底层突破PPPOE 机制

四川 黄生海

随着光网的普遍覆盖，类似光网PON网络的隔离机制比如局域网内每PC 机直接单独1个光猫PPPOE 家庭式拨号直接上网方式逐渐盛行。这种架构客户也很满意，因为不用再花精力和时间、成本在网络维护上了，只管使用，其他交给运营商（就只有皮线光缆线路问题）！但是这种情况下问题又来了，业务专网咋办？（该情景要求非物理隔离、逻辑隔离环境下PC 能安全使用专网业务系统同时访问互联网，且避免传统局域网模式建设组网情况的种种弊端）

最近在实施某政务外网项目中成功攻克各种技术难题，觅得巧妙实施解决方案，其在各种实际环境下的运用也具有极大的推广价值！

项目现状及需求

某单位近60 余办公室，多年前建设采取的交换机+网线接入每办公室PPPOE 拨号方式上网，因每办公室单独一个VLAN，严格隔离，加之采取的点到点PPPOE 方式，所以长期以来运行稳定，没出现过病毒扩散、环路影响等问题。

随着日益强烈的信息化需求，某政务单位提出每个办公室上政务外网的需求，因为大楼刚刚装修好，根本无法放线进去，且每办公室敷设线路开通也根本不太现实！

项目分析

传统方式想到的是把每个办公室现有的上网方式改为大局域网模式，通过中心机房汇聚后策略路由NAT 方式不同网络不同出口解决，但是这种回归原始的组网模式将必然出现各种局域网问题，网络质量和稳定肯定下降，由此带来的客户感知，以及大动作改造带来的工作量和改造期网络的运行问题都是一个巨大的挑战！

还想到的方案是在大楼出口设备上进行截流采取重定向方式实现2个网络访问的不同走向实现，但是每个办公室出来的是PPPOE 报文，IP 头前面已经封装了1 层PPP头，2层/3层设备根本无法对流量进行抓取，包括源MAC 方式，也无法根据不同访问目的IP 进行下一条的选取！

既然以上2 种方案均无法采取，想到的思路就是能否实现报文去掉PPP 头封装又不变目前的上网模式？在目前技术要想在某个层面实现几无可能。

项目场景及具体解决方案

目前PPPOE 报文经过2/3 层交换机后在BAS 进行终结，专网情景下要求PC 为静态IP 或者DHCP 服务器下发IP，能否在同1台PC 上进行双场景整合，同时接入链路共享，并根据不同网络需求在不同地方进行终结？

经过实际测试，思路可行！具体请详见图1。

图中楼层交换机为2 层即可，只需要实现VLAN 划分，无其他特殊配置支持和性能要求，机房的汇聚交换机为支持SUPPERVLAN 的三层交换机，一是作为PPPOE报文VLAN 的透传，二是作为专 网SUBVLAN（子VLAN）的超级VLAN 聚合终结及专网网关，实施中PC 进入交换机的PPPOE 报文和专网报文均封装同一VLAN 上传（既作为PPPOE 报文VLAN 又作为专网子VLAN），以此实现2 网的同链路！而在客户端PC 上当仅仅使用专网时直接发出IP报文，进行常规处理，在需要使用互联网时客户端进行宽带连接拨号，拨号后根据PC路由表生成专网在本地连接上设置的IP 地址相关链路通道自动失效，此时仅仅互联网通道可用，如此实施后不同时段（根据用户选择）只能使用某一个网，彻底实现了2 网间的逻辑隔离，同时针对原WiFi 场景（账号在办公室宽带路由器上，PC DHCP方式WiFi 接入）采取路由器DHCP 禁用，不再使用WAN 口，LAN 口接入交换机方式予以解决，此时需要首先PC 无线连接上宽带路由器，无线连接同时设置专网IP，若只使用专网直接访问，若使用互联网，和有线方式一样点“宽带连接”进行拨号即可！对于中间串了多个路由器的场合，也采取将路由器全部桥方式（只使用LAN 口和无线延伸）再PC 拨号（连接数开大）同样方式即可。

图1 网络拓扑图

图2 三层交换机配置

图3 上网采集

三层交换机配置，如图2所示。

以下为测试效果：

1.有线 仅专网情况效果

专网PING 测正常。

2.有线 仅互联网情况效果（点击宽带连接拨号后）

此时专网自动断开，仅能实现互联网出口了。

DOS 下发现PC 获取了互联网IP，PC 上默认路由已经拨号通道优先（跃点11<4491专网的）。

3.无线 仅专网情况效果

同有线一样，专网PING测正常。

4.无线 仅互联网情况效果截图（点击宽带连接拨号后）

同有线一样，此时专网自动断开，仅能实现互联网出口了。

DOS 下发现PC 获取了互联网IP，PC 上默认路由已经拨号通道优先（跃点26<4506 专网的）。

BAS 上针 对PPPOE 上网采集，如图3 所示。

项目创新方案亮点

1.实现了终端无线WiFi环境PPPOE 拨号。

2.巧妙实现双网同终端环境下的严格逻辑隔离，及单链路问题。

3.实现了专网终端IP的严格固定，避免乱用混用。

4.突破了PPPOE 报文无法截流重定向限制难题。

5.针对复杂网络环境下无线路由设备桥接方式解决了PPPOE 报文和IP 报文的传输难题。

项目拓展

根据再次实际测试，在目前的FTTH PON 网络环境下该成果同样适用，实际中将光猫改为桥接，同时绑定无线SSID 到 桥WAN 口，PC 设置专网地址，在MPLS PE 上进行VSI（MPLS VPLS VPN）汇总收敛，同时使用相关创新隔离及安全机制，而后报文到达客户机房三层设备进行基于MAC 定义VLAN，再在其上进行SUPPERVLAN，实现专网终结和路由，互联网PPPOE 同VLAN 透传到BAS进行终结解决。该方案同样可以仅仅用于专网环境，彻底解决了所有已经出现的局域网问题，同时因为局域网接入交换机的不再使用，将彻底解决单位的内网建设和维护难题，是一套切实可行的局域网问题终极创新解决革新方案，节约了客户单位很多成本，网络也更加稳定，二层问题不会再出现！