底層突破PPPOE 機制

四川 黃生海

隨著光網的普遍覆蓋，類似光網PON網絡的隔離機制比如局域網內每PC 機直接單獨1個光貓PPPOE 家庭式撥號直接上網方式逐漸盛行。這種架構客戶也很滿意，因為不用再花精力和時間、成本在網絡維護上了，只管使用，其他交給運營商（就只有皮線光纜線路問題）！但是這種情況下問題又來了，業務專網咋辦？（該情景要求非物理隔離、邏輯隔離環境下PC 能安全使用專網業務系統同時訪問互聯網，且避免傳統局域網模式建設組網情況的種種弊端）

最近在實施某政務外網項目中成功攻克各種技術難題，覓得巧妙實施解決方案，其在各種實際環境下的運用也具有極大的推廣價值！

項目現狀及需求

某單位近60 余辦公室，多年前建設采取的交換機+網線接入每辦公室PPPOE 撥號方式上網，因每辦公室單獨一個VLAN，嚴格隔離，加之采取的點到點PPPOE 方式，所以長期以來運行穩定，沒出現過病毒擴散、環路影響等問題。

隨著日益強烈的信息化需求，某政務單位提出每個辦公室上政務外網的需求，因為大樓剛剛裝修好，根本無法放線進去，且每辦公室敷設線路開通也根本不太現實！

項目分析

傳統方式想到的是把每個辦公室現有的上網方式改為大局域網模式，通過中心機房匯聚后策略路由NAT 方式不同網絡不同出口解決，但是這種回歸原始的組網模式將必然出現各種局域網問題，網絡質量和穩定肯定下降，由此帶來的客戶感知，以及大動作改造帶來的工作量和改造期網絡的運行問題都是一個巨大的挑戰！

還想到的方案是在大樓出口設備上進行截流采取重定向方式實現2個網絡訪問的不同走向實現，但是每個辦公室出來的是PPPOE 報文，IP 頭前面已經封裝了1 層PPP頭，2層/3層設備根本無法對流量進行抓取，包括源MAC 方式，也無法根據不同訪問目的IP 進行下一條的選取！

既然以上2 種方案均無法采取，想到的思路就是能否實現報文去掉PPP 頭封裝又不變目前的上網模式？在目前技術要想在某個層面實現幾無可能。

項目場景及具體解決方案

目前PPPOE 報文經過2/3 層交換機后在BAS 進行終結，專網情景下要求PC 為靜態IP 或者DHCP 服務器下發IP，能否在同1臺PC 上進行雙場景整合，同時接入鏈路共享，并根據不同網絡需求在不同地方進行終結？

經過實際測試，思路可行！具體請詳見圖1。

圖中樓層交換機為2 層即可，只需要實現VLAN 劃分，無其他特殊配置支持和性能要求，機房的匯聚交換機為支持SUPPERVLAN 的三層交換機，一是作為PPPOE報文VLAN 的透傳，二是作為專 網SUBVLAN（子VLAN）的超級VLAN 聚合終結及專網網關，實施中PC 進入交換機的PPPOE 報文和專網報文均封裝同一VLAN 上傳（既作為PPPOE 報文VLAN 又作為專網子VLAN），以此實現2 網的同鏈路！而在客戶端PC 上當僅僅使用專網時直接發出IP報文，進行常規處理，在需要使用互聯網時客戶端進行寬帶連接撥號，撥號后根據PC路由表生成專網在本地連接上設置的IP 地址相關鏈路通道自動失效，此時僅僅互聯網通道可用，如此實施后不同時段（根據用戶選擇）只能使用某一個網，徹底實現了2 網間的邏輯隔離，同時針對原WiFi 場景（賬號在辦公室寬帶路由器上，PC DHCP方式WiFi 接入）采取路由器DHCP 禁用，不再使用WAN 口，LAN 口接入交換機方式予以解決，此時需要首先PC 無線連接上寬帶路由器，無線連接同時設置專網IP，若只使用專網直接訪問，若使用互聯網，和有線方式一樣點“寬帶連接”進行撥號即可！對于中間串了多個路由器的場合，也采取將路由器全部橋方式（只使用LAN 口和無線延伸）再PC 撥號（連接數開大）同樣方式即可。

圖1 網絡拓撲圖

圖2 三層交換機配置

圖3 上網采集

三層交換機配置，如圖2所示。

以下為測試效果：

1.有線 僅專網情況效果

專網PING 測正常。

2.有線 僅互聯網情況效果（點擊寬帶連接撥號后）

此時專網自動斷開，僅能實現互聯網出口了。

DOS 下發現PC 獲取了互聯網IP，PC 上默認路由已經撥號通道優先（躍點11<4491專網的）。

3.無線 僅專網情況效果

同有線一樣，專網PING測正常。

4.無線 僅互聯網情況效果截圖（點擊寬帶連接撥號后）

同有線一樣，此時專網自動斷開，僅能實現互聯網出口了。

DOS 下發現PC 獲取了互聯網IP，PC 上默認路由已經撥號通道優先（躍點26<4506 專網的）。

BAS 上針 對PPPOE 上網采集，如圖3 所示。

項目創新方案亮點

1.實現了終端無線WiFi環境PPPOE 撥號。

2.巧妙實現雙網同終端環境下的嚴格邏輯隔離，及單鏈路問題。

3.實現了專網終端IP的嚴格固定，避免亂用混用。

4.突破了PPPOE 報文無法截流重定向限制難題。

5.針對復雜網絡環境下無線路由設備橋接方式解決了PPPOE 報文和IP 報文的傳輸難題。

項目拓展

根據再次實際測試，在目前的FTTH PON 網絡環境下該成果同樣適用，實際中將光貓改為橋接，同時綁定無線SSID 到 橋WAN 口，PC 設置專網地址，在MPLS PE 上進行VSI（MPLS VPLS VPN）匯總收斂，同時使用相關創新隔離及安全機制，而后報文到達客戶機房三層設備進行基于MAC 定義VLAN，再在其上進行SUPPERVLAN，實現專網終結和路由，互聯網PPPOE 同VLAN 透傳到BAS進行終結解決。該方案同樣可以僅僅用于專網環境，徹底解決了所有已經出現的局域網問題，同時因為局域網接入交換機的不再使用，將徹底解決單位的內網建設和維護難題，是一套切實可行的局域網問題終極創新解決革新方案，節約了客戶單位很多成本，網絡也更加穩定，二層問題不會再出現！