隨著師生對網絡需求不斷增大，校園網在高校的教學、科研、學習、生活中發揮了越來越多的支撐作用，同時也推動了教育信息化的發展。為了方便教職工在家屬區使用校園網，北京師范大學于2010年開始在校內家屬區45棟家屬樓全部部署了校園網?？紤]到家屬區用戶以前使用歌華或者聯通寬帶，采用撥號方式上網，習慣按帶寬計費模式，以及為了家屬區網絡維護方便，我們在家屬區網絡建設中采用了PPPoE撥號方式上網，而不是通常在校園網內采用的以太局域網方式。和校園網以太局域網相比，PPPoE撥號方式簡單，帶寬控制精準，性價比高。在與現有校園網網絡以及計費系統對接時，需要做一些特殊配置，從而保證通過家屬區方便、快速的訪問校內外資源。

PPPoE原理簡介

PPPoE(Point-to-Point Protocol over Ethernet)，以太網上的點對點協議，是將點對點協議(PPP)封裝在以太網(Ethernet)框架中的一種網絡隧道協議。由于協議中集成了PPP協議，所以實現了傳統以太網不能提供的身份驗證、加密以及壓縮等功能，也可用于調制解調器(cable modem)和數字用戶線路(DSL)等以以太網協議向用戶提供接入服務的協議體系。

PPPoE建立過程可以分為Discovery階段和PPP 會話階段。Discovery階段是一個無狀態的階段，該階段主要是選擇接入服務器，確定所要建立的PPP會話標識符Session ID，同時獲得對方點到點的連接信息；PPP會話階段執行標準的PPP過程。

寬帶接入服務器(Broadband Remote Access Server，簡稱BRAS)是面向寬帶網絡應用的新型接入網關，它位于骨干網的邊緣層，用來完成各種寬帶接入方式的寬帶網絡用戶的接入、認證、計費、控制、管理的網絡設備，是寬帶網絡可運營、可管理的基石。寬帶接入服務器(BRAS)主要完成兩方面功能，一是網絡承載功能：負責終結用戶的PPPoE連接、匯聚用戶的流量功能；二是控制實現功能：與認證系統、計費系統和客戶管理系統及服務策略控制系統相配合實現用戶接入的認證、計費和管理功能。寬帶接入綜合了IP網絡核心技術、AAA技術、數據庫等技術，軟硬結合，對進入寬帶網絡的用戶實施必要的認證，訪問權限控制、服務質量控制、和計費。方案既可按時間、流量計費，又可作為包月制的技術保障，對個人用戶實施帶寬、流量、時長等限制。

校園網、計費系統及家屬區現狀

北京師范大學校園網以1臺H3C 9508和2臺思科6509為核心，連接了教學區各樓宇以及宿舍區樓宇，并將附中等單位通過光纖接入校園網。校園網出口通過防火墻接入教育網和聯通、電信。校園網認證采用深瀾計費系統，將計費網關串聯在出口主干。校園網出口包括教育網、聯通、電信三條線路。

教職工家屬區大部分是通過歌華有線電視網接入互聯網。由于原網絡建設時間早，面臨設備老化、掉線等問題，為滿足教職工家屬區網絡信息化需求，在進行大量的前期調查和研究工作的基礎上，開始建設校內生活區網絡。該區域中，現有勵耘區13棟、別墅7棟、老年活動中心、麗澤區14棟、樂育區9棟、樂育活動站，總計43棟樓和兩個活動站，都需要接入到校園網中。

圖1 家屬區網絡拓撲

基于PPPoE的家屬區網絡與校園網網絡和計費系統

北京師范大學家屬區網絡以華為MA5200G為BRAS設備，兩臺華為S5328為家屬區總匯聚，匯聚各樓的光纖，45臺E328作為樓宇匯聚，190多臺E026作為二層終端接入。

用戶在家屬區使用普通網線接入家屬區網絡，通過PPPoE撥號，在深瀾Radius服務器上進行認證，根據計費數據庫里用戶的身份進行密碼確認，認證通過后向BRAS設備下發IP 分配策略、ACL訪問策略、帶寬策略等。用戶通過與BRAS直連的H3C 9508直接接入校園網，從而實現訪問校園網資源以及通過計費系統訪問校外互聯網資源。

家屬區用戶根據用戶類型分為家屬區教工、家屬區非教工和家屬區辦公用戶。其中家屬區教工用戶可以訪問校內所有資源，而家屬區非教工用戶不能訪問圖書館資源及其他資源；家屬區辦公用戶可以免費訪問國內互聯網。這些策略分別在BRAS設備和計費系統上配置ACL策略實現。

對應計費模式，按照現在公網網絡運營商習慣，設置1Mbps和2Mbps等，收費方式主要以校園卡充值和校內轉賬單充值。校園卡充值系統和計費數據庫對接，從而實現家屬區用戶方便繳費充值。

BRAS上Raius配置：

radius-server group radius

radius-server authentication 172.16.*.* 1812 weight 0

radius-server accounting 172.16.*.* 1813 weight 0

radius-server shared-key jsqtest

radius-server class-as-car

radius-server attribute translate

undo radius-server user-name domain-included

家屬區賬號分配按照樓宇和房間號編排，和用戶所在房間對應。家屬區劃分了4000多個VLAN，每個用戶一個單獨的VLAN，VLAN與家屬區用戶接入端口對應，并在各樓預留一定的VLAN。為了賬號使用安全，在計費系統里對用戶VLAN進行了綁定，每個用戶的賬號只能從自己家的端口VLAN認證，即使賬號被盜，也無法在其他樓宇房間使用。

圖2 家屬區撥號認證示意

圖3 家屬區用戶賬號管理

北師大實現了基于PPPoE撥號家屬區網絡與校園網網絡及計費認證的統一部署。使用BRAS和普通二層交換機，成本較低，管理方便，在小區網絡環境中非常適用。同時，我們也看到，基于PPPoE撥號的網絡存在一些問題，例如對下一代互聯網IPv6的標準支持不完善；在建設初期，前期VLAN規劃比較費時；如果需要設置固定IP比較復雜；不適合不能進行PPPoE撥號的特殊設備，例如電控終端、校園卡PoS機商務網關等。但隨著PPPoE技術和設備的不斷發展和成熟，網絡扁平化，三層核心更加集中和強大將是趨勢，既方便管理，也便于維護。