(中国矿业大学现代教育技术中心,江苏 徐州 221008)
摘 要 介绍了PPPoE与VLAN相结合的 校园网宽带接入方式,详细分析了BRAS与RADIUS的配置情况。
关键词 PPPoE;VLAN;BRAS;RADIUS
1 引言 当前,随着高校校园 网络规模不断扩大,除建立一个稳定可靠的网络外,选择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有3种,固定IP、 DHCP和PPPoE。分别在网络不同发展阶段发挥相应的作用。但随着网络规模扩大和复杂度增加,PPPoE接入方式越来越体现出较强的优越性。我校将VLAN技术与PPPoE相结合,采用BRAS和RADIUS接入 认证,完成了PPPoE在校园网中的部署。
2 三种宽带接入方式的比较 2.1 用户管理和开销方面: 随着网络规模的扩大,传统上固定IP地址管理方式变得比较困难,用户恶意更改或者尝试自行设置自己的IP地址,都会造成管理上的麻烦,增加管理的额外开销。
而DHCP管理方式,一方面存在较多的广播开销,对于用户较多的局域网会造成网络运行效率下降和配置困难;另一方面,仍然无法 解决用户自行配置IP地址的问题。
PPPoE由于采用动态分配IP地址方式,用户拨号后无需自行配置IP地址、网关、域名等,它们均是自动生成,不存在用户自行更改IP地址的问题,对用户管理方便,而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装,这两个封装加起来也只有8个字节,广播开销很小。
2.2 计费策略方面 固定IP和DHCP方式计费策略不灵活,一般采用包月制,如要实现流量计费功能则必须要有相应的流量监视或采集系统,或是在高端路由器上启动记帐功能,然后应用SNMP进行计费,这有可能造成路由器运行效率下降。
PPPoE则可以实现对用户的灵活计费,可以按时长、流量计费,也可采用包月制。
2.3 用户服务策略定制方面 固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务,若要对特定用户进行流量控制,必须购买流量控制设备。
PPPoE支持业务QoS保证,可方便地对用户进行实时流量控制。
2.4 信息安全方面 固定IP、DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题,将局域网交换机的每个端口配置成独立的VLAN,利用VLAN可以隔离 ARP、DHCP等携带用户信息的广播消息,从而使用户数据安全性得到提高。固定IP地址方式为了识别用户合法性需将IP地址和端口VID进行绑定,每个用户处于逻辑上独立的网内,所以对每个用户要配置一个子网的4个IP地址:子网地址、网关地址、子网广播地址和用户主机地址,这样会造成地址利用率降低,而PPPoE采用认证、授权的方式不存在这个问题。
2.5 第三层广播风暴 固定IP和DHCP方式都不能解决第三层广播风暴问题,第三层广播风暴影响同一IP子网所有用户的使用质量。PPPoE方式由于采用二层隧道认证,所有链路设备都工作在第二层,不存在第三层广播风暴问题。
2.6 PPPoE认证优势 PPPoE认证客户机首先要有PPPoE协议驱动软件,在前端由BRAS 服务器配合RADIUS服务器实现对用户的认证、计费。
认证过程:用户拨号发出请求,经过网络传送到BRAS服务器,BRAS服务器接到请求后向RADIUS服务器发出ACCESS REQUEST请求包,其中含有用户的帐号、密码、端口类型等,经RADIUS服务器核实后,向BRAS回送ACCESS REPONSE响应包,其中包含用户的合法性和一些设置,如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络,联网期间BRAS不断向RADIUS发送计费信息,这些信息包括用户的 上网时间、用户流量、用户下网时间等,以便RADIUS准确计费。
以上比较可以看出,PPPoE同其它两种接入方式相比具有较大的优势。而从PPPoE认证过程可以看出,BRAS服务器在整个链路中起到关键的作用,要实现大而全的功能,包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能。
3 我校PPPoE接入情况 中国矿业大学校园网以Cisco6513为网络核心,以Cisco6503作为边界路由器连接出口。在PPPoE接入中,以Juniper ERX-310作为BRAS,与核心交换机Cisco6513的Gi12/26口做三层对接,以迪威达康认证计费管理系统作为Radius服务器。 锐捷6806与锐捷21系列交换机跟Cisco6513之间起TRUNK协议,各接入层交换机下连端口指定二层VLAN158,提供认证服务。
详细网络结构如图1所示。
3.1 Cisco6513配置 做端口对接,并设置允许用于认证的二层隧道,VLAN158。
interface GigabitEthernet12/26
description link_erx_gi1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 158
switchport mode trunk
no ip address
rmon collection stats 6083 owner monitor
!
指定对接VLAN
interface Vlan401
description link-juniper310_default
ip address 172.30.1.1 255.255.255.252
ip route-cache flow
!
做针对地址池的路由
ip route 219.219.42.128 255.255.255.128 172.30.1.2
ip route 219.219.43.128 255.255.255.128 172.30.1.2
3.2 Juniper ERX-310对接配置 interface gigabitEthernet 1/0.10
vlan id 401
ip address 172.30.1.2 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 172.30.1.1
3.3 Juniper ERX-310主要配置 采用default 虚拟路由器(VR)配置
virtual-router default
!
aaa domain-map none
router-name default
ipv6-router-name default
!
PROFILE定义配置,PROFILE用来指定一个IP 端口的相关的属性或特性,只要在全局定义一次,就可以在多个VR中被多个接口应用。
profile pppoetest
ip unnumbered loopback 0
ppp authentication pap chap
ppp keepalive 300
pppoe url "cn.juniper.net"
!
aaa详细参数配置
virtual-router default
aaa authentication atm1483 default radius
aaa accounting atm1483 default radius
aaa authentication ip default radius
aaa accounting ip default radius
aaa authentication ipsec default radius
aaa accounting ipsec default radius
aaa dns primary 202.119.200.10
aaa dns secondary 202.119.199.67
aaa authentication ppp default radius
aaa accounting ppp default radius
!
ip address-pool local
aaa authentication radius-relay default radius
aaa accounting radius-relay default radius
aaa authentication tunnel default radius
aaa accounting tunnel default radius
!
指定域名解析服务器配置
ip domain-lookup
ip name-server 202.119.199.67
ip name-server 202.119.200.10
!
配置作为参考用的LOOPBACK端口
interface null 0
interface loopback 0
ip address 219.219.43.129 255.255.255.255
!
局域网PPPoE接口配置,在这里一定要指明用于透传的Vlan id。
interface gigabitEthernet 1/1.158
vlan id 158
pppoe
pppoe auto-configure
pppoe profile any pppoetest
!
地址池配置
ip local pool tel
ip local pool tel 219.219.43.130 219.219.43.254
ip local pool tel 219.219.42.130 219.219.42.254
指定Radius认证服务器,并且设置密钥。
radius authentication server 202.119.199.7
key 000000
!
radius accounting server 202.119.199.7
key 000000
!
radius update-source-addr 219.219.43.129
!
3.4 Radius服务器配置 Radius 服务器采用迪威达康认证计费管理系统。
其中最重要的一步操作是指定与BRAS地址池定义相匹配的网关。
详细网关设置情况,如图2所示。
在这里设置网关分别为219.219.42.129、219.219.43.129,密钥为”000000”,跟Juniper ERX-310的配置相一致。
通过认证计费管理系统,可以进行方便的管理,这里仅以在线列表统计情况为例。
详情如图3所示。
3.5 PPPoE客户端说明 WinXP及以后的版本,系统自带比较好用的PPPoE客户端软件, Linux系统也可以通过PPPoE拨号认证上网,win2000及以前的本版,需要另外下载PPPoE客户端软件。
4 结论 经使用和论证,PPPoE+VLAN技术可以作为校园网比较理想的宽带接入方式。但在实际使用中,一些 病毒比较集中的区域,如多媒体教学区,会存在二层广播流量大,导致交换机 CPU利用率偏高的问题,对于这种情况,可以结合PVLAN、QinQ等技术进行实施,以完善PPPoE接入,提高网络运行效率。
参考文献[1]思科网络技术学院教程.美.cisco system公司.cisco networking academy program著
[2] PPPOE宽带接入技术及常见 故障分析.http://www.chinalab.com
[3]http://www.bokee.net/companymodule/Weblog_view Entry.do?id=88719
[4]http://www.3800hk.com/Article/wlyy/kdjr/jsyykdjr/ 2005-08-06/Article_43119.html
http://www.zclw.net/article/sort040/sort041/info-6054.html
摘 要 介绍了PPPoE与VLAN相结合的 校园网宽带接入方式,详细分析了BRAS与RADIUS的配置情况。
关键词 PPPoE;VLAN;BRAS;RADIUS
1 引言 当前,随着高校校园 网络规模不断扩大,除建立一个稳定可靠的网络外,选择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有3种,固定IP、 DHCP和PPPoE。分别在网络不同发展阶段发挥相应的作用。但随着网络规模扩大和复杂度增加,PPPoE接入方式越来越体现出较强的优越性。我校将VLAN技术与PPPoE相结合,采用BRAS和RADIUS接入 认证,完成了PPPoE在校园网中的部署。
2 三种宽带接入方式的比较 2.1 用户管理和开销方面: 随着网络规模的扩大,传统上固定IP地址管理方式变得比较困难,用户恶意更改或者尝试自行设置自己的IP地址,都会造成管理上的麻烦,增加管理的额外开销。
而DHCP管理方式,一方面存在较多的广播开销,对于用户较多的局域网会造成网络运行效率下降和配置困难;另一方面,仍然无法 解决用户自行配置IP地址的问题。
PPPoE由于采用动态分配IP地址方式,用户拨号后无需自行配置IP地址、网关、域名等,它们均是自动生成,不存在用户自行更改IP地址的问题,对用户管理方便,而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装,这两个封装加起来也只有8个字节,广播开销很小。
2.2 计费策略方面 固定IP和DHCP方式计费策略不灵活,一般采用包月制,如要实现流量计费功能则必须要有相应的流量监视或采集系统,或是在高端路由器上启动记帐功能,然后应用SNMP进行计费,这有可能造成路由器运行效率下降。
PPPoE则可以实现对用户的灵活计费,可以按时长、流量计费,也可采用包月制。
2.3 用户服务策略定制方面 固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务,若要对特定用户进行流量控制,必须购买流量控制设备。
PPPoE支持业务QoS保证,可方便地对用户进行实时流量控制。
2.4 信息安全方面 固定IP、DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题,将局域网交换机的每个端口配置成独立的VLAN,利用VLAN可以隔离 ARP、DHCP等携带用户信息的广播消息,从而使用户数据安全性得到提高。固定IP地址方式为了识别用户合法性需将IP地址和端口VID进行绑定,每个用户处于逻辑上独立的网内,所以对每个用户要配置一个子网的4个IP地址:子网地址、网关地址、子网广播地址和用户主机地址,这样会造成地址利用率降低,而PPPoE采用认证、授权的方式不存在这个问题。
2.5 第三层广播风暴 固定IP和DHCP方式都不能解决第三层广播风暴问题,第三层广播风暴影响同一IP子网所有用户的使用质量。PPPoE方式由于采用二层隧道认证,所有链路设备都工作在第二层,不存在第三层广播风暴问题。
2.6 PPPoE认证优势 PPPoE认证客户机首先要有PPPoE协议驱动软件,在前端由BRAS 服务器配合RADIUS服务器实现对用户的认证、计费。
认证过程:用户拨号发出请求,经过网络传送到BRAS服务器,BRAS服务器接到请求后向RADIUS服务器发出ACCESS REQUEST请求包,其中含有用户的帐号、密码、端口类型等,经RADIUS服务器核实后,向BRAS回送ACCESS REPONSE响应包,其中包含用户的合法性和一些设置,如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络,联网期间BRAS不断向RADIUS发送计费信息,这些信息包括用户的 上网时间、用户流量、用户下网时间等,以便RADIUS准确计费。
以上比较可以看出,PPPoE同其它两种接入方式相比具有较大的优势。而从PPPoE认证过程可以看出,BRAS服务器在整个链路中起到关键的作用,要实现大而全的功能,包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能。
3 我校PPPoE接入情况 中国矿业大学校园网以Cisco6513为网络核心,以Cisco6503作为边界路由器连接出口。在PPPoE接入中,以Juniper ERX-310作为BRAS,与核心交换机Cisco6513的Gi12/26口做三层对接,以迪威达康认证计费管理系统作为Radius服务器。 锐捷6806与锐捷21系列交换机跟Cisco6513之间起TRUNK协议,各接入层交换机下连端口指定二层VLAN158,提供认证服务。
详细网络结构如图1所示。
图1 网络拓扑
3.1 Cisco6513配置 做端口对接,并设置允许用于认证的二层隧道,VLAN158。
interface GigabitEthernet12/26
description link_erx_gi1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 158
switchport mode trunk
no ip address
rmon collection stats 6083 owner monitor
!
指定对接VLAN
interface Vlan401
description link-juniper310_default
ip address 172.30.1.1 255.255.255.252
ip route-cache flow
!
做针对地址池的路由
ip route 219.219.42.128 255.255.255.128 172.30.1.2
ip route 219.219.43.128 255.255.255.128 172.30.1.2
3.2 Juniper ERX-310对接配置 interface gigabitEthernet 1/0.10
vlan id 401
ip address 172.30.1.2 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 172.30.1.1
3.3 Juniper ERX-310主要配置 采用default 虚拟路由器(VR)配置
virtual-router default
!
aaa domain-map none
router-name default
ipv6-router-name default
!
PROFILE定义配置,PROFILE用来指定一个IP 端口的相关的属性或特性,只要在全局定义一次,就可以在多个VR中被多个接口应用。
profile pppoetest
ip unnumbered loopback 0
ppp authentication pap chap
ppp keepalive 300
pppoe url "cn.juniper.net"
!
aaa详细参数配置
virtual-router default
aaa authentication atm1483 default radius
aaa accounting atm1483 default radius
aaa authentication ip default radius
aaa accounting ip default radius
aaa authentication ipsec default radius
aaa accounting ipsec default radius
aaa dns primary 202.119.200.10
aaa dns secondary 202.119.199.67
aaa authentication ppp default radius
aaa accounting ppp default radius
!
ip address-pool local
aaa authentication radius-relay default radius
aaa accounting radius-relay default radius
aaa authentication tunnel default radius
aaa accounting tunnel default radius
!
指定域名解析服务器配置
ip domain-lookup
ip name-server 202.119.199.67
ip name-server 202.119.200.10
!
配置作为参考用的LOOPBACK端口
interface null 0
interface loopback 0
ip address 219.219.43.129 255.255.255.255
!
局域网PPPoE接口配置,在这里一定要指明用于透传的Vlan id。
interface gigabitEthernet 1/1.158
vlan id 158
pppoe
pppoe auto-configure
pppoe profile any pppoetest
!
地址池配置
ip local pool tel
ip local pool tel 219.219.43.130 219.219.43.254
ip local pool tel 219.219.42.130 219.219.42.254
指定Radius认证服务器,并且设置密钥。
radius authentication server 202.119.199.7
key 000000
!
radius accounting server 202.119.199.7
key 000000
!
radius update-source-addr 219.219.43.129
!
3.4 Radius服务器配置 Radius 服务器采用迪威达康认证计费管理系统。
其中最重要的一步操作是指定与BRAS地址池定义相匹配的网关。
详细网关设置情况,如图2所示。
在这里设置网关分别为219.219.42.129、219.219.43.129,密钥为”000000”,跟Juniper ERX-310的配置相一致。
通过认证计费管理系统,可以进行方便的管理,这里仅以在线列表统计情况为例。
详情如图3所示。
图2 网关设置
图3 在线列表统计
3.5 PPPoE客户端说明 WinXP及以后的版本,系统自带比较好用的PPPoE客户端软件, Linux系统也可以通过PPPoE拨号认证上网,win2000及以前的本版,需要另外下载PPPoE客户端软件。
4 结论 经使用和论证,PPPoE+VLAN技术可以作为校园网比较理想的宽带接入方式。但在实际使用中,一些 病毒比较集中的区域,如多媒体教学区,会存在二层广播流量大,导致交换机 CPU利用率偏高的问题,对于这种情况,可以结合PVLAN、QinQ等技术进行实施,以完善PPPoE接入,提高网络运行效率。
参考文献[1]思科网络技术学院教程.美.cisco system公司.cisco networking academy program著
[2] PPPOE宽带接入技术及常见 故障分析.http://www.chinalab.com
[3]http://www.bokee.net/companymodule/Weblog_view Entry.do?id=88719
[4]http://www.3800hk.com/Article/wlyy/kdjr/jsyykdjr/ 2005-08-06/Article_43119.html
http://www.zclw.net/article/sort040/sort041/info-6054.html
北校区初期 有可能采用这种方式认证。
转载于:https://blog.51cto.com/liunn/231037
1331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
