迁移指南 从传统线路到云平台的台湾adsl拨号服务器平滑迁移方案

1.

迁移前准备与评估

（小节）在开始迁移前必须完整盘点当前系统与需求。（1）列出当前ADSL拨号架构：接入设备型号（DSLAM/ADSL modem）、集中器（BRAS/PPPoE concentrator）、认证方式（PAP/CHAP/RADIUS）、IP地址分配策略、静态映射与宽带计费记录。（2）收集用户数量、并发上限、带宽使用峰值与流量计费规则。（3）备份所有配置与数据库，包括用户表、radius 字段、pppoe 配置文件、iptables/NAT规则、监控告警策略。

2.

选择云平台与网络设计

（小节）选择支持原始报文传输或提供隧道功能的云厂商，并确认以下能力。（1）是否允许GRE、IPsec、L2TP 协议以及协议47/50/51/88等；若不允许原生PPPoE需采用隧道中继方案。（2）规划VPC子网、公网弹性IP、路由表与NAT网关。（3）确定实例规格（CPU/内存/网卡性能）以满足并发ppp会话与加密开销。

3.

认证与计费系统迁移（FreeRADIUS 为例）

（小节）将现有认证数据库迁移到云端并验证一致性。（1）在云端部署MySQL/MariaDB并导入用户表，校验用户名、密码、服务属性（Framed-IP-Address、Service-Type）。（2）安装并配置FreeRADIUS：确保clients.conf声明接入网元的IP，sql模块启用并测试 radtest。命令示例：apt install freeradius freeradius-mysql；mysql -u root -p radius < dump.sql。（3）迁移计费与记账（radacct）表与日志，确认磁盘IO与备份策略。

4.

PPPoE/PPP在云端的可行性与替代策略

（小节）云上直接运行PPPoE服务器存在限制，常见解决方案： （1）如果云环境支持二层转发与原始以太帧，可在云端直接运行rp-pppoe/pppd作为BRAS。（2）更多情况下采用隧道：在接入侧建立IPsec/L2TP或GRE隧道，将PPPoE或PPP会话封装到隧道后送到云端BRAS/认证服务器。（3）另一方案是将CPE（家中设备）配置为本地验证并上报，或使用L2TP/IPsec替代PPPoE并在用户端固件更新或统一配置。

5.

在云端搭建BRAS/拨号集中器

（小节）示例以Linux + rp-pppoe + pppd + freeradius： （1）创建实例并启用IP转发：sysctl -w net.ipv4.ip_forward=1，并加入/etc/sysctl.conf持久化。（2）安装rp-pppoe：apt install pppoe-server ppp；配置/etc/ppp/chap-secrets与/var/run/pppoe-server-options，配置pppoe-server的服务接口（通常是承载GRE或L2TP的本地虚拟接口）。 （3）配置iptables做IP伪装/路由：iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE。

6.

在边缘侧（DSLAM/BRAS）与云端建立隧道

（小节）常用方法为GRE或IPsec+GRE、L2TP/IPsec： （1）在本地BRAS或边缘路由器上配置GRE隧道，隧道对端为云端路由器公网IP，确保ISP允许协议47。 （2）如果需加密，优先选IPsec套L2TP或IPsec+GRE。（3）测试隧道连通性：ping、traceroute，以及在隧道上抓包确认PPPoE/PPP帧被封装传输。

7.

切换测试流程（分阶段小批量）

（小节）采用灰度迁移，避免一次性全部切换： （1）先选一批低影响用户，修改其CPE或接入侧策略，使隧道流量走向云端BRAS并使用云端认证。 （2）观察认证成功率、IP分配、计费准确性与带宽性能，持续24-72小时。 （3）逐步扩展批次并每次做回退演练，记录每一步所需时间与风险点。

8.

回退与故障应对计划

（小节）确保可在短时间内回退到原架构： （1）保留原BRAS/DSLAM配置与公网路由，切换前备份配置并标注时间点。 （2）制定回退脚本（路由恢复、DNS/路由表还原、用户表切换）。 （3）定义失败判据（如认证失败率>1%、流量异常、计费数据不一致），并列出责任人清单与联络方式。

9.

监控、日志与性能调优

（小节）迁移后需要完善监控链路： （1）部署radacct收集、ELK/Prometheus+Grafana监控会话数量、认证延迟、失败率与CPU/网卡性能。 （2）开启pppd的调试日志并定期轮询日志文件大小，设置合理的日志切割与远程备份。 （3）根据并发会话调优内核参数（如net.core.somaxconn、ppp内核参数）与数据库连接池大小。

10.

迁移自动化与脚本建议

（小节）用工具减小人为错误： （1）使用Ansible或Terraform管理云资源与实例镜像配置，示例：Ansible playbook 安装 freeradius、pppoe-server、iptables。 （2）用脚本自动化用户导入/同步并设置校验（先在测试库跑完整性检查）。 （3）保留可重复的部署流程与版本控制（Git），确保回退与复制环境时可复现。

11.

问：云端能否直接运行传统PPPoE拨号服务器？

答：这取决于云厂商的网络层能力。若云服务允许二层以太帧或协议47/GRE，且放通PPP/PPPoE相关协议，则可直接部署；但多数公有云对二层协议有限制，实际做法是将PPP会话通过GRE或IPsec隧道从边缘转发到云端BRAS，或改用L2TP/IPsec等更适合穿越三层网络的隧道方案。

12.

问：迁移过程中如何保证计费与认证无数据丢失？

答：确保先同步数据库并启用双写机制（写入本地与云端副本），在灰度阶段对比radacct数据一致性；采用时间窗口式切换，切换前后对比会话ID、开始/结束时间、流量字段，若发现差异立即回退并分析同步脚本与时钟（NTP）设置。

13.

问：一次性切换与分批迁移哪个更稳妥？

答：分批灰度迁移更稳妥。分批能在小规模中暴露问题、降低故障影响、便于回退与优化。制定好切换节奏、自动化脚本、监控阈值与应急回退方案后，逐步扩大用户范围，直至全部迁移完成。

来源：迁移指南 从传统线路到云平台的台湾adsl拨号服务器平滑迁移方案