底層突破PPPOE 機制

四川 黃生海

隨著光網(wǎng)的普遍覆蓋，類似光網(wǎng)PON網(wǎng)絡(luò)的隔離機制比如局域網(wǎng)內(nèi)每PC 機直接單獨1個光貓PPPOE 家庭式撥號直接上網(wǎng)方式逐漸盛行。這種架構(gòu)客戶也很滿意，因為不用再花精力和時間、成本在網(wǎng)絡(luò)維護上了，只管使用，其他交給運營商（就只有皮線光纜線路問題）！但是這種情況下問題又來了，業(yè)務(wù)專網(wǎng)咋辦？（該情景要求非物理隔離、邏輯隔離環(huán)境下PC 能安全使用專網(wǎng)業(yè)務(wù)系統(tǒng)同時訪問互聯(lián)網(wǎng)，且避免傳統(tǒng)局域網(wǎng)模式建設(shè)組網(wǎng)情況的種種弊端）

最近在實施某政務(wù)外網(wǎng)項目中成功攻克各種技術(shù)難題，覓得巧妙實施解決方案，其在各種實際環(huán)境下的運用也具有極大的推廣價值！

項目現(xiàn)狀及需求

某單位近60 余辦公室，多年前建設(shè)采取的交換機+網(wǎng)線接入每辦公室PPPOE 撥號方式上網(wǎng)，因每辦公室單獨一個VLAN，嚴格隔離，加之采取的點到點PPPOE 方式，所以長期以來運行穩(wěn)定，沒出現(xiàn)過病毒擴散、環(huán)路影響等問題。

隨著日益強烈的信息化需求，某政務(wù)單位提出每個辦公室上政務(wù)外網(wǎng)的需求，因為大樓剛剛裝修好，根本無法放線進去，且每辦公室敷設(shè)線路開通也根本不太現(xiàn)實！

項目分析

傳統(tǒng)方式想到的是把每個辦公室現(xiàn)有的上網(wǎng)方式改為大局域網(wǎng)模式，通過中心機房匯聚后策略路由NAT 方式不同網(wǎng)絡(luò)不同出口解決，但是這種回歸原始的組網(wǎng)模式將必然出現(xiàn)各種局域網(wǎng)問題，網(wǎng)絡(luò)質(zhì)量和穩(wěn)定肯定下降，由此帶來的客戶感知，以及大動作改造帶來的工作量和改造期網(wǎng)絡(luò)的運行問題都是一個巨大的挑戰(zhàn)！

還想到的方案是在大樓出口設(shè)備上進行截流采取重定向方式實現(xiàn)2個網(wǎng)絡(luò)訪問的不同走向?qū)崿F(xiàn)，但是每個辦公室出來的是PPPOE 報文，IP 頭前面已經(jīng)封裝了1 層PPP頭，2層/3層設(shè)備根本無法對流量進行抓取，包括源MAC 方式，也無法根據(jù)不同訪問目的IP 進行下一條的選取！

既然以上2 種方案均無法采取，想到的思路就是能否實現(xiàn)報文去掉PPP 頭封裝又不變目前的上網(wǎng)模式？在目前技術(shù)要想在某個層面實現(xiàn)幾無可能。

項目場景及具體解決方案

目前PPPOE 報文經(jīng)過2/3 層交換機后在BAS 進行終結(jié)，專網(wǎng)情景下要求PC 為靜態(tài)IP 或者DHCP 服務(wù)器下發(fā)IP，能否在同1臺PC 上進行雙場景整合，同時接入鏈路共享，并根據(jù)不同網(wǎng)絡(luò)需求在不同地方進行終結(jié)？

經(jīng)過實際測試，思路可行！具體請詳見圖1。

圖中樓層交換機為2 層即可，只需要實現(xiàn)VLAN 劃分，無其他特殊配置支持和性能要求，機房的匯聚交換機為支持SUPPERVLAN 的三層交換機，一是作為PPPOE報文VLAN 的透傳，二是作為專 網(wǎng)SUBVLAN（子VLAN）的超級VLAN 聚合終結(jié)及專網(wǎng)網(wǎng)關(guān)，實施中PC 進入交換機的PPPOE 報文和專網(wǎng)報文均封裝同一VLAN 上傳（既作為PPPOE 報文VLAN 又作為專網(wǎng)子VLAN），以此實現(xiàn)2 網(wǎng)的同鏈路！而在客戶端PC 上當僅僅使用專網(wǎng)時直接發(fā)出IP報文，進行常規(guī)處理，在需要使用互聯(lián)網(wǎng)時客戶端進行寬帶連接撥號，撥號后根據(jù)PC路由表生成專網(wǎng)在本地連接上設(shè)置的IP 地址相關(guān)鏈路通道自動失效，此時僅僅互聯(lián)網(wǎng)通道可用，如此實施后不同時段（根據(jù)用戶選擇）只能使用某一個網(wǎng)，徹底實現(xiàn)了2 網(wǎng)間的邏輯隔離，同時針對原WiFi 場景（賬號在辦公室寬帶路由器上，PC DHCP方式WiFi 接入）采取路由器DHCP 禁用，不再使用WAN 口，LAN 口接入交換機方式予以解決，此時需要首先PC 無線連接上寬帶路由器，無線連接同時設(shè)置專網(wǎng)IP，若只使用專網(wǎng)直接訪問，若使用互聯(lián)網(wǎng)，和有線方式一樣點“寬帶連接”進行撥號即可！對于中間串了多個路由器的場合，也采取將路由器全部橋方式（只使用LAN 口和無線延伸）再PC 撥號（連接數(shù)開大）同樣方式即可。

圖1 網(wǎng)絡(luò)拓撲圖

圖2 三層交換機配置

圖3 上網(wǎng)采集

三層交換機配置，如圖2所示。

以下為測試效果：

1.有線 僅專網(wǎng)情況效果

專網(wǎng)PING 測正常。

2.有線 僅互聯(lián)網(wǎng)情況效果（點擊寬帶連接撥號后）

此時專網(wǎng)自動斷開，僅能實現(xiàn)互聯(lián)網(wǎng)出口了。

DOS 下發(fā)現(xiàn)PC 獲取了互聯(lián)網(wǎng)IP，PC 上默認路由已經(jīng)撥號通道優(yōu)先（躍點11<4491專網(wǎng)的）。

3.無線 僅專網(wǎng)情況效果

同有線一樣，專網(wǎng)PING測正常。

4.無線 僅互聯(lián)網(wǎng)情況效果截圖（點擊寬帶連接撥號后）

同有線一樣，此時專網(wǎng)自動斷開，僅能實現(xiàn)互聯(lián)網(wǎng)出口了。

DOS 下發(fā)現(xiàn)PC 獲取了互聯(lián)網(wǎng)IP，PC 上默認路由已經(jīng)撥號通道優(yōu)先（躍點26<4506 專網(wǎng)的）。

BAS 上針 對PPPOE 上網(wǎng)采集，如圖3 所示。

項目創(chuàng)新方案亮點

1.實現(xiàn)了終端無線WiFi環(huán)境PPPOE 撥號。

2.巧妙實現(xiàn)雙網(wǎng)同終端環(huán)境下的嚴格邏輯隔離，及單鏈路問題。

3.實現(xiàn)了專網(wǎng)終端IP的嚴格固定，避免亂用混用。

4.突破了PPPOE 報文無法截流重定向限制難題。

5.針對復(fù)雜網(wǎng)絡(luò)環(huán)境下無線路由設(shè)備橋接方式解決了PPPOE 報文和IP 報文的傳輸難題。

項目拓展

根據(jù)再次實際測試，在目前的FTTH PON 網(wǎng)絡(luò)環(huán)境下該成果同樣適用，實際中將光貓改為橋接，同時綁定無線SSID 到 橋WAN 口，PC 設(shè)置專網(wǎng)地址，在MPLS PE 上進行VSI（MPLS VPLS VPN）匯總收斂，同時使用相關(guān)創(chuàng)新隔離及安全機制，而后報文到達客戶機房三層設(shè)備進行基于MAC 定義VLAN，再在其上進行SUPPERVLAN，實現(xiàn)專網(wǎng)終結(jié)和路由，互聯(lián)網(wǎng)PPPOE 同VLAN 透傳到BAS進行終結(jié)解決。該方案同樣可以僅僅用于專網(wǎng)環(huán)境，徹底解決了所有已經(jīng)出現(xiàn)的局域網(wǎng)問題，同時因為局域網(wǎng)接入交換機的不再使用，將徹底解決單位的內(nèi)網(wǎng)建設(shè)和維護難題，是一套切實可行的局域網(wǎng)問題終極創(chuàng)新解決革新方案，節(jié)約了客戶單位很多成本，網(wǎng)絡(luò)也更加穩(wěn)定，二層問題不會再出現(xiàn)！