合作寬帶小區網絡互聯及認證技術方案研究

龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

合作寬帶小區網絡互聯及認證技術方案研究

龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

當前家庭寬帶高速發展帶來業務管控的政策風險，本文介紹了一種新的通過移動駐地網及城域網，使用鐵通RADIUS認證及流量出口的家庭寬帶網絡互聯及認證方案，測試表明該方案業務運行穩定，有效地加快推廣家庭寬帶業務，是值得推廣的一種新的合作小區方式。

家庭寬帶；MPLS VPN；OSPF

當前，公司的家庭寬帶業務處于高速發展階段，然而家庭寬帶業務使用省公司認證以及CMNET出口不可避免的會帶來業務管控的政策風險。

為規避管控政策的同時繼續加快推廣寬帶業務的發展，有必要探索移動鐵通合作發展家庭寬帶小區的模式。本文介紹了一種新的通過移動城域網側IP專線匯聚交換機互聯鐵通城域網，實現業務流量鐵通出口的家庭寬帶網絡互聯方案。同時為克服移動鐵通互聯互通出口負荷高的問題，本文提出了通過在城域網新建鐵通出口VPN實例實現鐵通認證流量本地疏導的認證技術方案。測試表明本技術方案可行，業務運行正常，實施效果理想。

1 IP城域網及家庭寬帶網絡現狀

IP城域網采用核心層、匯聚層和接入層3層結構，如圖1所示。

核心層通過核心路由器實現與CMNET骨干網的連接，完成高速的數據轉發，并充當IP城域網出口設備。

業務接入控制層是二層網絡與三層IP網絡的轉換點，同時負責業務的控制、用戶的管理、計費信息采集等功能，是業務提供的關鍵層。業務接入控制層設備包括BRAS（寬帶接入服務器）和SR（業務路由器）。

圖1 東莞IP城域網網絡現狀

寬帶接入網是業務接入控制點以下的二層接入網絡。負責將以太網、OLT匯聚到BRAS或匯聚到業務路由器。為提高業務性能并避免以太網廣播泛濫等問題，匯聚交換機僅設置一級，并啟動VLAN。原則上城域網匯聚交換機對接業務交換機的端口模式只能為access口或QinQ端口。對于采用動態IP地址的普通上網業務如家庭寬帶應使用QinQ（兩層VLAN標簽），其中城域網的外層VLAN在城域網匯聚交換機端口劃分，目前同一板PON板下相同的業務分配了一個外層VLAN；城域網的內網VLAN在客戶端設備ONT端口劃分。

目前公司的家庭寬帶用戶通過GPON接入IP城域網的BRAS服務器，使用省公司統一認證，業務流量CMNET出口。然而這樣的認證及出口方式不可避免的會帶來業務管控的政策風險。接下來本文將介紹一種利用移動駐地網及城域網，使用鐵通RADIUS認證及流量出口的家庭寬帶網絡互聯及認證方案。

2 MPLS VPN關鍵技術

在介紹技術方案前，先簡要介紹MPLS VPN關鍵技術。 MPLS VPN可為企業提供二層和三層的虛擬互連業務，網絡主要由CE、PE和P等3部分組成：用戶網絡邊緣路由器(CE)設備直接與服務提供商網絡相連；骨干網邊緣路由器（PE）設備與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：骨干網核心路由器(P)負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。MPLS VPN一般采用圖2所示的網絡結構。

圖2 MPLS VPN網絡結構示意圖

MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(隧道標簽)和內標簽(VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發出去，然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

3 問題提出

在制定網絡互聯的技術方案時，需要解決以下問題：

(1) 要規避省公司統一認證，業務流量CMNET出口的政策風險；

(2) 保持IP城域網的整體結構及滿足城域網相關規范；

(3) 由于城域網的缺省路由被引導到CMNET，如要通過鐵通出口就必需新建IP專線匯聚交換機，將流量引導到IP專線匯聚交換機上；

(4) CMNET到鐵通互聯互通出口負荷已經較高，考慮通過東莞本地移動與鐵通的互聯鏈路進行業務流量和認證流量的疏導；

圖3 組網及認證技術方案

(5) 網絡組網需考慮到后期維護問題與故障定位的便捷性，分工界面應清晰，移動駐地網OLT盡量將為鐵通寬帶業務分配特定的外層VLAN。

4 網絡互聯及認證方案實施

4.1 技術方案

為保持IP城域網的整體結構及滿足城域網相關規范，鐵通出口不與城域網直接互聯，城域網側采用MPLSVPN方式，通過IP專線匯聚交換機互聯城域網鐵通。

網絡組網如圖3所示，選定運河SR3、二機樓SR3路由器作為鐵通出口匯聚路由器，SR上新建鐵通出口VPN實例，在與IP專線匯聚交換機互聯的端口上綁定該實例。BRAS上新建鐵通出口VPN實例，并新增一個LoopBack接口配置鐵通公網IP地址，在該接口BRAS的IP Pool上綁定該VPN實例，當用戶認證發送認證請求及獲取到的IP地址就直接在鐵通出口VPN實例中，實現與城域網公網的路由表分離。

4.2 流量引導

運河SR3、二機樓SR3與IP專線匯聚交換機通過OSPF路由方式互聯；在IP專線匯聚交換機OSPF中強制下發缺省路由；運河SR3、二機樓SR3通過OSPF路由學習到IP專線匯聚下發的缺省路由后，將缺省路由泛洪至整個城域網鐵通出口VPN實例中，鐵通出口VPN實例的缺省路由將指向運河SR3、二機樓SR3并到達IP專線匯聚交換機；流量到達IP專線匯聚交換機后查找交換機的本地路由，IP專線匯聚交換上的缺省路由指向鐵通，從而實現在從移動接入、鐵通認證、鐵通出口。

路由實現如下：

SW-BRAS-CR-SR-IP專線匯聚交換機-鐵通出口。

4.3 數據配置說明

4.3.1 新建VPN實例

4.3.2 配置到鐵通認證的LoopBack口

interface LoopBack10 description To-[GDDG_ IPMAN_TieTong_Export]

4.3.3 BGP路由配置

4.3.4 鐵通地址池

4.4 OLT側資源規劃

目前OLT同一板PON板下相同的業務分配了一個外層VLAN。考慮到合作小區日后的開通與維護工作，現將1901～1991MHz分配給用于發展鐵通用戶小區專門使用。

5 應用總結

本研究提出了一種創新的合作發展家庭寬帶的方案思路，經試點測試驗證了本文的移動鐵通合作家庭寬帶網絡組網及認證方案的可行性，業務認證撥號快速，業務運行正常、穩定，有效利用公司的網絡資源優勢，整合移動鐵通力量。本寬帶小區方案已在東莞分公司10個試點小區進行應用，累計發展用戶數達987戶，是值得推廣的一種新的合作小區的技術模式。

[1] Doraswamy N，Harkins D.IPSec－新一代因特網安全標準[M].北京：機械工業出版社，2000.

[2] 思科考試教程：CCIE路由與交換認證考試指南第三版[Z]. 2009.

[3] 陳淑榮， 馬力. 多協議標記交換（MPLS）的研究與分析[J].數據通信，2009.

[4] 郭仕剛. IP承載網MPLS VPN技術[J]. 現代電信科技， 2008，(9).

[5] 金濤， 李青， 王苑超. 基于IPSec與基于MSPL的VPN的分析與比較[J]. 計算機安全， 2007，(06).

Study of broadband interconnection and authentication scheme incooperation residential

PANG Heng-li, YANG Wen-bin, XU Tie-cheng, LI Wei, YE Yue-qing
(China Mobile Group Guangdong Co., Ltd. Dongguan Branch, Dongguan 523129, China)

The rapid development of home broadband could bring a high risk of policy control, this paper introduces a new broadband interconnection and authentication scheme, which is through ours access and metropolitan area network, and use CTT’s AAA server and internet exportation. Test shows the scheme operation stably, accelerates the promotion of broadband effectively, and it will be a new experience worth promoting about cooperation residential broadband.

broadband access; MPLS VPN; OSPF

TN915

A

1008-5599（2012）10-0020-04

2012-09-10