LSN环境下政企用户PPPoE上网实现方案

颜永明，叶克闯，许斌，徐海峰，左良，洪恺渊

（中国电信股份有限公司上海分公司，上海 200085）

LSN环境下政企用户PPPoE上网实现方案

颜永明，叶克闯，许斌，徐海峰，左良，洪恺渊

（中国电信股份有限公司上海分公司，上海 200085）

随着云计算市场的井喷式发展，园区创客企业在云业务方面的需求不断增加。针对资费敏感的用户，在LSN环境下采用传统政企PPPoE方式，可在减少公网IPv4地址大量消耗的同时，为用户提供云化的ICT服务。将传统的PPPoE拨号政企网关与最新LSN场景相结合，提出了几套解决方案，对各自的优缺点加以比较，对LSN环境下实现政企用户拨号上网给出了建议。

LSN；PPPoE；云业务；ICT

1 引言

随着SDN（software defined networking，软件定义网络）技术的快速发展，中国电信股份有限公司上海分公司（以下简称中国电信上海分公司）构建了LSN（local service node，区域综合信息服务点）——一种电信运营商基于云计算的新型的ICT（information and communication technology，信息和通信技术）服务技术架构。这种技术架构充分利用了现有电信运营商的端局机房资源及光纤宽带接入网络，将其重新构建成基于云计算、NFV（network function virtualization，网络功能虚拟化）、SDN的多租户云数据中心，通过大二层网络技术将LSN数据中心、电信运营商光纤接入汇聚网络、CPN（customer premises network，用户驻地网）有机融合成承载综合ICT服务的网络基础设施架构。

如何在 LSN环境下利用传统政企网关实现PPPoE拨号政企用户上网业务，在减少虚拟化后公网/私网IPv4地址大量消耗的同时，满足用户云业务方面的ICT需求，是本文研究的重点。

2 LSN环境下政企网关拨号上网业务场景需求和问题

2.1 LSN网络架构

如图 1所示，中国电信上海分公司构建的LSN网络主要由2台MSE和一组spine-leaf架构组成。其中，MSE是具有多业务接入能力的路由器，作为东西向、南北向流量的出口。spine-leaf架构则由两台 spine交换机组成交换机矩阵核心，若干台 leaf节点作为交换机矩阵接入，leaf从功能上又分为Bleaf（border leaf，边缘交换机）和Ileaf（internal leaf，内部交换机）。Bleaf主要连接出局链路，承载了去往公网、用户CPN侧的流量。Ileaf主要连接局内链路，沟通网络资源、服务器资源、存储资源，承载了局内用户vDC中的流量和虚拟化平台的相关流量。同时，spine-leaf架构中运用 VxLAN技术部署大二层网络，能够适应虚拟机数量爆发式的增长。

2.2 LSN环境下政企网关拨号上网的业务场景需求

创客园区、办公楼类租户大多倾向于轻资产运营，因此，更愿意租用运营商的云资源、网络设备构建自己的办公和业务环境，而这些用户对资费又较敏感，上网带宽需求一般不高。据此，电信业务部门提出了在LSN环境下提供政企宽带拨号上网业务，即用户通过PON（passive optical network，无源光纤网络）线路连接 LSN 的 spine-leaf网络，既能访问位于LSN内的vDC资源，又可以通过政企宽带链路使用PPPoE拨号满足CPN侧的上网需求，如图1所示。

图1 用户CPN通过PON线路接入LSN

其中，政企用户PON线路直连OLT设备，上联至spine-leaf架构中的BLeaf。Ileaf负责接入用户vDC资源。spine负责对业务流量进行交换。整个spine-leaf架构采用VxLAN技术实现二层网络的连通。MSE则可以作为网络资源的三层出口接入城域网。

对于使用LSN业务的政企用户而言，期望在不改变原有使用习惯、继续延用传统的政企宽带拨号方式的情况下同时享有传统宽带业务和LSN服务，即申请一根PON线路，通过政企网关设备，可同时实现Internet上网以及访问vDC内资源。为了和EIP有所区分，实现业务差异化，运营商业务部门希望为创客园区、办公楼类租户提供非固定IP地址的接入方式，实现政企用户拨号上网业务，从而达到降低资费的目的。同时，为了满足信息安全中溯源的要求，需要对每个用户使用的IP地址进行记录。

3 传统政企宽带上网实现

传统政企上网方式主要有宽带拨号上网和EIP两大类。宽带拨号上网业务通常采用 PPPoE技术，IP地址动态分配。EIP则采用固定公网IP地址方式。

由于采用了PON线路，传统PPPoE宽带拨号方式在可控性和性价比方面具有明显优势。PPPoE客户端功能可由用户侧政企网关设备提供，服务器端则由运营商局端MSE设备实现，用户使用用户名和密码从用户侧政企网关向 MSE发起PPPoE拨号，认证通过后，局端MSE根据AAA系统下发的参数为用户WAN口动态分配公网IPv4地址，同时，用户侧内网可使用私有IPv4地址，经过NAT（network address translation，网络地址转换）或PAT（port address translation，网络地址转换）后访问Internet。由于IP地址动态分配，此方式通常用于用户上网访问，一般不提供Internet内容发布。

EIP则为用户提供固定分配的公网IP地址，运营商对用户接入地址可实现强管控。使用固定公网地址，用户既能实现上网访问，也可利用固定IP地址对外发布应用，拥有内容发布的能力。因为每个用户都有独立的公网IP地址，IP地址的消耗会随着用户数量的增加急速增加。

图2 方案1基础配置

4 LSN环境下政企网关PPPoE实现方案

4.1 方案1

方案1为用户CPN侧各VLAN网关部署在PON线路政企网关设备上，基础配置以图2为例，CPN配置3个内网VLAN，分别是VLAN 2、VLAN 3、VLAN 4，不同VLAN内的终端可访问LSN内对应的内网应用，例如生产、办公、测试类应用，这3个VLAN在政企网关上可通过配置接入口实现。另外，配置一个 PPPoE拨号接口，归属于VLAN 1，用于发起PPPoE拨号，将政企网关的WAN口配置成Hybrid模式，其中，VLAN 1不打标签，VLAN 2、VLAN 3、VLAN 4则加上IEEE 802.1q封装后发送，政企网关上行端口通过PON线路连接到OLT汇聚交换机，由OLT汇聚交换机作为业务分离点，分别与城域网 BRAS（实现Internet上网）和LSN网络（各VLAN与用户vDC内对应应用实现互联，从而实现CPN对用户vDC内资源的访问）连接。

本方案的特别配置在于 PPPoE拨号和用户CPN侧VLAN网关都由政企网关设备实现，且上网流量通过城域网BRAS访问Internet。具体来说，在政企网关设备上开启4个SVI接口，各个接口的作用如下：SVI 1，VLAN 1 PPPoE拨号；SVI 2，VLAN 2网关；SVI 3，VLAN 3网关；SVI 4，VLAN 4网关。上网PPPoE拨号由政企网关发起，由城域网BRAS终结。用户CPN内各VLAN终端若要上网，将政企网关内各自对应的SVI接口作为三层网关接口，直接走下一跳，指向PPPoE拨号接口所在SVI的默认路由。如要实现各VLAN之间流量的三层隔离，可在政企网关上配置ACL策略以增强安全性。

关键配置举例如下。

（1）SVI1

VLAN1-PPPoE拨号，获得 IP地址是101.80.1.100/24。PPPoE服务器端 IP地址是101.80.1.1/24。政企网关设备默认路由是IP route 0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100访问外网。

（2）SVI2

用户生产LAN，配置为VLAN2，对应CPN及vDC使用网段192.168.2.2-254，在政企网关设备上配置VLAN2网关地址：192.168.2.1/24。

（3）SVI3

用户办公LAN，配置为VLAN3，对应CPN及vDC使用网段192.168.3.2-254，在政企网关设备上配置VLAN3网关地址：192.168.3.1/24。

（4）SVI4

用户测试LAN，配置为VLAN4，对应CPN及vDC使用网段192.168.4.2-254，在政企网关设备上配置VLAN4网关地址：192.168.4.1/24。

用户流量走向举例如下。

· CPN办公上网流量在政企网关设备上走默认路由，经过PAT成SVI 1的公网地址后，直接从OLT汇聚交换机流出，经过城域网BRAS访问Internet。

· CPN访问 vDC的流量经过政企网关设备后，以QinQ封装形式流向OLT汇聚交换机，到达 LSN节点的 Bleaf后转换成VxLAN封装，流经spine-leaf网络至LSN节点的 Ileaf后再转成 VLAN到达用户vDC内。用户vDC内资源与CPN是二层互联，以生产VLAN为例，与VLAN2二层互通，两者在同一个广播域中，VLAN 2内终端可直接通过二层交换方式访问生产LAN内资源。

· 流量从生产LAN、办公LAN或者测试LAN发起，三层网关终结于 vRouter上，通过NAT 1:1转换成公网地址后，经由LSN网络流向Internet。

4.2 方案2

方案2为用户CPN侧各VLAN网关部署在LSN vRouter上，基础配置如图3所示。CPN配置3个内网VLAN，分别是VLAN 2、VLAN 3、VLAN 4，不同VLAN内的终端可访问LSN内对应的内网应用，例如生产、办公、测试类应用，这3个VLAN在政企网关上可通过配置接入口实现。配置一个PPPoE拨号接口，归属于VLAN 1，用于发起 PPPoE拨号。在政企网关和 LSN的vRouter上分别配置一个VLAN 5接口，用于政企网关与vRouter之间实现三层互连。将政企网关的WAN口配置成Hybrid模式，其中，VLAN 1不打标签，VLAN 2、VLAN 3、VLAN 4、VLAN 5则加上IEEE 802.1q封装后发送，政企网关上行端口通过PON线路连接到OLT汇聚交换机，由OLT汇聚交换机作为业务分离点，分别与城域网BRAS（实现Internet上网）和LSN网络（各VLAN与用户 vDC内对应应用实现互联，从而实现 CPN对用户vDC内资源的访问）连接。

图3 方案2基础配置

本方案配置的特别之处在于，虽然 PPPoE拨号仍由PON线路政企网关设备发起，上网流量仍是通过城域网BRAS访问Internet，但是用户CPN侧各内网VLAN的三层网关均设置在LSN节点的vRouter上。具体来说，在政企网关设备上配置2个SVI，其中，SVI1归属于VLAN 1，用作PPPoE拨号使用；SVI2归属于VLAN5，用于与LSN内vRouter三层互连。在vRouter上开启4个接口，分别作为政企网关上SVI2接口的互联地址以及与VLAN 2、VLAN 3、VLAN 4的三层网关。如要实现各VLAN之间流量三层隔离，可在LSN内vRouter上配置ACL策略以增强安全性。

关键配置举例如下。

（1）vRouter int1

用户生产LAN，配置为VLAN2，对应CPN及vDC使用网段192.168.2.2-254，在vRouter上配置VLAN2网关地址：192.168.2.1/24。

（2）vRouter int2

用户办公LAN，配置为VLAN3，对应CPN及vDC使用网段192.168.3.2-254，在vRouter上配置VLAN3网关地址：192.168.3.1/24。

（3）vRouter int3

用户测试LAN，配置为VLAN4，对应CPN及vDC使用网段192.168.4.2-254，在vRouter上配置VLAN4网关地址：192.168.4.1/24。

（4）vRouter int4

用户互联LAN，配置为VLAN5，在int4上配置VLAN5互联接口地址：192.168.5.1/30。int4作为与政企网关设备的互联接口，配置默认路由IP route 0.0.0.0 0.0.0.0 192.168.5.2，将上网流量转发至政企网关设备。

（5）政企网关设备SVI1

VLAN1-PPPoE拨号，获得 IP地址是101.80.1.100/24。PPPoE服务器端 IP地址是101.80.1.1/24。政企网关设备默认路由是IP route0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100访问外网。

（6）政企网关设备SVI2

用户互联VLAN，配置为VLAN5，在SVI2上配置 VLAN5互联接口地址：192.168.5.2/30，SVI2作为与vRouter int4的互联接口，配置路由IP route 192.168.2.0 255.255.255.0 192.168.5.1、IP route 192.168.3.0 255.255.255.0 192.168.5.1、IP route 192.168.4.0 255.255.255.0 192.168.5.1。

用户流量走向举例如下。

· 以办公VLAN 3为例，CPN办公上网流量依次经过政企网关设备、OLT汇聚交换机、LSN网络，通过二层通道到达vRouter后，由vRouter作为VLAN 3三层网关，并通过vRouter上的默认路由（下一跳出接口为int4，下一跳地址为政企网关上的SVI2地址）折返经过LSN网络、OLT汇聚交换机到达政企网关设备，并根据政企网关上的默认路由流向SVI1 PPPoE接口，通过PAT成为公网IP地址后，接着从OLT汇聚交换机流出，经过城域网BRAS访问Internet。这种方式下的CPN办公上网流量存在折返现象。

· CPN访问vDC流量与方案1相同。

· vDC对外提供业务流量与方案1相同。

4.3 方案3

方案3为在vRouter上实现上网PPPoE拨号，基础配置如图4所示，CPN使用3个VLAN，分别为VLAN 2、VLAN 3、VLAN 4。这3个VLAN均由PON线路政企网关设备负责接入（接口采用access模式），政企网关作为三层交换机使用，流量从政企网关WAN口发出时采用IEEE 802.1q封装，再通过PON以QinQ封装发送到OLT汇聚交换机，然后通过OLT汇聚交换机与LSN连接。LSN再与用户vDC实现互联，使CPN可以访问用户vDC内资源。

图4 方案3基础配置

本方案的特点是PPPoE拨号和用户CPN侧VLAN网关均在vRouter上，虽然上网流量仍是通过城域网BRAS访问Internet，但在LSN的vRouter上开启 4个接口，分别用作 PPPoE拨号和 3个VLAN的网关。

由于目前LSN网络与BRAS没有直接连通，故只能复用LSN网络到OLT汇聚交换机之间的链路作为PPPoE拨号链路。

关键配置举例如下。

（1）vRouter int1

VLAN1-PPPoE拨号，获得 IP地址是101.80.1.100/24。PPPoE服务器端 IP地址是101.80.1.1/24。政企网关设备默认路由是IP route 0.0.0.0 0.0.0.0 101.80.1.1，且配置NAT以101.80.1.100访问外网。

（2）vRouter int2

用户生产LAN，配置为VLAN2，对应CPN及vDC使用网段为192.168.2.2-254，在vRouter上配置VLAN2网关地址：192.168.2.1/24。

（3）vRouter int3

用户办公LAN，配置为VLAN3，对应CPN及vDC使用网段为192.168.3.2-254，在vRouter上配置VLAN3网关地址：192.168.3.1/24。

（4）vRouter int4

用户测试LAN，配置为VLAN3，对应CPN及vDC使用网段为192.168.4.2-254，在vRouter上配置VLAN3网关地址：192.168.4.1/24。

用户流量走向举例如下。

· CPN办公上网流量依次经过政企网关设备、OLT汇聚交换机、LSN网络设备组成的二层通道到达vRouter，并将vRouter作为三层网关，配置vRouter完成PPPoE拨号后，生成一跳为城域网BRAS的默认路由，流量在vRouter上通过网络地址转换成公网IP地址后，再依次经过LSN、OLT汇聚交换机、城域网 BRAS访问Internet。

· CPN访问vDC流量与方案1相同。

· vDC对外提供业务流量与方案1相同。

5 方案比较

上述3种方案之间存在一定共性，但是又各有优缺点，详细情况见表1。

表1 方案优缺点比较

考虑到现网兼容性、网络结构、运维体系等，方案3相较于其他方案是最优的。在该方案中，实现了LSN环境下政企用户PPPoE拨号上网需求，同时PPPoE拨号和三层路由功能全部上收至LSN节点内的vRouter，大大简化了CPN侧政企网关功能要求，可进一步降低用户侧设备投入成本。CPN侧设备形态和网络结构大幅简化，则为运营商在LSN内提供更加丰富的业务提供了无限可能，这与LSN架构简化用户侧网络设备和IT系统，将相关功能上移至端局的理念相一致。虽然有流量折返现象，但是由于用户是低带宽型的，且折返路径利用的是 LSN和互联链路上下行不同方向的带宽，故对现网流量增加压力较小。

总体来看，方案3是基于政企用户需求和目前网络现状，适合于 LSN环境下实现政企用户PPPoE拨号应用的最佳实践方案。

6 结束语

LSN政企网关实现PPPoE的方法有很多，在现网部署时，需要结合技术成熟度、技术经济性、技术扩展性、现有资源保护性等因素综合考虑，选择对现网影响最小、运营效率最高、风险最低的技术进行组网。最后，建议LSN作为用户CPN与vDC之间的桥梁，应该加速与城域网的融合，这样资源浪费和流量折返的问题就迎刃而解了。

[1] 吴志明, 傅志仁, 张宏斌, 等. LSN: 面向ICT服务的电信网络架构及其技术实现[J]. 电信科学, 2014, 30(8): 112-130. WU Z M, FU Z R, ZHANG H B, et al. An ICT service oriented telecom network infrastructure architecture and implementation[J]. Telecommunications Science, 2014, 30(8): 112-130.

[2] 颜永明, 许斌, 徐海峰, 等. 解决 NFV环境下拨号上网地址占用问题的 NAT444方案[J]. 电信科学, 2016, 32(11): 154-160. YAN Y M, XU B, XU H F, et al. NAT444 solution to the dial-up address occupation in NFV environment[J]. Telecommunications Science, 2016, 32(11): 154-160.

PPPoE internet access for government-enterprise customer in LSN environment

YAN Yongming, YE Kechuang, XU Bin, XU Haifeng, ZUO Liang, HONG Kaiyuan
Shanghai Branch of China Telecom Co., Ltd., Shanghai 200085, China

With the blowout development of cloud-computing market, start-up enterprises gradually increase the demand for cloud business. For the cost-sensitive customers, using the traditional government-enterprise PPPoE in the LSN environment could reduce the wastage of public IPv4 addresses. Meanwhile, ICT services based on cloud-computing was provided for customers. Several solutions which mixed the traditional government-enterprise gateway solution and the latest LSN scene were presented. Through the analysis of advantages and disadvantages of each scheme, reference for government-enterprise customers dialing-up to access internet in LSN environment was presented.

local service node, point to point protocol over Ethernet, cloud business, information and communication technology

TN919

：A

10.11959/j.issn.1000-0801.2017263

颜永明（1978-），男，中国电信股份有限公司上海分公司信息网络部综合运营监控中心副经理、高级工程师，主要研究方向为数据网络、云组网等。

叶克闯（1991-），男，中国电信股份有限公司上海分公司信息网络部IDC浦西运营中心技术工程师、助理工程师，主要研究方向为数据网络、云组网等。

许斌（1988-），男，中国电信股份有限公司上海分公司信息网络部IDC浦西运营中心技术室经理、助理工程师，主要研究方向为数据网络、网络安全等。

徐海峰（1974-），男，中国电信股份有限公司上海分公司信息网络部IDC浦东运营中心技术工程师、助理工程师，主要研究方向为数据网络、云组网等。

左良（1976-），男，中国电信股份有限公司上海分公司信息网络部IDC浦东运营中心技术工程师、助理工程师，主要研究方向为数据网络、网络安全等。

洪恺渊（1991-），男，中国电信股份有限公司上海分公司信息网络部IDC浦西运营中心技术工程师、助理工程师，主要研究方向为数据网络、网络安全等。

2017-06-20；

：2017-08-31