dá)外網(wǎng)。

圖1 網(wǎng)絡(luò)出口拓?fù)鋱D

（4）運(yùn)營(yíng)商用戶(hù)在RSR7716-X上匹配用戶(hù)路由，使用戶(hù)數(shù)據(jù)從對(duì)應(yīng)的運(yùn)營(yíng)商鏈路到外網(wǎng)。

系統(tǒng)對(duì)接拓?fù)鋱D如圖3。

在運(yùn)營(yíng)商側(cè)或?qū)W校側(cè)部署運(yùn)營(yíng)商版SAM，分別與運(yùn)營(yíng)商Radius、校園網(wǎng)SAM進(jìn)行對(duì)接，實(shí)現(xiàn)學(xué)生開(kāi)戶(hù)的運(yùn)營(yíng)商賬號(hào)與校園網(wǎng)賬號(hào)關(guān)聯(lián)統(tǒng)一，為學(xué)校保留校園網(wǎng)運(yùn)營(yíng)管理權(quán)力；實(shí)現(xiàn)學(xué)校只認(rèn)證校園網(wǎng)賬號(hào)，關(guān)聯(lián)運(yùn)營(yíng)商賬號(hào)的登錄均轉(zhuǎn)發(fā)至運(yùn)營(yíng)商Radius進(jìn)行認(rèn)證計(jì)費(fèi)和套餐策略下發(fā)，保障運(yùn)營(yíng)商自有的運(yùn)營(yíng)模式不受沖擊。

校園網(wǎng)出口部署RSR7716-X路由器與校園SAM聯(lián)動(dòng)，實(shí)現(xiàn)同一LAN或同一SSID下多運(yùn)營(yíng)商賬號(hào)登錄后出口流量的正確選路(電信賬號(hào)走電信出口，聯(lián)通賬號(hào)走聯(lián)通出口，移動(dòng)賬號(hào)走移動(dòng)出口，校園網(wǎng)賬號(hào)走辦公網(wǎng)出口)。同時(shí)，實(shí)現(xiàn)基于用戶(hù)的限速與基于用戶(hù)的流量記錄，運(yùn)營(yíng)商可開(kāi)通一系列固定帶寬套餐，并為流量套餐采集流量數(shù)據(jù)。

圖3 系統(tǒng)對(duì)接拓?fù)鋱D

網(wǎng)絡(luò)方案設(shè)計(jì)及實(shí)現(xiàn)

1.運(yùn)營(yíng)商SAM部署方式

本例中3套運(yùn)營(yíng)商SAM系統(tǒng)都部署在學(xué)校網(wǎng)絡(luò)中心機(jī)房，分別將運(yùn)營(yíng)商SAM服務(wù)器私網(wǎng)IP地址映射成對(duì)應(yīng)運(yùn)營(yíng)商的出口鏈路公網(wǎng)IP地址，運(yùn)營(yíng)商SAM系統(tǒng)與運(yùn)營(yíng)Radius系統(tǒng)之間交互的radius-proxy報(bào)文通過(guò)公網(wǎng)鏈路進(jìn)行傳輸。

接著，在校園SAM系統(tǒng)配置Radius上傳屬性定制規(guī)則――認(rèn)證和記賬報(bào)文上傳NAS設(shè)備公網(wǎng)IP地址（即運(yùn)營(yíng)商SAM服務(wù)器映射的公網(wǎng)IP地址）。

2.運(yùn)營(yíng)商SAM系統(tǒng)與運(yùn)營(yíng)商Radius系統(tǒng)對(duì)接實(shí)現(xiàn)

（1）運(yùn)營(yíng)商Radius系統(tǒng)將運(yùn)營(yíng)商SAM系統(tǒng)當(dāng)作一臺(tái)BRAS設(shè)備添加，運(yùn)營(yíng)商Radius系統(tǒng)接收并處理運(yùn)營(yíng)商SAM系統(tǒng)發(fā)送的Radius Proxy報(bào)文即可。

（2）在校園網(wǎng)SAM上添加運(yùn)營(yíng)商SAM和運(yùn)營(yíng)商Radius的對(duì)接參數(shù)，及在運(yùn)營(yíng)商SAM上添加校園網(wǎng)SAM和運(yùn)營(yíng)商radius-server信息。

3.路由選路實(shí)現(xiàn)

校園SAM系統(tǒng)與出口RSR7716-X路由器聯(lián)動(dòng)，校園SAM將用戶(hù)上線信息（含運(yùn)營(yíng)商屬性）同步給RSR7716-X設(shè)備，不同運(yùn)營(yíng)商的用戶(hù)在RSR7716-X設(shè)備上歸屬于不同的user-group。RSR7716-X設(shè)備上user-group可以被ACL調(diào)用，ACL再關(guān)聯(lián)策略路由，實(shí)現(xiàn)用戶(hù)訪問(wèn)外網(wǎng)的數(shù)據(jù)流轉(zhuǎn)發(fā)至相應(yīng)的運(yùn)營(yíng)商鏈路，即基于用戶(hù)運(yùn)營(yíng)商屬性進(jìn)行選路。

4.運(yùn)營(yíng)商系統(tǒng)下傳用戶(hù)帶寬屬性設(shè)計(jì)

運(yùn)營(yíng)商Radius系統(tǒng)將運(yùn)營(yíng)商SAM系統(tǒng)當(dāng)作一臺(tái)BRAS設(shè)備，用戶(hù)認(rèn)證成功后，運(yùn)營(yíng)商Radius系統(tǒng)將用戶(hù)帶寬值填充在Radius報(bào)文的廠商自定義屬性段中。校園SAM系統(tǒng)提取該屬性值轉(zhuǎn)換為RSR7716-X路由器出口聯(lián)動(dòng)策略名（user-group），針對(duì)不同運(yùn)營(yíng)商、不同的帶寬值配置相應(yīng)的user-group；RSR7716-X設(shè)備上usergroup可以被ACL調(diào)用，ACL再被限速策略調(diào)用，從而實(shí)現(xiàn)運(yùn)營(yíng)商Radius系統(tǒng)下傳帶寬屬性的對(duì)接需求。

圖4 運(yùn)行效果圖

5.DNS域名解析實(shí)現(xiàn)

本例中全網(wǎng)用戶(hù)IP地址采用DHCP方式獲取，DHCP下發(fā)的DNS服務(wù)器首選地址為114.114.114.144、備選服務(wù)器地址為8.8.8.8。然而，全網(wǎng)分布著電信、移動(dòng)、聯(lián)通三家運(yùn)營(yíng)商的用戶(hù)，如果用戶(hù)采用獲取的DNS服務(wù)器地址進(jìn)行公網(wǎng)域名解析，必然會(huì)出現(xiàn)部分域名無(wú)法解析，或者跨運(yùn)營(yíng)商訪問(wèn)的情況。如果用戶(hù)采用獲取的DNS服務(wù)器地址進(jìn)行校內(nèi)域名解釋?zhuān)厝粫?huì)出現(xiàn)部分域名無(wú)法解析，或者解析為公網(wǎng)IP的情況（最佳解析結(jié)果應(yīng)該為校內(nèi)私網(wǎng)IP）。為解決該問(wèn)題，在出口RSR7716-X設(shè)備上啟用DNS正向代理和DNS重定向功能。

DNS正向代理原理

1.RSR7716-X設(shè)備截取用戶(hù)解析公網(wǎng)域名的DNS請(qǐng)求報(bào)文，修改該報(bào)文中的目的DNS服務(wù)器IP地址為對(duì)應(yīng)出口運(yùn)營(yíng)商線路上配置的正確的DNS地址，并把報(bào)文從該出口轉(zhuǎn)發(fā)。

2.相應(yīng)的DNS服務(wù)器對(duì)請(qǐng)求作出響應(yīng)后，RSR7716-X會(huì)把相應(yīng)的響應(yīng)報(bào)文源IP替換為用戶(hù)的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障不同運(yùn)營(yíng)用戶(hù)解析公網(wǎng)域名時(shí)采用的本運(yùn)營(yíng)商的DNS服務(wù)器的解析結(jié)果。

DNS重定向原理

1.RSR7716-X設(shè)備截取用戶(hù)解析校內(nèi)域名的DNS請(qǐng)求報(bào)文，修改該報(bào)文中的目的DNS服務(wù)器IP地址為校內(nèi)DNS服務(wù)器IP地址，源IP替換為RSR7716-X設(shè)備內(nèi)網(wǎng)口IP，然把修改后的報(bào)文從內(nèi)網(wǎng)口轉(zhuǎn)發(fā)給內(nèi)DNS服務(wù)器。

2.內(nèi)網(wǎng)的DNS服務(wù)器對(duì)請(qǐng)求作出響應(yīng)后，RSR7716-X會(huì)把相應(yīng)的響應(yīng)報(bào)文源IP替換為用戶(hù)的目標(biāo)DNS服務(wù)器IP，然后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC，從而保障校內(nèi)域名解析為校內(nèi)私網(wǎng)IP。

運(yùn)行效果

系統(tǒng)開(kāi)通運(yùn)行后，多個(gè)用戶(hù)可在同一個(gè)寢室同一條線路上選擇不同運(yùn)營(yíng)商網(wǎng)絡(luò)，體驗(yàn)良好，平均在線用戶(hù)達(dá)到2萬(wàn)余人。