让用户自由选择网络出口

引言： 某校与电信、联通、移动三家运营商合作，以市场化运营方式实现校方和运营商的双赢，同时为解决长期以来各个宿舍区域学生只能选择某一个运营商网络的困境，在不新增加线路的情况下，利用原有各个运营商的线路，根据业务需求，采用某公司运营商SAM方案来实现校园SAM与运营商Radius系统对接，实现学校与运营商共同运营校园网。

方案概述

1.目标

基于三家运营商（电信、联通、移动）共同运营校园网的业务需求，以及学校对整个校园网进行统一运营、管理的需求，需要实现运营商账号的开通、认证、计费都在运营商的业务系统上完成，然后在校园SAM系统上完成运营商账号与校园网账号的绑定，既运营商宽带账号统一管理，防止私开宽带账号和带宽不一致的问题。为达到上述目标，将学校的SAM认证计费管理系统和运营商Radius系统进行对接。

2.相关协议

如图1所示，校园网SAM和运营商SAM之间使用radius-proxy进行交互，运营商SAM和运营商Radius之间也使用radius-proxy进行交互。

图1 协议交互图

Radius-proxy报文，本质上还是Radius报文，但有一定区别。

详细设计及实现

1.总体需求

总体需求如下：运营商保留经营权，自主掌控开户、计费、收费、销户等运营关键环节，保障运营收入。学校要求校园网实现统一平台，即全校“统一账号、统一运营、统一管理”。学校要求校园网可自主管控，配合规范教学秩序，针对时间段、接入区域、用户身份类型等方面信息对用户进行精细化管理。

表1 拟用设备

2.拓扑结构

网络出口拓扑图如图2。拓扑说明：

（1）核心N18014上配置3条默认路由指向3台RSR7716-X路由器，实现路由负载均衡。

（2）3台 RSR7716-X设备都配置默认路由指向办公网出口NPE60E设备，每台RSR7716-X设备都为3家运营商链路配置用户路由（基于源IP的动态策略路由）。

（3）办公网用户数据和服务器数据将从NPE60E设备到达外网。

图1 网络出口拓扑图

（4）运营商用户在RSR7716-X上匹配用户路由，使用户数据从对应的运营商链路到外网。

系统对接拓扑图如图3。

在运营商侧或学校侧部署运营商版SAM，分别与运营商Radius、校园网SAM进行对接，实现学生开户的运营商账号与校园网账号关联统一，为学校保留校园网运营管理权力；实现学校只认证校园网账号，关联运营商账号的登录均转发至运营商Radius进行认证计费和套餐策略下发，保障运营商自有的运营模式不受冲击。

校园网出口部署RSR7716-X路由器与校园SAM联动，实现同一LAN或同一SSID下多运营商账号登录后出口流量的正确选路(电信账号走电信出口，联通账号走联通出口，移动账号走移动出口，校园网账号走办公网出口)。同时，实现基于用户的限速与基于用户的流量记录，运营商可开通一系列固定带宽套餐，并为流量套餐采集流量数据。

图3 系统对接拓扑图

网络方案设计及实现

1.运营商SAM部署方式

本例中3套运营商SAM系统都部署在学校网络中心机房，分别将运营商SAM服务器私网IP地址映射成对应运营商的出口链路公网IP地址，运营商SAM系统与运营Radius系统之间交互的radius-proxy报文通过公网链路进行传输。

接着，在校园SAM系统配置Radius上传属性定制规则――认证和记账报文上传NAS设备公网IP地址（即运营商SAM服务器映射的公网IP地址）。

2.运营商SAM系统与运营商Radius系统对接实现

（1）运营商Radius系统将运营商SAM系统当作一台BRAS设备添加，运营商Radius系统接收并处理运营商SAM系统发送的Radius Proxy报文即可。

（2）在校园网SAM上添加运营商SAM和运营商Radius的对接参数，及在运营商SAM上添加校园网SAM和运营商radius-server信息。

3.路由选路实现

校园SAM系统与出口RSR7716-X路由器联动，校园SAM将用户上线信息（含运营商属性）同步给RSR7716-X设备，不同运营商的用户在RSR7716-X设备上归属于不同的user-group。RSR7716-X设备上user-group可以被ACL调用，ACL再关联策略路由，实现用户访问外网的数据流转发至相应的运营商链路，即基于用户运营商属性进行选路。

4.运营商系统下传用户带宽属性设计

运营商Radius系统将运营商SAM系统当作一台BRAS设备，用户认证成功后，运营商Radius系统将用户带宽值填充在Radius报文的厂商自定义属性段中。校园SAM系统提取该属性值转换为RSR7716-X路由器出口联动策略名（user-group），针对不同运营商、不同的带宽值配置相应的user-group；RSR7716-X设备上usergroup可以被ACL调用，ACL再被限速策略调用，从而实现运营商Radius系统下传带宽属性的对接需求。

图4 运行效果图

5.DNS域名解析实现

本例中全网用户IP地址采用DHCP方式获取，DHCP下发的DNS服务器首选地址为114.114.114.144、备选服务器地址为8.8.8.8。然而，全网分布着电信、移动、联通三家运营商的用户，如果用户采用获取的DNS服务器地址进行公网域名解析，必然会出现部分域名无法解析，或者跨运营商访问的情况。如果用户采用获取的DNS服务器地址进行校内域名解释，必然会出现部分域名无法解析，或者解析为公网IP的情况（最佳解析结果应该为校内私网IP）。为解决该问题，在出口RSR7716-X设备上启用DNS正向代理和DNS重定向功能。

DNS正向代理原理

1.RSR7716-X设备截取用户解析公网域名的DNS请求报文，修改该报文中的目的DNS服务器IP地址为对应出口运营商线路上配置的正确的DNS地址，并把报文从该出口转发。

2.相应的DNS服务器对请求作出响应后，RSR7716-X会把相应的响应报文源IP替换为用户的目标DNS服务器IP，然后转发给内网PC，从而保障不同运营用户解析公网域名时采用的本运营商的DNS服务器的解析结果。

DNS重定向原理

1.RSR7716-X设备截取用户解析校内域名的DNS请求报文，修改该报文中的目的DNS服务器IP地址为校内DNS服务器IP地址，源IP替换为RSR7716-X设备内网口IP，然把修改后的报文从内网口转发给内DNS服务器。

2.内网的DNS服务器对请求作出响应后，RSR7716-X会把相应的响应报文源IP替换为用户的目标DNS服务器IP，然后转发给内网PC，从而保障校内域名解析为校内私网IP。

运行效果

系统开通运行后，多个用户可在同一个寝室同一条线路上选择不同运营商网络，体验良好，平均在线用户达到2万余人。