PPPoE在校园网中的应用

日期：2015/6/28来源: IT猫扑网

摘要介绍了PPPoE与VLAN相结合的校园网宽带接入方式，详细分析了BRAS与RADIUS的配置情况。

关键词 PPPoE；VLAN；BRAS；RADIUS

1.1 引言

当前，随着高校校园网络规模不断扩大，除建立一个稳定可靠的网络外，选择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有3种，固定IP、DHCP和PPPoE。分别在网络不同发展阶段发挥相应的作用。但随着网络规模扩大和复杂度增加，PPPoE接入方式越来越体现出较强的优越性。我校将VLAN技术与PPPoE相结合，采用BRAS和RADIUS接入认证，完成了PPPoE在校园网中的部署。

2 三种宽带接入方式的比较

2.1 用户管理和开销方面：

随着网络规模的扩大，传统上固定IP地址管理方式变得比较困难，用户恶意更改或者尝试自行设置自己的IP地址，都会造成管理上的麻烦，增加管理的额外开销。

而DHCP管理方式，一方面存在较多的广播开销，对于用户较多的局域网会造成网络运行效率下降和配置困难；另一方面，仍然无法解决用户自行配置IP地址的问题。

PPPoE由于采用动态分配IP地址方式，用户拨号后无需自行配置IP地址、网关、域名等，它们均是自动生成，不存在用户自行更改IP地址的问题，对用户管理方便，而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装，这两个封装加起来也只有8个字节，广播开销很小。

2.2 计费策略方面

固定IP和DHCP方式计费策略不灵活，一般采用包月制，如要实现流量计费功能则必须要有相应的流量监视或采集系统，或是在高端路由器上启动记帐功能，然后应用SNMP进行计费，这有可能造成路由器运行效率下降。

PPPoE则可以实现对用户的灵活计费，可以按时长、流量计费，也可采用包月制。

2.3 用户服务策略定制方面

固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务，若要对特定用户进行流量控制，必须购买流量控制设备。

PPPoE支持业务QoS保证，可方便地对用户进行实时流量控制。

2.4 信息安全方面

固定IP、DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题，将局域网交换机的每个端口配置成独立的VLAN，利用VLAN可以隔离ARP、DHCP等携带用户信息的广播消息，从而使用户数据安全性得到提高。固定IP地址方式为了识别用户合法性需将IP地址和端口VID进行绑定，每个用户处于逻辑上独立的网内，所以对每个用户要配置一个子网的4个IP地址：子网地址、网关地址、子网广播地址和用户主机地址，这样会造成地址利用率降低，而PPPoE采用认证、授权的方式不存在这个问题。

2.5 第三层广播风暴

固定IP和DHCP方式都不能解决第三层广播风暴问题，第三层广播风暴影响同一IP子网所有用户的使用质量。PPPoE方式由于采用二层隧道认证，所有链路设备都工作在第二层，不存在第三层广播风暴问题。

2.6 PPPoE认证优势

PPPoE认证客户机首先要有PPPoE协议驱动软件，在前端由BRAS服务器配合RADIUS服务器实现对用户的认证、计费。

认证过程：用户拨号发出请求，经过网络传送到BRAS服务器，BRAS服务器接到请求后向RADIUS服务器发出access REQUEST请求包，其中含有用户的帐号、密码、端口类型等，经RADIUS服务器核实后，向BRAS回送ACCESS REPONSE响应包，其中包含用户的合法性和一些设置，如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络，联网期间BRAS不断向RADIUS发送计费信息，这些信息包括用户的上网时间、用户流量、用户下网时间等，以便RADIUS准确计费。

以上比较可以看出，PPPoE同其它两种接入方式相比具有较大的优势。而从PPPoE认证过程可以看出，BRAS服务器在整个链路中起到关键的作用，要实现大而全的功能，包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能。

3 我校PPPoE接入情况

中国矿业大学校园网以Cisco6513为网络核心，以Cisco6503作为边界路由器连接出口。在PPPoE接入中，以Juniper ERX-310作为BRAS，与核心交换机Cisco6513的Gi12/26口做三层对接，以迪威达康认证计费管理系统作为Radius服务器。锐捷6806与锐捷21系列交换机跟Cisco6513之间起TRUNK协议，各接入层交换机下连端口指定二层VLAN158，提供认证服务。

详细网络结构如图1所示。

图1 网络拓扑

3.1 Cisco6513配置

做端口对接，并设置允许用于认证的二层隧道，VLAN158。

interface GigabitEthernet12/26

description link_erx_gi1/1

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 158

switchport mode trunk

no ip address

rmon collection stats 6083 owner monitor

指定对接VLAN

interface Vlan401

description link-juniper310_default

ip address 172.30.1.1 255.255.255.252

ip route-cache flow

做针对地址池的路由

ip route 219.219.42.128 255.255.255.128 172.30.1.2

ip route 219.219.43.128 255.255.255.128 172.30.1.2

3.2 Juniper ERX-310对接配置

interface gigabitEthernet 1/0.10

vlan id 401

ip address 172.30.1.2 255.255.255.252

ip route 0.0.0.0 0.0.0.0 172.30.1.1

3.3 Juniper ERX-310主要配置

采用default 虚拟路由器（VR）配置

virtual-router default

aaa domain-map none

router-name default

ipv6-router-name default

PROFILE定义配置，PROFILE用来指定一个IP 端口的相关的属性或特性，只要在全局定义一次，就可以在多个VR中被多个接口应用。

profile pppoetest

ip unnumbered loopback 0

ppp authentication pap chap

ppp keepalive 300

pppoe url "cn.juniper.net"

aaa详细参数配置

virtual-router default

aaa authentication atm1483 default radius

aaa accounting atm1483 default radius

aaa authentication ip default radius

aaa accounting ip default radius

aaa authentication ipsec default radius

aaa accounting ipsec default radius

aaa dns primary 202.119.200.10

aaa dns secondary 202.119.199.67

aaa authentication ppp default radius

aaa accounting ppp default radius