隨著師生對網絡需求不斷增大，校園網在高校的教學、科研、學習、生活中發(fā)揮了越來越多的支撐作用，同時也推動了教育信息化的發(fā)展。為了方便教職工在家屬區(qū)使用校園網，北京師范大學于2010年開始在校內家屬區(qū)45棟家屬樓全部部署了校園網。考慮到家屬區(qū)用戶以前使用歌華或者聯(lián)通寬帶，采用撥號方式上網，習慣按帶寬計費模式，以及為了家屬區(qū)網絡維護方便，我們在家屬區(qū)網絡建設中采用了PPPoE撥號方式上網，而不是通常在校園網內采用的以太局域網方式。和校園網以太局域網相比，PPPoE撥號方式簡單，帶寬控制精準，性價比高。在與現(xiàn)有校園網網絡以及計費系統(tǒng)對接時，需要做一些特殊配置，從而保證通過家屬區(qū)方便、快速的訪問校內外資源。

PPPoE原理簡介

PPPoE(Point-to-Point Protocol over Ethernet)，以太網上的點對點協(xié)議，是將點對點協(xié)議(PPP)封裝在以太網(Ethernet)框架中的一種網絡隧道協(xié)議。由于協(xié)議中集成了PPP協(xié)議，所以實現(xiàn)了傳統(tǒng)以太網不能提供的身份驗證、加密以及壓縮等功能，也可用于調制解調器(cable modem)和數(shù)字用戶線路(DSL)等以以太網協(xié)議向用戶提供接入服務的協(xié)議體系。

PPPoE建立過程可以分為Discovery階段和PPP 會話階段。Discovery階段是一個無狀態(tài)的階段，該階段主要是選擇接入服務器，確定所要建立的PPP會話標識符Session ID，同時獲得對方點到點的連接信息；PPP會話階段執(zhí)行標準的PPP過程。

寬帶接入服務器(Broadband Remote Access Server，簡稱BRAS)是面向寬帶網絡應用的新型接入網關，它位于骨干網的邊緣層，用來完成各種寬帶接入方式的寬帶網絡用戶的接入、認證、計費、控制、管理的網絡設備，是寬帶網絡可運營、可管理的基石。寬帶接入服務器(BRAS)主要完成兩方面功能，一是網絡承載功能：負責終結用戶的PPPoE連接、匯聚用戶的流量功能；二是控制實現(xiàn)功能：與認證系統(tǒng)、計費系統(tǒng)和客戶管理系統(tǒng)及服務策略控制系統(tǒng)相配合實現(xiàn)用戶接入的認證、計費和管理功能。寬帶接入綜合了IP網絡核心技術、AAA技術、數(shù)據(jù)庫等技術，軟硬結合，對進入寬帶網絡的用戶實施必要的認證，訪問權限控制、服務質量控制、和計費。方案既可按時間、流量計費，又可作為包月制的技術保障，對個人用戶實施帶寬、流量、時長等限制。

校園網、計費系統(tǒng)及家屬區(qū)現(xiàn)狀

北京師范大學校園網以1臺H3C 9508和2臺思科6509為核心，連接了教學區(qū)各樓宇以及宿舍區(qū)樓宇，并將附中等單位通過光纖接入校園網。校園網出口通過防火墻接入教育網和聯(lián)通、電信。校園網認證采用深瀾計費系統(tǒng)，將計費網關串聯(lián)在出口主干。校園網出口包括教育網、聯(lián)通、電信三條線路。

教職工家屬區(qū)大部分是通過歌華有線電視網接入互聯(lián)網。由于原網絡建設時間早，面臨設備老化、掉線等問題，為滿足教職工家屬區(qū)網絡信息化需求，在進行大量的前期調查和研究工作的基礎上，開始建設校內生活區(qū)網絡。該區(qū)域中，現(xiàn)有勵耘區(qū)13棟、別墅7棟、老年活動中心、麗澤區(qū)14棟、樂育區(qū)9棟、樂育活動站，總計43棟樓和兩個活動站，都需要接入到校園網中。

圖1 家屬區(qū)網絡拓撲

基于PPPoE的家屬區(qū)網絡與校園網網絡和計費系統(tǒng)

北京師范大學家屬區(qū)網絡以華為MA5200G為BRAS設備，兩臺華為S5328為家屬區(qū)總匯聚，匯聚各樓的光纖，45臺E328作為樓宇匯聚，190多臺E026作為二層終端接入。

用戶在家屬區(qū)使用普通網線接入家屬區(qū)網絡，通過PPPoE撥號，在深瀾Radius服務器上進行認證，根據(jù)計費數(shù)據(jù)庫里用戶的身份進行密碼確認，認證通過后向BRAS設備下發(fā)IP 分配策略、ACL訪問策略、帶寬策略等。用戶通過與BRAS直連的H3C 9508直接接入校園網，從而實現(xiàn)訪問校園網資源以及通過計費系統(tǒng)訪問校外互聯(lián)網資源。

家屬區(qū)用戶根據(jù)用戶類型分為家屬區(qū)教工、家屬區(qū)非教工和家屬區(qū)辦公用戶。其中家屬區(qū)教工用戶可以訪問校內所有資源，而家屬區(qū)非教工用戶不能訪問圖書館資源及其他資源；家屬區(qū)辦公用戶可以免費訪問國內互聯(lián)網。這些策略分別在BRAS設備和計費系統(tǒng)上配置ACL策略實現(xiàn)。

對應計費模式，按照現(xiàn)在公網網絡運營商習慣，設置1Mbps和2Mbps等，收費方式主要以校園卡充值和校內轉賬單充值。校園卡充值系統(tǒng)和計費數(shù)據(jù)庫對接，從而實現(xiàn)家屬區(qū)用戶方便繳費充值。

BRAS上Raius配置：

radius-server group radius

radius-server authentication 172.16.*.* 1812 weight 0

radius-server accounting 172.16.*.* 1813 weight 0

radius-server shared-key jsqtest

radius-server class-as-car

radius-server attribute translate

undo radius-server user-name domain-included

家屬區(qū)賬號分配按照樓宇和房間號編排，和用戶所在房間對應。家屬區(qū)劃分了4000多個VLAN，每個用戶一個單獨的VLAN，VLAN與家屬區(qū)用戶接入端口對應，并在各樓預留一定的VLAN。為了賬號使用安全，在計費系統(tǒng)里對用戶VLAN進行了綁定，每個用戶的賬號只能從自己家的端口VLAN認證，即使賬號被盜，也無法在其他樓宇房間使用。

圖2 家屬區(qū)撥號認證示意

圖3 家屬區(qū)用戶賬號管理

北師大實現(xiàn)了基于PPPoE撥號家屬區(qū)網絡與校園網網絡及計費認證的統(tǒng)一部署。使用BRAS和普通二層交換機，成本較低，管理方便，在小區(qū)網絡環(huán)境中非常適用。同時，我們也看到，基于PPPoE撥號的網絡存在一些問題，例如對下一代互聯(lián)網IPv6的標準支持不完善；在建設初期，前期VLAN規(guī)劃比較費時；如果需要設置固定IP比較復雜；不適合不能進行PPPoE撥號的特殊設備，例如電控終端、校園卡PoS機商務網關等。但隨著PPPoE技術和設備的不斷發(fā)展和成熟，網絡扁平化，三層核心更加集中和強大將是趨勢，既方便管理，也便于維護。