刘治纲，朱玲红

(南昌航空大学现代教育技术与信息中心，江西 南昌 330063)

0 引言

校园网通常用以太网组网。网络业务范围的扩大和用户数的增加带来了一系列用户管理问题，主要表现在4个方面:

1)运维难度增加:以太网数据帧无法携带用户的端口信息，根据MAC地址定位非常繁琐、复杂[1]。

2)用户业务不可控，如:包月(或限时包月)计费情况下，无法彻底杜绝用户之间共享账号，造成用户和费用流失。

3)无法保证端到端的QoS:IntServ复杂度高，不适用校园网的环境;DiffServ不面向链路，而在边界节点对报文进行分类、整形和聚合，由内部节点转发，无法保证端到端的 QoS[2-4]。

4)用户信息安全不可控:传统的以太网接入方式，从架构本身而言，无法杜绝ARP欺骗、Flood攻击、网络监听等。

为了改进大规模以太网的上述问题，目前业界有几种主流的用户管理和接入方式，即PPPOE、Web+DHCP以及802.1X+DHCP。其中，PPPOE成熟度安全性较高，用户业务控制能力强，但是需要安装配置认证客户端程序。Web+DHCP模式中，无需安装认证客户端，有利于无线用户接入，但对有线用户没有端到端控制，仍然无法做到安全隔离和精确定位。802.1X+DHCP模式提高了接入交换机和用户管理的耦合度，增加了接入交换机配置的复杂度，难以大范围部署。

扁平化网络是一种基于高性能核心路由器的局域网和城域网组网方式。用户通过预置的以太网VLAN通道直接二层接入核心路由，全网流量传播从以交换为主转为以路由为主。本文以扁平化校园网为背景，分析了PVPU+IPoE的用户管理模式，并以Juniper MX 960设备为例，介绍了该模式的实现方法。

1 扁平化网络的用户管理模式

1.1 用户接入

以太网没有永久虚电路(PVC)的概念[5]，无法通过IEEE 802.3的数据帧标识链路和端口。为此，在扁平化以太网中，采用IEEE 802.1Q及其补充标准IEEE 802.1ad 建立 QinQ 通道[6]。

1)为每个接入层交换机的Access Port分配不同的VLAN ID，并通过Trunk模式的级联端口透传至汇聚层交换机。

2)将汇聚层交换机的相应端口设置为802.1Q VLAN Tunnel(IEEE 802.1ad)，并通过 Trunk 模式的级联端口透传至核心路由器。

801.1Q在以太网数据帧的Source MAC和Ether Type字段之间插入 Outer Tag和 Inner Tag字段[7]。其协议结构如图1所示。

图1 IEEE 802.1ad双重标签数据帧结构

图1中，Outer Tag和Inner Tag各用12bit的VID描述 VLAN，其组合可以描述 VLAN总数为224=16777216个，在校园网或城域网范围内完全可以实现PUPV(Per User Per VLAN)的架构。PUPV提供了一种以太网环境下对用户链路即VLAN Tunnel(以下简称VT)进行唯一标识办法，表示如下:

VT=M:N，M，N∈{1，2，…，4096}

M:N即Outer Tag和Inner Tag的组合。这样，在校园网内，每个接入端口都拥有1条唯一VT链路，且VT之间二层隔离。路由、QoS、组播等特性均在核心路由器上完成，而VT路径上的其余设备仅仅负责封装数据帧和按照VID插入内外层标签。

可以为用户设置基于端口的QinQ或灵活QinQ。灵活QinQ可以基于用户数据流的特征，为不同用户、不同业务、不同优先级的报文动态分配VLAN Tag，以通过对用户及业务的精确标识，来提高网络的可靠性、可管理性及良好的可运营性[8]。

PUPV的网络架构决定了用户无法采用固定IP的方式而只能采用DHCP方式设置地址。由于VLAN Tunnel的存在，用户的DHCP请求和响应报文并不会扩散到其它Access端口，这样就从协议层面上而非交换机层面上，保证了DHCP的安全性。

由于在路由器上通过VT终结了二层链路，可以通过CoS来区分网络流量，并且提供拥塞管理和拥塞避免。

1.2 子接口地址分配

PUPV模式中，每条VT对应1个逻辑接口。如果为每个逻辑接口分配子网地址，则不仅浪费地址空间，还大大增加配置和维护工作量，也损失了网络的易用性和灵活性[9]。在实际部署中，逻辑接口借用Loopback接口的IP地址自己的IP Unnumbered地址[10]，因为Loopback接口不会意外关闭。在DHCP过程中，逻辑接口地址将作为用户网络标识，以决定用户的IP地址段。这种部署方式有3个特点:

1)多个逻辑接口可以复用1个IP Unnumbered地址作为接口地址，解决了地址浪费的问题。

2)可以根据接入端口业务类型(如公共机房、办公室、宿舍等)，灵活指派连接到某个逻辑接口的用户IP地址段，而不用考虑端口所属VLAN。使得用户管理更加精细，管理手段更加丰富。

3)每个用户对应1个动态接口。动态接口在底层共用逻辑接口进行数据收发，在高层利用Radius实现独立的认证、计费，并可为每个用户绑定不同的ACL策略。

在型号为Juniper MX 960的多业务路由器中，用户动态接口称为Demux接口。Demux接口在用户进行DHCP时，基于动态配置(Dynamic Profile)自动生成[11]。路由器可以为每个Demux接口生成路由表项。

1.3 用户认证

校园网环境下，IP网已从提供简单的上网业务向提供视频、语音等实时业务转变，此外无线网络比例也不断扩大。与传统的PPPOE认证接入方案相比，IPoE更适合用于长时间、永远在线、哑终端的新型语音、视频等实时业务及无线接入，是比较理想的选择[12]。本模型采用IPoE作为认证框架。该框架包括4个角色:

1)客户端:包括用户电脑和浏览器。

2)BRAS设备:该设备作用包括提供路由子接口、与Radius服务器通信、DHCP中继、管理用户会话、计费等。BRAS设备能理解Radius的报文，并为用户动态分配ACL策略。用户上线后，在认证之前，BRAS为用户子接口分配初始ACL，允许访问校园网内IP。访问互联网的请求被BRAS重定向到认证系统的Web Portal上。输入正确用户信息后，BRAS根据Radius返回报文，重新为用户子接口分配ACL，允许其访问互联网，并开始计费。例如在Juniper MX 960中，以上ACL可以预定义，并通过Dynamic Profiles中的系统变量“$junos-input-filter”和“$junosoutput-filter”动态指派给用户 Demux 接口[13]。Demux接口是一种动态用户接口，多个Demux接口通过1个逻辑子接口收发数据，并根据相应的Dynamic Profile，面向每个用户提供网络访问、QoS服务、组播服务、访问控制等。

3)认证系统:IPoE认证架构中包括Radius服务器和Web Portal。其中Web Portal自动适配终端类型，调用特定样式的认证界面，与用户安全交互。Radius服务器接收来自Portal的信息，进行身份识别并将结果、用户信息和安全策略反馈给BRAS。

4)DHCP服务器:用以分配IP地址资源。DHCP服务器不直接回应客户端的DHCP请求，而是通过BRAS中继，经过认证和过滤后，才将DHCP Discover发送给DHCP服务器。这样会过滤掉其它非法的DHCP中继，还可以阻挡对DHCP服务器的DoS攻击。

角色之间的调用时序如图2所示。

图2 IPoE认证时序

2 PUPV+IPoE模式的实现

本文在基于Juniper MX 960多业务路由器的校园网环境中，实现了上述PVPU+IPoE的用户管理模式。主要的配置步骤和思路如下:

1)配置动态用户所在的物理接口和逻辑接口的静态VLAN属性，以终结用户的二层VLAN，并引用在Dynamic Profile中定义的用户Demux源地址。例如:

2)在Dynamic Profile配置Demux接口属性。在Dynamic Profile中，使用系统变量或者自定义变量来表示Demux子接口动态的特征。系统变量代表接收DHCP报文的端口属性。在创建Demux接口时，这些变量与用户接口属性进行关联，从而形成Demux接口[14]。Dynamic Profile是动态接口的模板，描述了Demux接口所在的逻辑接口、源地址以及ACL规则。Demux接口定义如下:

部分系统预定义变量的含义如表1所示。

表1 junos部分系统变量含义

3)配置DHCP转发选项。需要在Forwarding Option中定义DHCP服务器地址，NAS设备认证用户名，以及使用DHCP服务的逻辑接口列表。处于列表内的逻辑接口会转发DHCP请求报文，并根据Dynamic Profile设置，触发生成动态用户Demux接口。

DHCP转发配置如下:

通过在核心路由器上单点查询逻辑接口，可准确获取任何用户的MAC地址、IP地址、接入地点和交换机端口等信息。此外，结合RADIUS管理软件，也对用户上网进行多维度的绑定。这些措施不仅实现了用户的精确识别和定位，也实现了安全事件的可追溯性和不可抵赖性[15]。

3 结束语

本模式在笔者所在学校校园网中实施2年。目前网络用户3000余人，以太网二层安全问题基本得到解决，地址分配灵活有序，认证方式便捷，大大降低了200余台接入交换机的配置复杂度。PVPU+IPoE的用户管理模式提供了基于以太网的虚拟通道，隔离了二层广播，提高了网络安全性，还能够实现用户的集中管理，包括IPoE认证和策略的集中部署。此外，通过硬件板卡和CoS设置可以有效保证端到端的服务质量[16]。对运维来说，可以精确管理用户业务，实现身份、端口、地址等多重元素的绑定。

[1] 丁月华，刘佳，陈云海，等.基于MAC地址映射的IP DSLAM端口定位[J].计算机应用与软件，2007，24(9):98-99.

[2] RFC 2205，Resource Reservation Protocol(RSVP):Version 1 Functional Specification[S].

[3] RFC 2210，The Use of RSVP with IETF Integrated Services[S].

[4] RFC 2475，An Architecture for Differentiated Services[S].

[5] 王三海，杨放春.下一代网络端到端QoS体系结构的研究[J].北京邮电大学学报，2004，27(S1):32-36.

[6] 维基百科.IEEE 802.1Q[EB/OL].http://zh.wikipedia.org/wiki/IEEE_802.1Q，2013-12-30.

[7] IEEE Std 802.1ad-2005，IEEE Standard for Local and Metropolitan Area Networks:Virtual Bridged Local Area Networks Amendment 4:Provider Bridges[S].

[8] 曾菊根，林康.广电多业务运营IP城域网VLAN规划[J].有线电视技术，2012(5):19-24.

[9] 袁虎声，孙涛，朱世杰.基于PUPV技术的校园网用户安全接入[J].广西大学学报(自然科学版)，2011，36(S1):17-22.

[10] Cisco Systems Inc.Understanding and Configuring the IP Unnumbered Command[DB/OL].http://www.cisco.com/c/en/us/support/docs/ip/hot-standby-router-protocol-hsrp/13786-20.html，2005-10-26.

[11] Juniper Networks.Subscriber Management and Services Overview[EB/OL].http://www.juniper.net/techpubs/en_US/junos11.4/information-products/pathway-pages/subscriber-access/managing-access-networks/subscriber-management-managing-access-networks.html，2011-11-14.

[12] 王云芳，赵霞，任念群.IPoE部署优化方案[J].电信工程技术与标准化，2010，23(8):70-73.

[13] Juniper Networks.Junos Predefined Variables That Correspond to RADIUS Attributes and VSAs[DB/OL].http://www.juniper.net/techpubs/en_US/junos10.3/topics/reference/general/subscriber-management-predefined-variables-corresponding-radius.html，2010-07-13.

[14] Juniper Networks.Dynamic Variables Overview[DB/OL].http://www.juniper.net/techpubs/en_US/junos10.3/topics/concept/subscriber-management-dynamic-variables-overview.html，2010-07-12.

[15] 林晓春.福州电信宽带用户精确定位及精确绑定的研究与实现[D].北京:北京邮电大学，2007.

[16] Juniper Networks.Class of Service Configuration Guide[DB/OL].http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/config-guide-cos/config-guide-cos.pdf，2011-11-14.