冰川高校PPPOE方案.pdf

高校三层转二层 网络计费解决方案 目 录 网络架构2 方案3 方案特点：3 1 用户管理和开销方面：3 2 计费策略方面4 3 用户服务策略定制方面4 4 信息安全方面4 5 第三层广播风暴5 6 PPPoE 认证优势5 方案实施：5 主要配置:6 交换机配置6 冰川一体化接入控制器配置8 GBMS 配置10 测试12 总结13 前 言 当前，随着高校校园网络规模不断扩大，除建立一个稳定可靠的网络外，选 择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有这样几种：交 换机厂商的802.1X认证模式、三方认证的客户端认证模式、PPPoE模式和WEB 认证模块。随着网络规模扩大和复杂度增加，802.1X模式越来越体现其局限性： 单一品牌交换机支持和维护过于复杂，相比而言PPPoE接入方式以其扩展性， 维护容易越来越体现出较强的优越性，PPPOE和WEB认证将成为未来主流的认 证方式。 传统高校网络模式以三层为主：核心层、汇聚层、接入层。而 PPPOE模式 是纯二层模式，如何将两者有效结合起来，保护现有投资，本方案以一个高校为 例，将VLAN技术与PPPoE相结合，采用BRAS 和RADIUS接入认证，完成了 PPPoE在校园网中的部署，供各位参考。 网络架构 该校使用100M移动光纤接入，在防火墙后接DMZ区域即服务器区域与冰 川宽带接入控制器（主要负责PPPOE拨号功能，为教学区和家属区终端用户提 供拨号认证计费服务），下面与教学区和学校家属区的核心交换机相连。 方案 由于原有网络已在教学区核心交换机和家属区核心交换机上划分VLAN 并 正常运行，在尽量不更改原有网络架构的基础上，我们决定采用 PPPOE拨号认 证的方案，将原有的网络三层模式更改为二层拨号模式，根据帐户使用范围需要 划分为两个组，一个组在教学区使用，可以教学区所有的VLAN 拨号，不能在 家属区使用，一个组在家属区使用，可以在家属区所有的VLAN 拨号使用。针 IP 对不同的组分配 段。 方案特点： 在不更改原有网络架构，不必重新划分VLAN等将原有的网络三层服务更 改为二层服务，可避免ARP攻击等服务，原由用户可直接利用Windows自带的 宽带拨号方式进行拨号上网，操作简单，有由冰川宽带运营系统提供拨号认证及 计费服务。 冰川宽带接入控制器主要完成两方面功能，一是网络承载功能：负责终结用 户的PPPoE（Point-to-PointProtocol OverEthernet,是一种以太网上传送PPP会话 的方式）连接、汇聚用户的流量功能；二是控制实现功能：与认证系统、计费系 统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理 功能。 PPPOE的主要优势 1 1 11 用户管理和开销方面： 随着网络规模的扩大，传统上固定 IP 地址管理方式变得比较困难，用户恶 意更改或者尝试自行设置自己的IP 地址，都会造成管理上的麻烦，增加管理的 额外开销。 而DHCP 管理方式，一方面存在较多的广播开销，对于用户较多的局域网 会造成网络运行效率下降和配置困难；另一方面，仍然无法解决用户自行配置IP 地址的问题。 PPPoE由于采用动态分配IP 地址方式，用户拨号后无需自行配置IP 地址、 网关、域名等，它们均是自动生成，不存在用户自行更改 IP 地址的问题，对用 户管理方便，而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装， 这两个封装加起来也只有8个字节，广播开销很小。 2 2 22 计费策略方面 IP DHCP 固定 和 方式计费策略不灵活，一般采用包月制，如要实现流量计 费功能则必须要有相应的流量监视或采集系统，或是在高端路由器上启动记帐功 能，然后应用SNMP进行计费，这有可能造成路由器运行效率下降。 PPPoE则可以实现对用户的灵活计费，可以按时长、流量计费，也可采用包 月制。 3 3 33 用户服务策略定制方面