懒得起名字了,这个合集记录了如何摘掉光猫,如何自行做网络和电话认证接入,如何构建多点互联网络的过程,先把大致流程列出来,权当文章大纲了(文章没有涉及到IPTV业务,这个网上教程太多了,我既没开IPTV业务,也没这需求,就不写这部分了):
- 准备工作:
- 常见宽带、电话接入方式
- PON Stick模块介绍
- 开启光猫远程,获取超级密码,导出旧光猫核心设置
- 新设备安装
- 配置:
- 宽带入网注册
- 电话入网注册
- 多点组网
- 拓扑
- ipsec点到多点
- 客户端反向路由
常见宽带、电话接入方式
在电话线年代,上网都是一根电话线同时承载电话业务(如果有)和宽带业务(如果有),通过语音分离器把两个信号分开,电话直接走模拟信号,网络经过调制解调设备,在终端转为数字,传输的时候转为模拟。
这个时期没有wifi和Pad,上网设备只有一台电脑,完全谈不上“结构”,一根网线直接插到电脑,打开拨号软件就能上网。
设备一多就需要用到另一个设备——路由器:拨号工作交给路由器,多台设备各自接到LAN口,组成了一个最简单的局域网,甚至设备再多一点,路由器自带的LAN接口不够的时候,还需要根据设备数量增加一台或多台交换机(多见于企业网络)。等到移动设备上网开始流行,路由器跟着加入了WIFI接入能力。
* 家用路由器其实包含了两个功能:路由、交换。WAN/LAN转换是路由的功能,LAN口以及wifi之间则是一个交换机,负责局域网内部通信。高级点的路由器可以同时建立多个互相隔离的wifi信号,也可以对LAN口之间进行隔离,本质上还是交换机,只不过带了家用环境比较少见的基础网管功能。
与此同时,网络服务商的光猫也跟着在升级,变成了光猫、WIFI、路由器、多LAN口、电话一体的综合设备。但是性能、稳定性、功能丰富程度、便利程度都一言难尽,和达闻西的要你命3000属于同一档产品。
上网设备少、功能要求也不高的用户可以直接用一台光猫来做家庭网关处理所有事情,但是对性能、功能有要求的时候,用户就只能自备满足需求的路由器了。
再继续发展,就到了电话线退出舞台,光纤入户的当下,猫还是猫,不过从原来的调制解调器变成了一个光终端设备,名字沿用老设备,叫光猫,承载固话、宽带、IPTV业务,性能还是一样勉强,碰到开了千兆宽带的土豪,连千兆都跑不满。要跑满也不是不行,得加钱。固话业务和之前不同的是,如果家里断电了,电话机也会跟着没电,旧的结构里因为入户的是电话线,本身就带电,所以不会因为断电导致电话不能用。
一旦在网络中引入路由器,拨号的事情也可以交给路由器来做,此时只需将光猫改为桥接模式即可(路由器拨号并非必需,但是会少掉一层NAT,网络结构更优。同时,如果运营商有对应的服务,用户还可以要求将线路改为公网接入,此时用户的网络就直接接入了互联网,能够从外部进行访问)。
改为桥接后,光猫只会进行设备认证,除此之外,它就相当于一根网线,直接连接运营商网络和路由器。不同运营商对这件事态度各不相同,某些地区的运营商不仅不会配合,反而会故意设置障碍(主要是电信,不肯改桥接,不肯给密码,新装机不肯改公网)。
* 关于路由器:本文所列方案中提及的路由器均为软路由,即在一台PC设备上安装路由/防火墙系统,充当路由器使用。
* 关于软路由环境里的交换机:当使用网线的设备很少时,可以用多口PCI-E网卡来接入设备,但是这只能作为一个虽然可行,但并非最合适的方案。如果条件允许,建议使用物理交换机,将局域网的流量压力交给专业设备去处理,是一个更明智的选择。
PON Stick模块介绍
Pon Stick,也叫“猫棒”,是一种微型SPF ONU设备,长得和普通光模块一样,可以插入光口,在高端DIY玩家的加持下,各种适配的固件使猫棒替代光猫成为可能。本次改造的核心就是将猫摘掉,将认证过程交给猫棒,用模块替代设备。
于是上面的拓扑就演变成了,摘掉光猫,由一个模块以替代(插入交换机或者路由器的光口,成为这个设备的一部分)。下面是我在家(方案一)、在出租屋(方案二)搭建的两套方案。两个方案的共同点:
- 入户的光纤上跑的是多个vlan的数据,本质上是一条trunk链路,真正使用的时候需要将不同的vlan数据剥开(方案一使用路由器进行操作、方案二使用交换机进行操作);
- 固话vlan跑的实际上是VOIP业务,和路由器完全无关,IP电话直接关联到分离出来的SIP VLAN上即可。如果在公司环境使用这个结构,并且装了多部电话,则可以将每台话机直连语音VLAN自行注册,也可以在拓扑里加装一台语音网关(硬件方案、软件方案均可)进行拓展。
方案介绍 :
方案一只需要使用不带管理的普通交换机即可,因为所有业务都已经由软路由拆分完毕。软路由需要有两个网口(一个作为LAN口接交换机提供上网服务,另一个划到语音VLAN,接IP电话)和一个光口(我用了一张光口的PCI-E x1网卡,插入猫棒作为WAN口)。
方案二因为软路由不带光口,所以采用了支持VLAN、带光口的交换机,将猫棒插在交换机上使用。软路由接交换机有两个选择:
- 用一根网线连接,走trunk,做单臂路由;
- 两根网线连接(要求软路由有2网口),一条接到交换机的WAN vlan(也就是光猫剥出来的互联网vlan),一条作为LAN口,接到交换机的LAN网络。
使用的设备
猫棒的选择
根据接入网络的类型划分,一般可以分为GPON和EPON,相应的,使用的光猫也有GPON和EPON之分(可以在光猫背后的标签中找到设备类型)。与之对应,猫棒也需要区分支持GPON、支持EPON、支持双栈,在选择的时候需要根据自己的情况来选择对应产品。
关于价位:GPON猫棒价位在100左右,EPON/GPON双栈猫棒价格在200左右。
备份旧光猫配置
光猫在向运营商证明自己身份的时候需要使用一套预定义的信息。不同运营商,或者同一个运营商在不同地区,要求的认证信息不尽相同。最核心的是一个被称为LOID的逻辑识别码,除此之外还有可能校验MAC地址、光猫的序列号、LOID密码等信息。这也就是随便找个光猫替换掉家里的光猫无法上网的原因。反之,如果知道运营商在认证的时候使用哪几类信息,以及该信息的内容,即可完成认证过程。如果有一个动物长得像鸭子(面貌特征识别通过),叫声像鸭子(声纹认证通过),走路像鸭子(步态识别通过),那它就是一只鸭子。现在就到了最关键的一步,拿认证信息(具体要求哪些认证信息可以到网上搜,看同地区相同运营商的网友是否有提供,或者干脆自己一条一条试,试到成功为止,因为认证信息并不多,所以很容易可以试出来)。
一般情况下,我们只能在光猫的背后标签里找到运营商提供的普通权限账号(比如useradmin之类的名字),只有很少的权限,比如设置宽带账号、无线密码、局域网地址、DHCP、无线开关等功能。要查看认证信息需要以超级管理员账号(比如电信的telecomadmin)登录才行,不幸的是,这个账号的密码运营商通常拒绝提供,防用户比防贼还严(说的就是电信,在这里必须实名给联通点赞,超管用户直接就是CUAdmin,甚至密码也是这个)。
随便一搜,就可以看到很多光猫破解的方法,不同型号方法也不一样,同一型号不同版本也可能不一样(新版本会针对旧版本已知的破解手段进行封堵)。一般是通过telnet、ssh、预留的网页开关等途径来绕过登录验证,直接查看密码或者下载包含了超级管理员密码的配置文件。
我用的电信光猫型号是友华PT924G,网上很多流传的方法都失效了,最后找到一个特殊网页可以打开telnet服务,再利用telnet账号下载配置文件,从配置文件里提取到了超级管理员密码。
同样的型号可以参考以下流程(不是100%管用):
- 电脑直接连接到光猫的LAN口,修改IP为 192.168.1.2,子网掩码 255.255.255.0,网关不需要设置,访问 http://192.168.1.1,如果打不开页面就换一个LAN口;
- 浏览器输入 http://192.168.1.1:8080/cgi-bin/abcdidfope94e0934jiewru8ew414.cgi ,看到网页提示success,即表示已经打开telnet服务;
- 找到光猫背后的MAC地址,取最后6位并小写(比如是 a25bc9),telnet 连接192.168.1.1,用户名是admin,密码是TeleCom_a25bc9;
- cat /var/config/lastgood.xml,这个就是光猫的配置文件,包含了光猫超级管理员密码;也可以插个U盘,然后ls /mnt查看一下u盘的挂载目录是什么(比如是usb1_2),用cp /var/config/lastgood.xml /mnt/usb1_2 命令直接就拷到U盘了。
新设备安装
硬件安装,连线之类的操作没什么特别值得说的,都在拓扑图和原理图里了。关于方案细节可以再啰嗦一下。想到哪说到哪,可能会有点乱。
- 这么一套下来,回头再看看,好像这就是把光猫的事又重新做了一遍。硬要说好处,那就是稳定、功能丰富,性能强。因为充当路由器的是一台真正的PC,所以只要配置够,干什么都行(真正意义的All in one: one boom, all boom)。
- POE是前文没有提到的一个需求,可能会有,比如给ip电话供电,给AP供电,这时候就需要选择带POE功能的交换机,而且一定要注意设备的POE协议和交换机的POE协议是否匹配,交换机是否能满足所有设备的供电功率要求,并且在这个场景里,强烈建议一步到位,选用带VLAN管理,带POE功能的交换机,分工更明确,摆脱了电源的需求后布线更灵活更清晰,并且成本并不会显著增加。
- 一般家庭宽带的光纤是SC的UPC接头(蓝色方头),华为MA5671A这款猫棒只兼容SC的APC接头(绿色的方头),所以前面发的猫棒截图里带了一根跳线,一头APC(接猫棒),一头UPC(用SC-SC法兰和入户光纤对接)。这是除了GPON/EPON类型之外,需要提前做的另一个功课。
不知不觉写了一大堆,剩下内容留到下一篇再写,先放点图(家里没有IP话机,直接用电脑上的IP电话软件做测试)。
