讓用戶自由選擇網絡出口

引言： 某校與電信、聯通、移動三家運營商合作，以市場化運營方式實現校方和運營商的雙贏，同時為解決長期以來各個宿舍區域學生只能選擇某一個運營商網絡的困境，在不新增加線路的情況下，利用原有各個運營商的線路，根據業務需求，采用某公司運營商SAM方案來實現校園SAM與運營商Radius系統對接，實現學校與運營商共同運營校園網。

方案概述

1.目標

基于三家運營商（電信、聯通、移動）共同運營校園網的業務需求，以及學校對整個校園網進行統一運營、管理的需求，需要實現運營商賬號的開通、認證、計費都在運營商的業務系統上完成，然后在校園SAM系統上完成運營商賬號與校園網賬號的綁定，既運營商寬帶賬號統一管理，防止私開寬帶賬號和帶寬不一致的問題。為達到上述目標，將學校的SAM認證計費管理系統和運營商Radius系統進行對接。

2.相關協議

如圖1所示，校園網SAM和運營商SAM之間使用radius-proxy進行交互，運營商SAM和運營商Radius之間也使用radius-proxy進行交互。

圖1 協議交互圖

Radius-proxy報文，本質上還是Radius報文，但有一定區別。

詳細設計及實現

1.總體需求

總體需求如下：運營商保留經營權，自主掌控開戶、計費、收費、銷戶等運營關鍵環節，保障運營收入。學校要求校園網實現統一平臺，即全?！敖y一賬號、統一運營、統一管理”。學校要求校園網可自主管控，配合規范教學秩序，針對時間段、接入區域、用戶身份類型等方面信息對用戶進行精細化管理。

表1 擬用設備

2.拓撲結構

網絡出口拓撲圖如圖2。拓撲說明：

（1）核心N18014上配置3條默認路由指向3臺RSR7716-X路由器，實現路由負載均衡。

（2）3臺 RSR7716-X設備都配置默認路由指向辦公網出口NPE60E設備，每臺RSR7716-X設備都為3家運營商鏈路配置用戶路由（基于源IP的動態策略路由）。

（3）辦公網用戶數據和服務器數據將從NPE60E設備到達外網。

圖1 網絡出口拓撲圖

（4）運營商用戶在RSR7716-X上匹配用戶路由，使用戶數據從對應的運營商鏈路到外網。

系統對接拓撲圖如圖3。

在運營商側或學校側部署運營商版SAM，分別與運營商Radius、校園網SAM進行對接，實現學生開戶的運營商賬號與校園網賬號關聯統一，為學校保留校園網運營管理權力；實現學校只認證校園網賬號，關聯運營商賬號的登錄均轉發至運營商Radius進行認證計費和套餐策略下發，保障運營商自有的運營模式不受沖擊。

校園網出口部署RSR7716-X路由器與校園SAM聯動，實現同一LAN或同一SSID下多運營商賬號登錄后出口流量的正確選路(電信賬號走電信出口，聯通賬號走聯通出口，移動賬號走移動出口，校園網賬號走辦公網出口)。同時，實現基于用戶的限速與基于用戶的流量記錄，運營商可開通一系列固定帶寬套餐，并為流量套餐采集流量數據。

圖3 系統對接拓撲圖

網絡方案設計及實現

1.運營商SAM部署方式

本例中3套運營商SAM系統都部署在學校網絡中心機房，分別將運營商SAM服務器私網IP地址映射成對應運營商的出口鏈路公網IP地址，運營商SAM系統與運營Radius系統之間交互的radius-proxy報文通過公網鏈路進行傳輸。

接著，在校園SAM系統配置Radius上傳屬性定制規則――認證和記賬報文上傳NAS設備公網IP地址（即運營商SAM服務器映射的公網IP地址）。

2.運營商SAM系統與運營商Radius系統對接實現

（1）運營商Radius系統將運營商SAM系統當作一臺BRAS設備添加，運營商Radius系統接收并處理運營商SAM系統發送的Radius Proxy報文即可。

（2）在校園網SAM上添加運營商SAM和運營商Radius的對接參數，及在運營商SAM上添加校園網SAM和運營商radius-server信息。

3.路由選路實現

校園SAM系統與出口RSR7716-X路由器聯動，校園SAM將用戶上線信息（含運營商屬性）同步給RSR7716-X設備，不同運營商的用戶在RSR7716-X設備上歸屬于不同的user-group。RSR7716-X設備上user-group可以被ACL調用，ACL再關聯策略路由，實現用戶訪問外網的數據流轉發至相應的運營商鏈路，即基于用戶運營商屬性進行選路。

4.運營商系統下傳用戶帶寬屬性設計

運營商Radius系統將運營商SAM系統當作一臺BRAS設備，用戶認證成功后，運營商Radius系統將用戶帶寬值填充在Radius報文的廠商自定義屬性段中。校園SAM系統提取該屬性值轉換為RSR7716-X路由器出口聯動策略名（user-group），針對不同運營商、不同的帶寬值配置相應的user-group；RSR7716-X設備上usergroup可以被ACL調用，ACL再被限速策略調用，從而實現運營商Radius系統下傳帶寬屬性的對接需求。

圖4 運行效果圖

5.DNS域名解析實現

本例中全網用戶IP地址采用DHCP方式獲取，DHCP下發的DNS服務器首選地址為114.114.114.144、備選服務器地址為8.8.8.8。然而，全網分布著電信、移動、聯通三家運營商的用戶，如果用戶采用獲取的DNS服務器地址進行公網域名解析，必然會出現部分域名無法解析，或者跨運營商訪問的情況。如果用戶采用獲取的DNS服務器地址進行校內域名解釋，必然會出現部分域名無法解析，或者解析為公網IP的情況（最佳解析結果應該為校內私網IP）。為解決該問題，在出口RSR7716-X設備上啟用DNS正向代理和DNS重定向功能。

DNS正向代理原理

1.RSR7716-X設備截取用戶解析公網域名的DNS請求報文，修改該報文中的目的DNS服務器IP地址為對應出口運營商線路上配置的正確的DNS地址，并把報文從該出口轉發。

2.相應的DNS服務器對請求作出響應后，RSR7716-X會把相應的響應報文源IP替換為用戶的目標DNS服務器IP，然后轉發給內網PC，從而保障不同運營用戶解析公網域名時采用的本運營商的DNS服務器的解析結果。

DNS重定向原理

1.RSR7716-X設備截取用戶解析校內域名的DNS請求報文，修改該報文中的目的DNS服務器IP地址為校內DNS服務器IP地址，源IP替換為RSR7716-X設備內網口IP，然把修改后的報文從內網口轉發給內DNS服務器。

2.內網的DNS服務器對請求作出響應后，RSR7716-X會把相應的響應報文源IP替換為用戶的目標DNS服務器IP，然后轉發給內網PC，從而保障校內域名解析為校內私網IP。

運行效果

系統開通運行后，多個用戶可在同一個寢室同一條線路上選擇不同運營商網絡，體驗良好，平均在線用戶達到2萬余人。