學校及園區宿舍統一認證平臺組網方案研究

姚小敏，鄒文陶

（中國移動重慶分公司，重慶 401221）

0 引言

截止2020 年，重慶高校45 所，大型工業園30 個，隨著網絡技術的發展，高校及園區的網絡迫切需要改造升級，因此電信運營商需要針對這部分客戶提供一套完整的便于維護且經濟成本不高的技術組網，助力園區網絡改造升級

1 需求分析

目前學校、企業有線無線一體化，認證計費本地化，登錄終端的多樣化的網絡接入成為發展趨勢。一校（企）一認證系統、LAN 方式Wlan 成本過高，寬帶使用PPPoE 方式撥號不支持移動終端接入等成為我公司發展校園和勞動密集型企業寬帶用戶的痛點。

從公司及企業的角度，關注點有所不同。技術實現層面關注的是，如何縮短項目周期，如何減少本地認證設備投資，如何有線無線網一體化運營管理，減少維護難度，如何杜絕違規私接入。而學校及園區企業的關注點則是，如何使用分組定制學生或員工賬號登錄策略（如多類型多終端），如何搭建清晰的日志審計查詢，實現落地查人。

2 組網方案設計

2.1 設計思路

2.1.1 統一認證平臺，簡化維護管理

新建部署一套認證計費系統，對所接入的企業和學校的寬帶用戶進行認證，替代傳統的認證模式。精簡一校（企）一套的認證計費、行為管理、防火墻、大帶寬互聯網專線出口等。

2.1.2 有效控制投資、運維成本

核心側：通過簡化設備投入，由各校（企）一套認證系統方式變為統一認證集中管理，減少設備數量，大幅發揮設備性能。且簡化了以前繁多的設備廠家，節省了維護成本。

接入側：使用FTTH 方式在學校或企業寢室安裝ONT 設備，通過云AC 方式對ONT 設備的無線配置進行集中化管理。

2.1.3 個性化業務適應性

根據校（企）網絡接入場景，適應多業務發展需求，提供靈活多樣的管理策略，可根據用戶的具體需求提供高質量、個性化的數據業務運營管理平臺。

2.2 組網方案

新增認證計費設備連接BRAS，認證計費設備下掛核心交換機，對各 校（企）下沉的OLT 進行收斂。用戶使用各種數據終端通過接入FTTH 方式入室安裝的ONT（具有AP 功能的A 類ONU），經過OLT 到統一認證平臺的認證計費系統，認證計費系統portal 一個認證登的WEB 頁面給客戶，客戶填入寬帶賬號和密碼后，由認證計費設備進行代理PPPoE 撥號，撥號成功后，客戶即可訪問互聯網資源。新增一臺防火墻將認證日志等數據服務器進行隔離，新增一條互聯網專線連接防火墻，使ONT 設備可用過互聯網通道連接華為云AC，完成AP 的管理工作。本項目所涉及的認證計費設備、核心交換機均為主備配置，通過VRRP 協議進行熱備保護。

2.3 業務規劃及配置

接入層通過劃分不用的VLAN 來區分校園網不通業務；OLT 設備配置虛擬業務端口，用戶側ONU 數據封裝不同的VLAN 上報；若為PPPoE 或者WEB 認證撥號方式，則封裝不通的運營VLAN ID，透傳到學校或企業園區的運營商BRAS 側；若為IPoE 方式，則封裝校園網不通的業務VLAN ID，經過匯聚設備透傳到校園核心設備。用戶終端通過DHCP 自動獲取IP 地址和DNS，通過wifi 或者有線接入ONU。

（1）DHCP 協議是基于UDP 的應用，用戶端作為DHCP 客戶端主動向網絡發DHCPDISCOVER 廣播包。DHCP 報文由UDP 攜帶，UDP 報文是封裝在IP 數據包中，經過用戶的中斷，封裝成以太網報文，幀類型字段為0X0800。

（2）ONU 收到DHCP 的廣播報文后，在報文上加上業務對應的VLAN ID 標簽，并依次透傳至匯聚層、核心層設備。

（3）匯聚交換機作為DHCP 服務器，收到DHCP 廣播包后，回應DHCP-OFFER 報文，客戶端根據DHCPOFFER 報文選擇DHCP 服務器，發送DHCP-REQUEST報文，客戶端根據收到的DHCP-ACK 報文獲得IP 地址及相關參數信息。

（4）在用IPoE 接入期間，如果用戶要上互聯網，PC 終端可用PPPoE 撥號軟件，或者WEB 認證首頁，發起認證接入請求。

（5）接入互聯網主要包含2個階段：PPPoE 包含發現和會話兩個階段，在接入發現過程時，廣播尋找所網絡中所有PPPoE 接入服務器，PPP 報文封裝在以太幀中。

（6）OUN 收 到PPPoE 報 文 后， 加 上PPPoE 的VLAN ID 標簽，并透傳至校園認證設備上，而后分配PPPoE SESSIONID 給用戶作為標簽，PPPOE 業務完全建立。

（7）用戶終端通過按照運營商標準接入方式，進行PPP 協商，通過CHAP 或者PAP 進行驗證，并獲取BRAS 設備分的IP 地址。

（8）PC 終端完成連接后，會生成一條默認路由，與原IPoE 路由并存，但PPPOE 網關地址會取代IPoE 的默認網關，運營商開始計費。

（9）如果用戶停止訪問公網，要訪問校園網，則用戶終端可主動斷開PPPoE 撥號連接，BRAS 刪除用戶的連接信息，停止計費，PC 刪除PPP 默認路由，重新進行IPOE 過程，用戶就只能訪問校園網資源。

（10）PC 終端重新IPOE 接入時，直接發送前次分配IP 的DHCPREQUEST 報文，DHCP 服務器判斷前次分配的IP 是否空閑，如果空閑，則可以繼續使用該IP接入；如果非空閑，則發送DHCPDISCOVER 報文來申請分配新IP。

3 結束語

此組網最大的優勢是低成本高利用率，此外也得到用戶的認可及好評，目前已在渝電專等8個高校成功運用，目前已普及到全市區縣分公司。