LSN環境下政企用戶PPPoE上網實現方案

顏永明，葉克闖，許斌，徐海峰，左良，洪愷淵

（中國電信股份有限公司上海分公司，上海 200085）

LSN環境下政企用戶PPPoE上網實現方案

顏永明，葉克闖，許斌，徐海峰，左良，洪愷淵

（中國電信股份有限公司上海分公司，上海 200085）

隨著云計算市場的井噴式發展，園區創客企業在云業務方面的需求不斷增加。針對資費敏感的用戶，在LSN環境下采用傳統政企PPPoE方式，可在減少公網IPv4地址大量消耗的同時，為用戶提供云化的ICT服務。將傳統的PPPoE撥號政企網關與最新LSN場景相結合，提出了幾套解決方案，對各自的優缺點加以比較，對LSN環境下實現政企用戶撥號上網給出了建議。

LSN；PPPoE；云業務；ICT

1 引言

隨著SDN（software defined networking，軟件定義網絡）技術的快速發展，中國電信股份有限公司上海分公司（以下簡稱中國電信上海分公司）構建了LSN（local service node，區域綜合信息服務點）——一種電信運營商基于云計算的新型的ICT（information and communication technology，信息和通信技術）服務技術架構。這種技術架構充分利用了現有電信運營商的端局機房資源及光纖寬帶接入網絡，將其重新構建成基于云計算、NFV（network function virtualization，網絡功能虛擬化）、SDN的多租戶云數據中心，通過大二層網絡技術將LSN數據中心、電信運營商光纖接入匯聚網絡、CPN（customer premises network，用戶駐地網）有機融合成承載綜合ICT服務的網絡基礎設施架構。

如何在 LSN環境下利用傳統政企網關實現PPPoE撥號政企用戶上網業務，在減少虛擬化后公網/私網IPv4地址大量消耗的同時，滿足用戶云業務方面的ICT需求，是本文研究的重點。

2 LSN環境下政企網關撥號上網業務場景需求和問題

2.1 LSN網絡架構

如圖 1所示，中國電信上海分公司構建的LSN網絡主要由2臺MSE和一組spine-leaf架構組成。其中，MSE是具有多業務接入能力的路由器，作為東西向、南北向流量的出口。spine-leaf架構則由兩臺 spine交換機組成交換機矩陣核心，若干臺 leaf節點作為交換機矩陣接入，leaf從功能上又分為Bleaf（border leaf，邊緣交換機）和Ileaf（internal leaf，內部交換機）。Bleaf主要連接出局鏈路，承載了去往公網、用戶CPN側的流量。Ileaf主要連接局內鏈路，溝通網絡資源、服務器資源、存儲資源，承載了局內用戶vDC中的流量和虛擬化平臺的相關流量。同時，spine-leaf架構中運用 VxLAN技術部署大二層網絡，能夠適應虛擬機數量爆發式的增長。

2.2 LSN環境下政企網關撥號上網的業務場景需求

創客園區、辦公樓類租戶大多傾向于輕資產運營，因此，更愿意租用運營商的云資源、網絡設備構建自己的辦公和業務環境，而這些用戶對資費又較敏感，上網帶寬需求一般不高。據此，電信業務部門提出了在LSN環境下提供政企寬帶撥號上網業務，即用戶通過PON（passive optical network，無源光纖網絡）線路連接 LSN 的 spine-leaf網絡，既能訪問位于LSN內的vDC資源，又可以通過政企寬帶鏈路使用PPPoE撥號滿足CPN側的上網需求，如圖1所示。

圖1 用戶CPN通過PON線路接入LSN

其中，政企用戶PON線路直連OLT設備，上聯至spine-leaf架構中的BLeaf。Ileaf負責接入用戶vDC資源。spine負責對業務流量進行交換。整個spine-leaf架構采用VxLAN技術實現二層網絡的連通。MSE則可以作為網絡資源的三層出口接入城域網。

對于使用LSN業務的政企用戶而言，期望在不改變原有使用習慣、繼續延用傳統的政企寬帶撥號方式的情況下同時享有傳統寬帶業務和LSN服務，即申請一根PON線路，通過政企網關設備，可同時實現Internet上網以及訪問vDC內資源。為了和EIP有所區分，實現業務差異化，運營商業務部門希望為創客園區、辦公樓類租戶提供非固定IP地址的接入方式，實現政企用戶撥號上網業務，從而達到降低資費的目的。同時，為了滿足信息安全中溯源的要求，需要對每個用戶使用的IP地址進行記錄。

3 傳統政企寬帶上網實現

傳統政企上網方式主要有寬帶撥號上網和EIP兩大類。寬帶撥號上網業務通常采用 PPPoE技術，IP地址動態分配。EIP則采用固定公網IP地址方式。

由于采用了PON線路，傳統PPPoE寬帶撥號方式在可控性和性價比方面具有明顯優勢。PPPoE客戶端功能可由用戶側政企網關設備提供，服務器端則由運營商局端MSE設備實現，用戶使用用戶名和密碼從用戶側政企網關向 MSE發起PPPoE撥號，認證通過后，局端MSE根據AAA系統下發的參數為用戶WAN口動態分配公網IPv4地址，同時，用戶側內網可使用私有IPv4地址，經過NAT（network address translation，網絡地址轉換）或PAT（port address translation，網絡地址轉換）后訪問Internet。由于IP地址動態分配，此方式通常用于用戶上網訪問，一般不提供Internet內容發布。

EIP則為用戶提供固定分配的公網IP地址，運營商對用戶接入地址可實現強管控。使用固定公網地址，用戶既能實現上網訪問，也可利用固定IP地址對外發布應用，擁有內容發布的能力。因為每個用戶都有獨立的公網IP地址，IP地址的消耗會隨著用戶數量的增加急速增加。

圖2 方案1基礎配置

4 LSN環境下政企網關PPPoE實現方案

4.1 方案1

方案1為用戶CPN側各VLAN網關部署在PON線路政企網關設備上，基礎配置以圖2為例，CPN配置3個內網VLAN，分別是VLAN 2、VLAN 3、VLAN 4，不同VLAN內的終端可訪問LSN內對應的內網應用，例如生產、辦公、測試類應用，這3個VLAN在政企網關上可通過配置接入口實現。另外，配置一個 PPPoE撥號接口，歸屬于VLAN 1，用于發起PPPoE撥號，將政企網關的WAN口配置成Hybrid模式，其中，VLAN 1不打標簽，VLAN 2、VLAN 3、VLAN 4則加上IEEE 802.1q封裝后發送，政企網關上行端口通過PON線路連接到OLT匯聚交換機，由OLT匯聚交換機作為業務分離點，分別與城域網 BRAS（實現Internet上網）和LSN網絡（各VLAN與用戶vDC內對應應用實現互聯，從而實現CPN對用戶vDC內資源的訪問）連接。

本方案的特別配置在于 PPPoE撥號和用戶CPN側VLAN網關都由政企網關設備實現，且上網流量通過城域網BRAS訪問Internet。具體來說，在政企網關設備上開啟4個SVI接口，各個接口的作用如下：SVI 1，VLAN 1 PPPoE撥號；SVI 2，VLAN 2網關；SVI 3，VLAN 3網關；SVI 4，VLAN 4網關。上網PPPoE撥號由政企網關發起，由城域網BRAS終結。用戶CPN內各VLAN終端若要上網，將政企網關內各自對應的SVI接口作為三層網關接口，直接走下一跳，指向PPPoE撥號接口所在SVI的默認路由。如要實現各VLAN之間流量的三層隔離，可在政企網關上配置ACL策略以增強安全性。

關鍵配置舉例如下。

（1）SVI1

VLAN1-PPPoE撥號，獲得 IP地址是101.80.1.100/24。PPPoE服務器端 IP地址是101.80.1.1/24。政企網關設備默認路由是IP route 0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100訪問外網。

（2）SVI2

用戶生產LAN，配置為VLAN2，對應CPN及vDC使用網段192.168.2.2-254，在政企網關設備上配置VLAN2網關地址：192.168.2.1/24。

（3）SVI3

用戶辦公LAN，配置為VLAN3，對應CPN及vDC使用網段192.168.3.2-254，在政企網關設備上配置VLAN3網關地址：192.168.3.1/24。

（4）SVI4

用戶測試LAN，配置為VLAN4，對應CPN及vDC使用網段192.168.4.2-254，在政企網關設備上配置VLAN4網關地址：192.168.4.1/24。

用戶流量走向舉例如下。

· CPN辦公上網流量在政企網關設備上走默認路由，經過PAT成SVI 1的公網地址后，直接從OLT匯聚交換機流出，經過城域網BRAS訪問Internet。

· CPN訪問 vDC的流量經過政企網關設備后，以QinQ封裝形式流向OLT匯聚交換機，到達 LSN節點的 Bleaf后轉換成VxLAN封裝，流經spine-leaf網絡至LSN節點的 Ileaf后再轉成 VLAN到達用戶vDC內。用戶vDC內資源與CPN是二層互聯，以生產VLAN為例，與VLAN2二層互通，兩者在同一個廣播域中，VLAN 2內終端可直接通過二層交換方式訪問生產LAN內資源。

· 流量從生產LAN、辦公LAN或者測試LAN發起，三層網關終結于 vRouter上，通過NAT 1:1轉換成公網地址后，經由LSN網絡流向Internet。

4.2 方案2

方案2為用戶CPN側各VLAN網關部署在LSN vRouter上，基礎配置如圖3所示。CPN配置3個內網VLAN，分別是VLAN 2、VLAN 3、VLAN 4，不同VLAN內的終端可訪問LSN內對應的內網應用，例如生產、辦公、測試類應用，這3個VLAN在政企網關上可通過配置接入口實現。配置一個PPPoE撥號接口，歸屬于VLAN 1，用于發起 PPPoE撥號。在政企網關和 LSN的vRouter上分別配置一個VLAN 5接口，用于政企網關與vRouter之間實現三層互連。將政企網關的WAN口配置成Hybrid模式，其中，VLAN 1不打標簽，VLAN 2、VLAN 3、VLAN 4、VLAN 5則加上IEEE 802.1q封裝后發送，政企網關上行端口通過PON線路連接到OLT匯聚交換機，由OLT匯聚交換機作為業務分離點，分別與城域網BRAS（實現Internet上網）和LSN網絡（各VLAN與用戶 vDC內對應應用實現互聯，從而實現 CPN對用戶vDC內資源的訪問）連接。

圖3 方案2基礎配置

本方案配置的特別之處在于，雖然 PPPoE撥號仍由PON線路政企網關設備發起，上網流量仍是通過城域網BRAS訪問Internet，但是用戶CPN側各內網VLAN的三層網關均設置在LSN節點的vRouter上。具體來說，在政企網關設備上配置2個SVI，其中，SVI1歸屬于VLAN 1，用作PPPoE撥號使用；SVI2歸屬于VLAN5，用于與LSN內vRouter三層互連。在vRouter上開啟4個接口，分別作為政企網關上SVI2接口的互聯地址以及與VLAN 2、VLAN 3、VLAN 4的三層網關。如要實現各VLAN之間流量三層隔離，可在LSN內vRouter上配置ACL策略以增強安全性。

關鍵配置舉例如下。

（1）vRouter int1

用戶生產LAN，配置為VLAN2，對應CPN及vDC使用網段192.168.2.2-254，在vRouter上配置VLAN2網關地址：192.168.2.1/24。

（2）vRouter int2

用戶辦公LAN，配置為VLAN3，對應CPN及vDC使用網段192.168.3.2-254，在vRouter上配置VLAN3網關地址：192.168.3.1/24。

（3）vRouter int3

用戶測試LAN，配置為VLAN4，對應CPN及vDC使用網段192.168.4.2-254，在vRouter上配置VLAN4網關地址：192.168.4.1/24。

（4）vRouter int4

用戶互聯LAN，配置為VLAN5，在int4上配置VLAN5互聯接口地址：192.168.5.1/30。int4作為與政企網關設備的互聯接口，配置默認路由IP route 0.0.0.0 0.0.0.0 192.168.5.2，將上網流量轉發至政企網關設備。

（5）政企網關設備SVI1

VLAN1-PPPoE撥號，獲得 IP地址是101.80.1.100/24。PPPoE服務器端 IP地址是101.80.1.1/24。政企網關設備默認路由是IP route0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100訪問外網。

（6）政企網關設備SVI2

用戶互聯VLAN，配置為VLAN5，在SVI2上配置 VLAN5互聯接口地址：192.168.5.2/30，SVI2作為與vRouter int4的互聯接口，配置路由IP route 192.168.2.0 255.255.255.0 192.168.5.1、IP route 192.168.3.0 255.255.255.0 192.168.5.1、IP route 192.168.4.0 255.255.255.0 192.168.5.1。

用戶流量走向舉例如下。

· 以辦公VLAN 3為例，CPN辦公上網流量依次經過政企網關設備、OLT匯聚交換機、LSN網絡，通過二層通道到達vRouter后，由vRouter作為VLAN 3三層網關，并通過vRouter上的默認路由（下一跳出接口為int4，下一跳地址為政企網關上的SVI2地址）折返經過LSN網絡、OLT匯聚交換機到達政企網關設備，并根據政企網關上的默認路由流向SVI1 PPPoE接口，通過PAT成為公網IP地址后，接著從OLT匯聚交換機流出，經過城域網BRAS訪問Internet。這種方式下的CPN辦公上網流量存在折返現象。

· CPN訪問vDC流量與方案1相同。

· vDC對外提供業務流量與方案1相同。

4.3 方案3

方案3為在vRouter上實現上網PPPoE撥號，基礎配置如圖4所示，CPN使用3個VLAN，分別為VLAN 2、VLAN 3、VLAN 4。這3個VLAN均由PON線路政企網關設備負責接入（接口采用access模式），政企網關作為三層交換機使用，流量從政企網關WAN口發出時采用IEEE 802.1q封裝，再通過PON以QinQ封裝發送到OLT匯聚交換機，然后通過OLT匯聚交換機與LSN連接。LSN再與用戶vDC實現互聯，使CPN可以訪問用戶vDC內資源。

圖4 方案3基礎配置

本方案的特點是PPPoE撥號和用戶CPN側VLAN網關均在vRouter上，雖然上網流量仍是通過城域網BRAS訪問Internet，但在LSN的vRouter上開啟 4個接口，分別用作 PPPoE撥號和 3個VLAN的網關。

由于目前LSN網絡與BRAS沒有直接連通，故只能復用LSN網絡到OLT匯聚交換機之間的鏈路作為PPPoE撥號鏈路。

關鍵配置舉例如下。

（1）vRouter int1

VLAN1-PPPoE撥號，獲得 IP地址是101.80.1.100/24。PPPoE服務器端 IP地址是101.80.1.1/24。政企網關設備默認路由是IP route 0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100訪問外網。

（2）vRouter int2

用戶生產LAN，配置為VLAN2，對應CPN及vDC使用網段為192.168.2.2-254，在vRouter上配置VLAN2網關地址：192.168.2.1/24。

（3）vRouter int3

用戶辦公LAN，配置為VLAN3，對應CPN及vDC使用網段為192.168.3.2-254，在vRouter上配置VLAN3網關地址：192.168.3.1/24。

（4）vRouter int4

用戶測試LAN，配置為VLAN3，對應CPN及vDC使用網段為192.168.4.2-254，在vRouter上配置VLAN3網關地址：192.168.4.1/24。

用戶流量走向舉例如下。

· CPN辦公上網流量依次經過政企網關設備、OLT匯聚交換機、LSN網絡設備組成的二層通道到達vRouter，并將vRouter作為三層網關，配置vRouter完成PPPoE撥號后，生成一跳為城域網BRAS的默認路由，流量在vRouter上通過網絡地址轉換成公網IP地址后，再依次經過LSN、OLT匯聚交換機、城域網 BRAS訪問Internet。

· CPN訪問vDC流量與方案1相同。

· vDC對外提供業務流量與方案1相同。

5 方案比較

上述3種方案之間存在一定共性，但是又各有優缺點，詳細情況見表1。

表1 方案優缺點比較

考慮到現網兼容性、網絡結構、運維體系等，方案3相較于其他方案是最優的。在該方案中，實現了LSN環境下政企用戶PPPoE撥號上網需求，同時PPPoE撥號和三層路由功能全部上收至LSN節點內的vRouter，大大簡化了CPN側政企網關功能要求，可進一步降低用戶側設備投入成本。CPN側設備形態和網絡結構大幅簡化，則為運營商在LSN內提供更加豐富的業務提供了無限可能，這與LSN架構簡化用戶側網絡設備和IT系統，將相關功能上移至端局的理念相一致。雖然有流量折返現象，但是由于用戶是低帶寬型的，且折返路徑利用的是 LSN和互聯鏈路上下行不同方向的帶寬，故對現網流量增加壓力較小。

總體來看，方案3是基于政企用戶需求和目前網絡現狀，適合于 LSN環境下實現政企用戶PPPoE撥號應用的最佳實踐方案。

6 結束語

LSN政企網關實現PPPoE的方法有很多，在現網部署時，需要結合技術成熟度、技術經濟性、技術擴展性、現有資源保護性等因素綜合考慮，選擇對現網影響最小、運營效率最高、風險最低的技術進行組網。最后，建議LSN作為用戶CPN與vDC之間的橋梁，應該加速與城域網的融合，這樣資源浪費和流量折返的問題就迎刃而解了。

[1] 吳志明, 傅志仁, 張宏斌, 等. LSN: 面向ICT服務的電信網絡架構及其技術實現[J]. 電信科學, 2014, 30(8): 112-130. WU Z M, FU Z R, ZHANG H B, et al. An ICT service oriented telecom network infrastructure architecture and implementation[J]. Telecommunications Science, 2014, 30(8): 112-130.

[2] 顏永明, 許斌, 徐海峰, 等. 解決 NFV環境下撥號上網地址占用問題的 NAT444方案[J]. 電信科學, 2016, 32(11): 154-160. YAN Y M, XU B, XU H F, et al. NAT444 solution to the dial-up address occupation in NFV environment[J]. Telecommunications Science, 2016, 32(11): 154-160.

PPPoE internet access for government-enterprise customer in LSN environment

YAN Yongming, YE Kechuang, XU Bin, XU Haifeng, ZUO Liang, HONG Kaiyuan
Shanghai Branch of China Telecom Co., Ltd., Shanghai 200085, China

With the blowout development of cloud-computing market, start-up enterprises gradually increase the demand for cloud business. For the cost-sensitive customers, using the traditional government-enterprise PPPoE in the LSN environment could reduce the wastage of public IPv4 addresses. Meanwhile, ICT services based on cloud-computing was provided for customers. Several solutions which mixed the traditional government-enterprise gateway solution and the latest LSN scene were presented. Through the analysis of advantages and disadvantages of each scheme, reference for government-enterprise customers dialing-up to access internet in LSN environment was presented.

local service node, point to point protocol over Ethernet, cloud business, information and communication technology

TN919

：A

10.11959/j.issn.1000-0801.2017263

顏永明（1978-），男，中國電信股份有限公司上海分公司信息網絡部綜合運營監控中心副經理、高級工程師，主要研究方向為數據網絡、云組網等。

葉克闖（1991-），男，中國電信股份有限公司上海分公司信息網絡部IDC浦西運營中心技術工程師、助理工程師，主要研究方向為數據網絡、云組網等。

許斌（1988-），男，中國電信股份有限公司上海分公司信息網絡部IDC浦西運營中心技術室經理、助理工程師，主要研究方向為數據網絡、網絡安全等。

徐海峰（1974-），男，中國電信股份有限公司上海分公司信息網絡部IDC浦東運營中心技術工程師、助理工程師，主要研究方向為數據網絡、云組網等。

左良（1976-），男，中國電信股份有限公司上海分公司信息網絡部IDC浦東運營中心技術工程師、助理工程師，主要研究方向為數據網絡、網絡安全等。

洪愷淵（1991-），男，中國電信股份有限公司上海分公司信息網絡部IDC浦西運營中心技術工程師、助理工程師，主要研究方向為數據網絡、網絡安全等。

2017-06-20；

：2017-08-31