合作宽带小区网络互联及认证技术方案研究

庞恒丽，杨文彬，徐铁成，李伟，叶跃庆

（中国移动通信集团广东有限公司东莞分公司，东莞 523129）

合作宽带小区网络互联及认证技术方案研究

庞恒丽，杨文彬，徐铁成，李伟，叶跃庆

（中国移动通信集团广东有限公司东莞分公司，东莞 523129）

当前家庭宽带高速发展带来业务管控的政策风险，本文介绍了一种新的通过移动驻地网及城域网，使用铁通RADIUS认证及流量出口的家庭宽带网络互联及认证方案，测试表明该方案业务运行稳定，有效地加快推广家庭宽带业务，是值得推广的一种新的合作小区方式。

家庭宽带；MPLS VPN；OSPF

当前，公司的家庭宽带业务处于高速发展阶段，然而家庭宽带业务使用省公司认证以及CMNET出口不可避免的会带来业务管控的政策风险。

为规避管控政策的同时继续加快推广宽带业务的发展，有必要探索移动铁通合作发展家庭宽带小区的模式。本文介绍了一种新的通过移动城域网侧IP专线汇聚交换机互联铁通城域网，实现业务流量铁通出口的家庭宽带网络互联方案。同时为克服移动铁通互联互通出口负荷高的问题，本文提出了通过在城域网新建铁通出口VPN实例实现铁通认证流量本地疏导的认证技术方案。测试表明本技术方案可行，业务运行正常，实施效果理想。

1 IP城域网及家庭宽带网络现状

IP城域网采用核心层、汇聚层和接入层3层结构，如图1所示。

核心层通过核心路由器实现与CMNET骨干网的连接，完成高速的数据转发，并充当IP城域网出口设备。

业务接入控制层是二层网络与三层IP网络的转换点，同时负责业务的控制、用户的管理、计费信息采集等功能，是业务提供的关键层。业务接入控制层设备包括BRAS（宽带接入服务器）和SR（业务路由器）。

图1 东莞IP城域网网络现状

宽带接入网是业务接入控制点以下的二层接入网络。负责将以太网、OLT汇聚到BRAS或汇聚到业务路由器。为提高业务性能并避免以太网广播泛滥等问题，汇聚交换机仅设置一级，并启动VLAN。原则上城域网汇聚交换机对接业务交换机的端口模式只能为access口或QinQ端口。对于采用动态IP地址的普通上网业务如家庭宽带应使用QinQ（两层VLAN标签），其中城域网的外层VLAN在城域网汇聚交换机端口划分，目前同一板PON板下相同的业务分配了一个外层VLAN；城域网的内网VLAN在客户端设备ONT端口划分。

目前公司的家庭宽带用户通过GPON接入IP城域网的BRAS服务器，使用省公司统一认证，业务流量CMNET出口。然而这样的认证及出口方式不可避免的会带来业务管控的政策风险。接下来本文将介绍一种利用移动驻地网及城域网，使用铁通RADIUS认证及流量出口的家庭宽带网络互联及认证方案。

2 MPLS VPN关键技术

在介绍技术方案前，先简要介绍MPLS VPN关键技术。 MPLS VPN可为企业提供二层和三层的虚拟互连业务，网络主要由CE、PE和P等3部分组成：用户网络边缘路由器(CE)设备直接与服务提供商网络相连；骨干网边缘路由器（PE）设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：骨干网核心路由器(P)负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。MPLS VPN一般采用图2所示的网络结构。

图2 MPLS VPN网络结构示意图

MPLS VPN网络中传输的VPN业务数据采用外标签(隧道标签)和内标签(VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

3 问题提出

在制定网络互联的技术方案时，需要解决以下问题：

(1) 要规避省公司统一认证，业务流量CMNET出口的政策风险；

(2) 保持IP城域网的整体结构及满足城域网相关规范；

(3) 由于城域网的缺省路由被引导到CMNET，如要通过铁通出口就必需新建IP专线汇聚交换机，将流量引导到IP专线汇聚交换机上；

(4) CMNET到铁通互联互通出口负荷已经较高，考虑通过东莞本地移动与铁通的互联链路进行业务流量和认证流量的疏导；

图3 组网及认证技术方案

(5) 网络组网需考虑到后期维护问题与故障定位的便捷性，分工界面应清晰，移动驻地网OLT尽量将为铁通宽带业务分配特定的外层VLAN。

4 网络互联及认证方案实施

4.1 技术方案

为保持IP城域网的整体结构及满足城域网相关规范，铁通出口不与城域网直接互联，城域网侧采用MPLSVPN方式，通过IP专线汇聚交换机互联城域网铁通。

网络组网如图3所示，选定运河SR3、二机楼SR3路由器作为铁通出口汇聚路由器，SR上新建铁通出口VPN实例，在与IP专线汇聚交换机互联的端口上绑定该实例。BRAS上新建铁通出口VPN实例，并新增一个LoopBack接口配置铁通公网IP地址，在该接口BRAS的IP Pool上绑定该VPN实例，当用户认证发送认证请求及获取到的IP地址就直接在铁通出口VPN实例中，实现与城域网公网的路由表分离。

4.2 流量引导

运河SR3、二机楼SR3与IP专线汇聚交换机通过OSPF路由方式互联；在IP专线汇聚交换机OSPF中强制下发缺省路由；运河SR3、二机楼SR3通过OSPF路由学习到IP专线汇聚下发的缺省路由后，将缺省路由泛洪至整个城域网铁通出口VPN实例中，铁通出口VPN实例的缺省路由将指向运河SR3、二机楼SR3并到达IP专线汇聚交换机；流量到达IP专线汇聚交换机后查找交换机的本地路由，IP专线汇聚交换上的缺省路由指向铁通，从而实现在从移动接入、铁通认证、铁通出口。

路由实现如下：

SW-BRAS-CR-SR-IP专线汇聚交换机-铁通出口。

4.3 数据配置说明

4.3.1 新建VPN实例

4.3.2 配置到铁通认证的LoopBack口

interface LoopBack10 description To-[GDDG_ IPMAN_TieTong_Export]

4.3.3 BGP路由配置

4.3.4 铁通地址池

4.4 OLT侧资源规划

目前OLT同一板PON板下相同的业务分配了一个外层VLAN。考虑到合作小区日后的开通与维护工作，现将1901～1991MHz分配给用于发展铁通用户小区专门使用。

5 应用总结

本研究提出了一种创新的合作发展家庭宽带的方案思路，经试点测试验证了本文的移动铁通合作家庭宽带网络组网及认证方案的可行性，业务认证拨号快速，业务运行正常、稳定，有效利用公司的网络资源优势，整合移动铁通力量。本宽带小区方案已在东莞分公司10个试点小区进行应用，累计发展用户数达987户，是值得推广的一种新的合作小区的技术模式。

[1] Doraswamy N，Harkins D.IPSec－新一代因特网安全标准[M].北京：机械工业出版社，2000.

[2] 思科考试教程：CCIE路由与交换认证考试指南第三版[Z]. 2009.

[3] 陈淑荣， 马力. 多协议标记交换（MPLS）的研究与分析[J].数据通信，2009.

[4] 郭仕刚. IP承载网MPLS VPN技术[J]. 现代电信科技， 2008，(9).

[5] 金涛， 李青， 王苑超. 基于IPSec与基于MSPL的VPN的分析与比较[J]. 计算机安全， 2007，(06).

Study of broadband interconnection and authentication scheme incooperation residential

PANG Heng-li, YANG Wen-bin, XU Tie-cheng, LI Wei, YE Yue-qing
(China Mobile Group Guangdong Co., Ltd. Dongguan Branch, Dongguan 523129, China)

The rapid development of home broadband could bring a high risk of policy control, this paper introduces a new broadband interconnection and authentication scheme, which is through ours access and metropolitan area network, and use CTT’s AAA server and internet exportation. Test shows the scheme operation stably, accelerates the promotion of broadband effectively, and it will be a new experience worth promoting about cooperation residential broadband.

broadband access; MPLS VPN; OSPF

TN915

A

1008-5599（2012）10-0020-04

2012-09-10