山东网通城域网PPPOE用户帐号－VLAN╱PVC绑定技术指导意见.doc

城域网PPPOE用户帐号－VLAN/PVC绑定技术指导意见 为解决部分PPPOE用户盗接、盗用他人帐号，特别是宽带精灵用户盗用包月用户帐号的问题，省公司要求各市分公司对城域网用户实施PPPOE帐号绑定工作，由于设备原因，尚不能对帐号和VLAN号进行一对一绑定，特制定本指导意见，各分公司要参照本指导意见，根据各自的具体情况制定本地的实施方案分阶段 进行实施。 各分公司城域网PPPOE用户接入情况 ADSL接入 atm上行的DSLAM一般采用级联方式接入宽带接入服务器或者通过atm网络接入到宽带接入服务器，如下图： ip上行的DSLAM一般上联至接入层的三层交换机，然后接入到宽带接入服务器。 LAN接入 以太网拨号用户一般接入到楼宇的二层交换机（多数不支持vlan划分），汇聚到小区交换机（一般也是二层交换机），然后上行接入到接入层3层交换机（支持vlan划分）,再接入到宽带接入服务器，最多时经过5级级联到达BRAS设备。 存在的问题 一号多用的问题：盗用账号、私接、盗接，计时用户使用包月用户账号。 由于各市大多数楼宇交换机和小区层交换机不支持VLAN划分，使得整个楼宇甚至整个小区的所有用户共享一个VLAN，导致一个VLAN里的用户数过大，达200－400个，即使对用户进行了唯一性限制及帐号和VLAN的绑定，但在同一VLAN下的用户仍可以互用帐号错时上网，造成计费流失，也不利于用户的管理。 城域网二期改造的方案中对vlan的使用规划 在城域网二期改造的项目中，已对vlan的使用进行了规划，见下表： 编号 VLAN范围 用途 是否可以复用 1 1 保留 － 2 2～100 本地接入 可复用 3 100～199 核心层之间、核心层与汇聚层之间、接入层与核心汇聚层之间互联 可复用 4 200～299 保留 － 5 300～399 各种网管（城域网、接入层、IP DSLAM网管） 可复用 6 400～499 BRAS上联 可复用 7 500～999 保留 － 8 1000～1499 专线用户 可复用 9 1500～1999 保留，专线用户备用 － 10 2000～2499 LAN To LAN互联 不可复用 11 2500～2999 保留，PPPoE用户备用 可复用 12 3000～3999 PPPoE用户 可复用 13 4000～4094 保留，测试以及机动使用 － 在规划中，vlan-id 3000到3999一共1000个vlan（vlan2500～2999拨号用户备用）是用于拨号用户上网使用的。如果按照每个vlan 100个拨号用户计算，每个接入服务器有100000个用户使用，远远超过接入服务器设计的8000和4000并发拨号用户使用的容量。从这个方面来说，现在的vlan的数量是可以满足目前接入服务器上拨号用户的使用。 现行的对宽带用户的限制方法 帐号唯一性限制 在认证服务器上作loginmanager限制用户账号的唯一性，启用loginmanager对用户帐号进行唯一性限制，虽可以大幅度减少一号多用的情况，但是对错时上网的用户仍然无法限制。 帐号－VLAN/PVC绑定 ATM上行DLSAM的ADSL拨号用户：ATM上行DLSAM的ADSL拨号用户可以将账号和pvc进行绑定，由于用户的PVC号是唯一的，所以这种绑定是一对一的，可以有效防止用户私接、盗接和盗用。目前我省认证系统和宽带接入服务器配合已经可以支持PVC和用户账号绑定。 IP上行DSLAM的ADSL拨号用户：对于IP上行DSLAM的ADSL拨号用户将用户账号与DSLAM上行端口的vlan进行绑定，虽然DSLAM上行端口支持VLAN划分，但VLAN要穿过接入层和汇聚层交换机才能到达BRAS，同一接入层交换机下挂多个DSLAM，不能保证用户VLAN的唯一性，仍需多个用户共享一个VLAN，所以这种绑定能降低一号多用的概率，不能完全防止。 LAN以太网的拨号用户：将用户账号与接入层交换机的vlan-id进行绑定，由于小区层交换机不支持LVAN划分，使得用户在达到BRAS之前可用VLAN资源更少，更多的用户共享一个VLAN,所以这种绑定也只是降低一号多用的概率。 对下一步工作的意见 目前，用户的盗接、盗号主要来自于IP上行的DLSAM接入和LAN接入两种方式，各分公司可根据实际情况采取以下几种方式以防止或减少盗接、盗号的发生 各分公司尽快启用login manager功能对所有的用户账号进行唯一性限制。 对用户使用ATM上行的DLSAM接入的，将用户帐号和pvc进行绑定，启用login manager后，可以防止用户盗接和私接现象。 对IP上行DSLAM可以将DSLAM上行端口的VLAN和用户账号绑定，同时减少每个上行VLAN里的用户数量，对不