裴純

摘要：淺析了江西財經(jīng)職業(yè)學院多運營商接入環(huán)境下，用戶基于pppoe和ipoe的基本認證流程，分析了在一套網(wǎng)絡硬件下實現(xiàn)多運營商接入的工作流程。

關鍵詞：Radius；pppoe；ipoe；qos；認證流程

一、網(wǎng)絡構架

1.1 網(wǎng)絡拓撲

1.2 關鍵組件說明

1.2.1 網(wǎng)絡出口層。當運營商給給學生分配私網(wǎng)地址時，需要設置網(wǎng)絡出口防火墻設備進行地址轉換。

1.2.2 網(wǎng)絡核心層。江西財經(jīng)職業(yè)技術學院宿舍網(wǎng)以Juniper BAS設備MX960為核心，開啟PPPoE和IPoE終結功能，為校園網(wǎng)內的有線、無線寬帶用戶提供一體化接入功能，與Radius系統(tǒng)配合，智能化地實現(xiàn)用戶的匯聚、認證、計費、管理等服務。

部署完成后，新增MX960做為有線用戶網(wǎng)關設備，在整個校園網(wǎng)中的角色為業(yè)務控制層，實現(xiàn)：

> 宿舍區(qū)的千兆線路匯聚

> 預留接口與校園網(wǎng)辦公區(qū)核心設備MX960以網(wǎng)絡虛擬化VC技術實現(xiàn)雙機熱備、冗余

> IPv4/IPv6雙棧單播轉發(fā)

> IPv4/IPv6雙棧組播控制

> ACL、速率限制

> QoS服務

> 基于用戶的認證接入和控制

1.2.3 校園網(wǎng)Radius服務器。校園網(wǎng)Radius服務器為校園網(wǎng)用戶提供用戶的接入、認證功能，橫向與數(shù)字化校園后臺庫對接，南向作為Radius Server為來自MX960的接入認證、計費信息提供處理，北向作為Radius Client接入各家運營商的Radius服務器，實現(xiàn)兩個轉譯：

1.向上校園網(wǎng)用戶撥號用戶名的轉譯：學號-運營商帳號

2.向下將各個運營商私有屬性轉譯成MX960屬性名

1.2.4 校園網(wǎng)Portal服務器。校園網(wǎng)Portal服務器為有線無線用戶提供Web Portal界面，無線分配不同的SSID，根據(jù)不同的運營商用戶選擇接入對應的SSID，從而實現(xiàn)IP地址的提前規(guī)劃，以便根據(jù)源地址做策略路由，讓用戶出口線路走對應運營商。根據(jù)選擇的運營商不同自動為賬號添加后綴，由校園網(wǎng)Radius做進一步處理。

二、認證流程

2.1系統(tǒng)設計目標。整個認證體系邏輯上分為三層：運營商Radius、校園網(wǎng)Radius、校園網(wǎng)BAS，校園網(wǎng)Radius相對于運營商Radius來說是Radius Client，相對校園網(wǎng)BAS來說是RadiusServer，整體校園網(wǎng)實現(xiàn)有線無線一體化接入、認證，明細如下：

1、 用戶自由選擇在哪個運營商開戶；2、 用戶開戶完成后可以在自服務平臺上將開戶賬號與自己的學號進行綁定；3、 用戶日常使用過程中使用學號進行撥號；4、 校園網(wǎng)Radius完成對撥號賬號的轉譯、運營商Radius的選擇、下發(fā)私有屬性的轉譯；5、 學校具備對每個運營商實際開戶用戶數(shù)的精確統(tǒng)計能力

2.2 用戶分類

將PPPoE撥號用戶區(qū)分為以下四類：

（一） 教師賬號：用戶賬號特征為@tch，撥號完成后分配教師專用私網(wǎng)地址段，具有教育網(wǎng)及三個運營商的智能路由選路功能

（二） 電信賬號：用戶賬號特征為@ct，撥號完成后分配電信專用地址段，具有教育網(wǎng)及電信網(wǎng)絡訪問權限

（三） 移動賬號：用戶賬號特征為@cmcc，撥號完成后分配移動專用地址段，具有教育網(wǎng)及移動訪問權限

（四） 聯(lián)通賬號：用戶賬號特征為@cu，撥號完成后分配聯(lián)通專用地址段，具教育網(wǎng)及聯(lián)通訪問權限。

每個運營商開戶賬號的帶寬策略由電信運營商提供。

2.3 QoS限速。Juniper MX960 BAS根據(jù)Radius返回的賬號屬性調用MX960上的QoS限速模板，以實現(xiàn)PPPoE/IPoE用戶的自動QoS，流程如下：

1、用戶撥號，相應報文通過交換機到達MX960；2、MX960根據(jù)PPPoE/IPoE報文的內外層VLAN自動創(chuàng)建接入點；3、MX960將撥號用戶認證報文前遞到Radius服務器；4、Radius通過認證后返回限速模板屬性“1m”（假設）；5、MX960根據(jù)返回的屬性值“1m”調用本地創(chuàng)建的限速模板“1m”；6、MX960開始分配IP；7、獲得IP后 SESSION建立

2.4 業(yè)務流程

2.4.1用戶開戶。用戶可以自由在各家運營商開戶，開戶完成拿到相關用戶名密碼后，在城市熱點Radius服務器的自服務平臺上將運營商開戶的賬號（如：13333333333）與學生自己的學號進行綁定（如：1412009230）。

綁定完成之后，用戶以1412009230@不同的后綴的形式進行接入，并由校園網(wǎng)Radius根據(jù)不同的后綴將用戶名轉譯后送往不同的運營商Radius

2.4.2 PPPoE認證流程

1、 用戶輸入用戶名142009230@ct進行撥號；2、 MX960將認證信息送往校園網(wǎng)Radius；3、 校園網(wǎng)Radius將142009230（學號）轉譯成13333333333（實際在運營商開戶賬號），并根據(jù)認證報文所攜帶的后綴為@ct將認證信息送往電信Radius

4.1、認證失敗則電信Radius返回相關報錯信息（如access-reject）給校園網(wǎng)Radius，校園網(wǎng)Radius將相關信息傳遞給MX960，MX960傳遞給終端后在PC上顯示相關報錯

4.2、認證成功則電信Radius返回access-accept，且返回相關私有屬性

5、校園網(wǎng)Radius將返回的私有屬性轉譯成Juniper相關私有屬性，并返回給MX960

6、MX960根據(jù)返回的String調用本地Qos模板實現(xiàn)限速、訪問控制

2.4.3 IPoE認證流程

1、用戶輸入用戶名142009230在Portal頁面上登陸；2、 Portal服務器將相關用戶名字前遞給校園網(wǎng)Radius；3、 校園網(wǎng)Radius將142009230（學號）轉譯成13333333333（實際在運營商開戶賬號），并根據(jù)認證報文所攜帶的后綴為@ct將認證信息送往電信Radius；4、 認證失敗則電信Radius返回相關報錯信息（如access-reject）給校園網(wǎng)Radius，校園網(wǎng)Radius將相關信息傳遞給Portal服務器，Portal頁面顯示錯誤信息；認證成功則電信Radius返回接入認證成功，校園網(wǎng)Radius下發(fā)COA消息更改該用戶的上網(wǎng)認證策略；5、MX960根據(jù)返回COA消息的String調用本地Qos模板實現(xiàn)限速、訪問控制（作者單位：江西財經(jīng)職業(yè)學院）