龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

合作寬帶小區(qū)網(wǎng)絡互聯(lián)及認證技術方案研究

龐恒麗，楊文彬，徐鐵成，李偉，葉躍慶

（中國移動通信集團廣東有限公司東莞分公司，東莞 523129）

當前家庭寬帶高速發(fā)展帶來業(yè)務管控的政策風險，本文介紹了一種新的通過移動駐地網(wǎng)及城域網(wǎng)，使用鐵通RADIUS認證及流量出口的家庭寬帶網(wǎng)絡互聯(lián)及認證方案，測試表明該方案業(yè)務運行穩(wěn)定，有效地加快推廣家庭寬帶業(yè)務，是值得推廣的一種新的合作小區(qū)方式。

家庭寬帶；MPLS VPN；OSPF

當前，公司的家庭寬帶業(yè)務處于高速發(fā)展階段，然而家庭寬帶業(yè)務使用省公司認證以及CMNET出口不可避免的會帶來業(yè)務管控的政策風險。

為規(guī)避管控政策的同時繼續(xù)加快推廣寬帶業(yè)務的發(fā)展，有必要探索移動鐵通合作發(fā)展家庭寬帶小區(qū)的模式。本文介紹了一種新的通過移動城域網(wǎng)側(cè)IP專線匯聚交換機互聯(lián)鐵通城域網(wǎng)，實現(xiàn)業(yè)務流量鐵通出口的家庭寬帶網(wǎng)絡互聯(lián)方案。同時為克服移動鐵通互聯(lián)互通出口負荷高的問題，本文提出了通過在城域網(wǎng)新建鐵通出口VPN實例實現(xiàn)鐵通認證流量本地疏導的認證技術方案。測試表明本技術方案可行，業(yè)務運行正常，實施效果理想。

1 IP城域網(wǎng)及家庭寬帶網(wǎng)絡現(xiàn)狀

IP城域網(wǎng)采用核心層、匯聚層和接入層3層結(jié)構(gòu)，如圖1所示。

核心層通過核心路由器實現(xiàn)與CMNET骨干網(wǎng)的連接，完成高速的數(shù)據(jù)轉(zhuǎn)發(fā)，并充當IP城域網(wǎng)出口設備。

業(yè)務接入控制層是二層網(wǎng)絡與三層IP網(wǎng)絡的轉(zhuǎn)換點，同時負責業(yè)務的控制、用戶的管理、計費信息采集等功能，是業(yè)務提供的關鍵層。業(yè)務接入控制層設備包括BRAS（寬帶接入服務器）和SR（業(yè)務路由器）。

圖1 東莞IP城域網(wǎng)網(wǎng)絡現(xiàn)狀

寬帶接入網(wǎng)是業(yè)務接入控制點以下的二層接入網(wǎng)絡。負責將以太網(wǎng)、OLT匯聚到BRAS或匯聚到業(yè)務路由器。為提高業(yè)務性能并避免以太網(wǎng)廣播泛濫等問題，匯聚交換機僅設置一級，并啟動VLAN。原則上城域網(wǎng)匯聚交換機對接業(yè)務交換機的端口模式只能為access口或QinQ端口。對于采用動態(tài)IP地址的普通上網(wǎng)業(yè)務如家庭寬帶應使用QinQ（兩層VLAN標簽），其中城域網(wǎng)的外層VLAN在城域網(wǎng)匯聚交換機端口劃分，目前同一板PON板下相同的業(yè)務分配了一個外層VLAN；城域網(wǎng)的內(nèi)網(wǎng)VLAN在客戶端設備ONT端口劃分。

目前公司的家庭寬帶用戶通過GPON接入IP城域網(wǎng)的BRAS服務器，使用省公司統(tǒng)一認證，業(yè)務流量CMNET出口。然而這樣的認證及出口方式不可避免的會帶來業(yè)務管控的政策風險。接下來本文將介紹一種利用移動駐地網(wǎng)及城域網(wǎng)，使用鐵通RADIUS認證及流量出口的家庭寬帶網(wǎng)絡互聯(lián)及認證方案。

2 MPLS VPN關鍵技術

在介紹技術方案前，先簡要介紹MPLS VPN關鍵技術。 MPLS VPN可為企業(yè)提供二層和三層的虛擬互連業(yè)務，網(wǎng)絡主要由CE、PE和P等3部分組成：用戶網(wǎng)絡邊緣路由器(CE)設備直接與服務提供商網(wǎng)絡相連；骨干網(wǎng)邊緣路由器（PE）設備與用戶的CE直接相連，負責VPN業(yè)務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者：骨干網(wǎng)核心路由器(P)負責快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。MPLS VPN一般采用圖2所示的網(wǎng)絡結(jié)構(gòu)。

圖2 MPLS VPN網(wǎng)絡結(jié)構(gòu)示意圖

MPLS VPN網(wǎng)絡中傳輸?shù)腣PN業(yè)務數(shù)據(jù)采用外標簽(隧道標簽)和內(nèi)標簽(VPN標簽)兩層標簽棧結(jié)構(gòu)。當一個VPN業(yè)務分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。

3 問題提出

在制定網(wǎng)絡互聯(lián)的技術方案時，需要解決以下問題：

(1) 要規(guī)避省公司統(tǒng)一認證，業(yè)務流量CMNET出口的政策風險；

(2) 保持IP城域網(wǎng)的整體結(jié)構(gòu)及滿足城域網(wǎng)相關規(guī)范；

(3) 由于城域網(wǎng)的缺省路由被引導到CMNET，如要通過鐵通出口就必需新建IP專線匯聚交換機，將流量引導到IP專線匯聚交換機上；

(4) CMNET到鐵通互聯(lián)互通出口負荷已經(jīng)較高，考慮通過東莞本地移動與鐵通的互聯(lián)鏈路進行業(yè)務流量和認證流量的疏導；

圖3 組網(wǎng)及認證技術方案

(5) 網(wǎng)絡組網(wǎng)需考慮到后期維護問題與故障定位的便捷性，分工界面應清晰，移動駐地網(wǎng)OLT盡量將為鐵通寬帶業(yè)務分配特定的外層VLAN。

4 網(wǎng)絡互聯(lián)及認證方案實施

4.1 技術方案

為保持IP城域網(wǎng)的整體結(jié)構(gòu)及滿足城域網(wǎng)相關規(guī)范，鐵通出口不與城域網(wǎng)直接互聯(lián)，城域網(wǎng)側(cè)采用MPLSVPN方式，通過IP專線匯聚交換機互聯(lián)城域網(wǎng)鐵通。

網(wǎng)絡組網(wǎng)如圖3所示，選定運河SR3、二機樓SR3路由器作為鐵通出口匯聚路由器，SR上新建鐵通出口VPN實例，在與IP專線匯聚交換機互聯(lián)的端口上綁定該實例。BRAS上新建鐵通出口VPN實例，并新增一個LoopBack接口配置鐵通公網(wǎng)IP地址，在該接口BRAS的IP Pool上綁定該VPN實例，當用戶認證發(fā)送認證請求及獲取到的IP地址就直接在鐵通出口VPN實例中，實現(xiàn)與城域網(wǎng)公網(wǎng)的路由表分離。

4.2 流量引導

運河SR3、二機樓SR3與IP專線匯聚交換機通過OSPF路由方式互聯(lián)；在IP專線匯聚交換機OSPF中強制下發(fā)缺省路由；運河SR3、二機樓SR3通過OSPF路由學習到IP專線匯聚下發(fā)的缺省路由后，將缺省路由泛洪至整個城域網(wǎng)鐵通出口VPN實例中，鐵通出口VPN實例的缺省路由將指向運河SR3、二機樓SR3并到達IP專線匯聚交換機；流量到達IP專線匯聚交換機后查找交換機的本地路由，IP專線匯聚交換上的缺省路由指向鐵通，從而實現(xiàn)在從移動接入、鐵通認證、鐵通出口。

路由實現(xiàn)如下：

SW-BRAS-CR-SR-IP專線匯聚交換機-鐵通出口。

4.3 數(shù)據(jù)配置說明

4.3.1 新建VPN實例

4.3.2 配置到鐵通認證的LoopBack口

interface LoopBack10 description To-[GDDG_ IPMAN_TieTong_Export]

4.3.3 BGP路由配置

4.3.4 鐵通地址池

4.4 OLT側(cè)資源規(guī)劃

目前OLT同一板PON板下相同的業(yè)務分配了一個外層VLAN?？紤]到合作小區(qū)日后的開通與維護工作，現(xiàn)將1901～1991MHz分配給用于發(fā)展鐵通用戶小區(qū)專門使用。

5 應用總結(jié)

本研究提出了一種創(chuàng)新的合作發(fā)展家庭寬帶的方案思路，經(jīng)試點測試驗證了本文的移動鐵通合作家庭寬帶網(wǎng)絡組網(wǎng)及認證方案的可行性，業(yè)務認證撥號快速，業(yè)務運行正常、穩(wěn)定，有效利用公司的網(wǎng)絡資源優(yōu)勢，整合移動鐵通力量。本寬帶小區(qū)方案已在東莞分公司10個試點小區(qū)進行應用，累計發(fā)展用戶數(shù)達987戶，是值得推廣的一種新的合作小區(qū)的技術模式。

[1] Doraswamy N，Harkins D.IPSec－新一代因特網(wǎng)安全標準[M].北京：機械工業(yè)出版社，2000.

[2] 思科考試教程：CCIE路由與交換認證考試指南第三版[Z]. 2009.

[3] 陳淑榮， 馬力. 多協(xié)議標記交換（MPLS）的研究與分析[J].數(shù)據(jù)通信，2009.

[4] 郭仕剛. IP承載網(wǎng)MPLS VPN技術[J]. 現(xiàn)代電信科技， 2008，(9).

[5] 金濤， 李青， 王苑超. 基于IPSec與基于MSPL的VPN的分析與比較[J]. 計算機安全， 2007，(06).

Study of broadband interconnection and authentication scheme incooperation residential

PANG Heng-li, YANG Wen-bin, XU Tie-cheng, LI Wei, YE Yue-qing
(China Mobile Group Guangdong Co., Ltd. Dongguan Branch, Dongguan 523129, China)

The rapid development of home broadband could bring a high risk of policy control, this paper introduces a new broadband interconnection and authentication scheme, which is through ours access and metropolitan area network, and use CTT’s AAA server and internet exportation. Test shows the scheme operation stably, accelerates the promotion of broadband effectively, and it will be a new experience worth promoting about cooperation residential broadband.

broadband access; MPLS VPN; OSPF

TN915

A

1008-5599（2012）10-0020-04

2012-09-10