目前,电信运营商发展宽带接入业务主要采用的是PPPoE接入控制,Radius认证的方式管理用户。这种方式采用动态分配IP地址,对每用户带宽进行控制,很好地支持了宽带业务的发展。由于宽带应用业务呈现多样化的发展趋势,特别是三网融合试点工作的启动,IPTV等流媒体业务和智能设备接入应用业务不同于一般的网页内容推送宽带业务,PPPoE接入方式已不能满足发展要求。IPoE接入控制方式不需要安装客户端程序,不需要输入用户名和密码,属于零配置部署,非常适合新型的网络终端设备,如IPTV机顶盒,WLAN,手持IP终端,视频监控,VoIP等零配置需求的终端。在三网融合的大背景下,IPoE方式提供规模发展IPTV业务的接入控制解决方案尤其有深远意义。目前,主流的接入认证控制技术主要包括PPPoE和IPoE。
PPPoE(PolntoPoilltProtocaloverEtherne)指在以太网上承载PPP协议,利用以太网将大量的主机组成网络,接入因特网,并对接入的每一个主机实现控制。PPPoE是在以太网上对PPP的封装,提供了在以太网广播链路上进行点对点通信的能力。PPP协议通过3个协议协商阶段:链路控制协议LCP,认证协议(PAP,CHAP),网络控制协议NCP,解决了链路建立、维护、拆除、上层协议协商、认证等问题。拨号后,用户计算机和局端接入服务器(BRAS)在LCP阶段协商底层链路参数;在认证阶段将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RadiSS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数(如IP地址等)。经过PPP的3个协商阶段成功后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。PPP协议具备的身份验证功能很好地解决了以太网上的用户安全管理问题。
PPPoE认证因其标准性、互通性好的特点而被广泛应用,商用成熟;PPPoE认证拨号软件与主流的PC *** 作系统可以良好地兼容,或已经内置于 *** 作系统中;PPPoE通过惟一的Session-ID可以很好地保障用户的安全性,被广泛应用于宽带接入认证。
PPPoE的认证机制相对复杂,对设备处理性能。内存资源要求较高,而且用户需要一个认证的等待过程。因PPPoE终结于BRAS,BRAS与主机之问通过PPP建立起来的大量点到点的连接,所经过的交换机不能识别PPPoE报文格式,只能迸行转发,无法迸行针对VLAN等信息的组播复制,使组播复制点只能选择在BRAS设备上。BRAS设备暴露出的局限性无法满足宽带多媒体业务迅速发展的需求。
IPoE利用DHCPOPTION信息实现了业务终端的零配置部署。IPoE既能通过元须用户名和密码的方式即可实现认证和自动配置,也可以通过DHCP+Web方式实现基于用户名和密码的认证。
DHCP是指动态主机配置协议,通过DHCP客户端,利用自动发现机制尝试与DHCP服务器建立通信。DHCP提供IP配置参数,对用户端的IP层进行配置。DHCP协议没有认证的功能,但可以配合其他技术实现认证,比如DHCP+Web方式,DHCP+客户端方式和利用DHCP+OPTION扩展宇段进行认证。这些方式都统称为DHCP+认证。现讨论的主要是DHCP+OPTION扩展字段进行认证,又称为IPoE认证方式。用作DHCP扩展的OPTION字段主要为OPTION60(RFC2132)和OPTION82(RFC3046)。其中,OPTION60中带有Vendor和Service Option信息,是用户终端发起DHCP请求时携带的信息,网络设备只需透传即可。其作用是用来识别用户终端类型,进而识别用户业务类型,DHCP服务器可以据此分配不同的业务IP地址。OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,实现用户和线路的精确绑定,保证了DHCP接入的安全性和真实性,DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay设备进行插入。
作为IPoE客户端的用户终端设备,产生DHCP消息,中间设备插入各种DHCP Option进行用户绑定,业务绑定等。BRAS或SR等宽带网络网关控制设备(Broadband Network Gatewny)负责DHCP消息到Radius认证消息的翻译。与Radius进行认证、授权、计费功能。认证通过后,下放Radius返回的每用户QoS,访问控制的列表等功能,同时对通过设备的流量/时长进行计费。Radius等IPoE业务控制系统,能够动态调整每用户的带宽和QoS属性,提供基于预付费、流量、时长等多种计费手段。对用户管理控制,并提供差异化的服务。
·基于用户物理位置(VLANyVCID标示)的认证和计费,连接网络时不需输入用户名和密码,对于永远在线的应用和不愿意输入用户名和密码的用户非常适合。
·DHCP+(option60/Option82)对DHCP协议进行了扩展,增加了安全(防DoS攻击及地址仿冒)、监控、用户识别等特性。与Radius相结合提供计费功能,便于运营。
·组播部署灵活,可高效实现组播复制,井把组播复制点下移至小区交换机、DSLAM等网络末梢。减轻网络压力,节约接入网的带宽。
门IPoE认证的安全措施
IPoE认证没有像PPPoE认证那样在网络层面提供惟一的点到点的通信机制,运营商在部署IPoE认证时,要重点关注安全问题。网络各层面的设备通过协同工作,增强网络的安全性。具体的安全保障措施如下:
·防地址欺骗
DHCP属于数据和认证分离的控制方式,安全性不及PPPoE,为防止用户静态配置IP地址,或者网络盗用,可以在接入设备或者业务路由器上部署MAC+IP绑定功能。启用DHCP Snooping或DHCP Relay的节点,在侦听到DHCP Offer消息时,生成IP和MAC的绑定关系,只有源MAC和IP匹配的IPoE帧才可以通过,否则丢弃。这样只有经过DHCP认证的用户才可以得到网络服务,未经认证,或者静态配置IP地址的终端不能得到服务。还可以基于OPTION82信息对用户的线路号进行识别认证来保证安全性。
·用户终端数限制通过系统将每个业务接入点连接的用户终端数量进行限制。
·防DOS攻击
在Radius中将用户的MAC地址和线路号绑定。在Radius数据库中查询到MAC地址和线路号,DHCP的请求方可经Radius服务器认证通过后被送到DHCP Server,才能获得IP地址。这种方式降低了通过发送大量的DHCP请求,模拟不同MAC地址的请求,攻击DHCP Server的风险。
在用户通过认证获得IP地址之前,设定DHCP数据包能够通过的数量限制,降低Radius Server的压力。如对来自同一个DSLAM线路号的Radius请求数量作控制,比如1s内,最多允许1个请求,如连续出现多个请求,则认为发生攻击,直接丢弃Radius数据包。依靠这种机制解决大量的DHCP请求发送到Radius服务器的风险。
·其它安全措施
禁止用户端口间直接转发的端口隔离;通过VLAN隔离方式进行业务隔离。
2.3 PPPoE和IPoE对比分析
引入IPoE系统之后,IPoE可以完成原有PPPoE系统的所有功能,同时还能提供如下优势:
(1)终端支持
所有支持IP协议的设备都支持,不需要安装第三方拨号软件,可以广泛支持各种手持设备、移动设备、视频设备等。
(2)报文开销
由于PPPoE报文引入了PPPoE头(6Bytes)和PPP头(2Bytes),所以在所有用户流量里面增加了8个字节的协议开销,对于高带宽的应用(8M的高清电视等),处理能力不高的终端设备压力很大。
(3)组播复制
由于PPPoE报文是在BRAS设备和用户之间建立点对点连接,中间的交换机层次不能很好地理解PPPoE报文格式,只能进行转发,无法进行针对VLAN等信息的有效组播复制。所以采用PPPoE迸行组播业务的开展,组播复制点只能是BRAS设备,而采用IPoE,可以把组播复制点下移到DSLAM,一方面减少了BRAS设备的压力,另一方面也极大地节约了网络接入层带宽。
(4)用户冗余
IPoE方式可以对接入的用户数量进行控制,如采用Portal方式,其增值业务能力较强。
根据上述讨论,在终端支持、封装开销和组播支持认证效率等方面,IPoE认证具有较明显的优势。缺点是对用户的控制力度不足,在用户认证/策略控制/地址分配/会话监控等方面有待完善。
3 业务按入控制技术实现
3.1单边缘与多边缘接入控制分析
由于IPoE在IPTV等新型业务承载方面具有的明显优势,可能成为未来的主要认证方式。而PPPoE作为目前宽带业务的主要认证方式也将长期存在。根据不同的业务类型,灵活选择IPoE和PPPoE认证方式,可用同一套Ra山us系统支持两种认证方式。通过部署多边缘接入架构,实现对每用户/每业务的精细化控制和QOS保证,是业务融合的方向。
(1)单边缘接入控制
如图1所示,单边缘业务接入模式是指用户的宽带上网业务和IPTV业务共用相同的接入控制点BRAS。PC使用PPPoE方式接入BRAS,TV既可采用PPPoE方式,也可使用DHCP/专线的方式接入BRAS。当使用PPPoE方式时,可以利用不同的域名或不同的VP/LVACN来区分接入是来自机顶盒,还是来自PC;当采用DHCP方式时,可以利用机顶盒的MAC地址和DHCP Option60,或DHCP Option82控制对机顶盒分配地址。宽带网承载的NGN语音业务,可以采用BRAS兼作PE构建MPLSVPN。
图1 单边缘接入方式
(2)多边缘接入控制
如图2所示,多(双)边缘接入模式是指宽带上网业务和IPTV业务分别由专用的业务接入控制点提供。宽带上网业务仍由原有的BRAS作为业务控制点;IPTV业务则使用SR作为控制点,STB采用DHCP/专线接入方式;NGN语音业务使用另外的SR作为控制点,或者与IPTV业务共用SR。不同的业务一般由汇聚交换机根据VLANID分离后,进入相应的业务控制设备。
图2 多边缘接入方式
(3)业务接入控制方案
如采用单边缘接入,随着IPTV用户数量的增加将会加重BRAS负荷,造成端口的带宽紧张。BRAS如再兼作PE,设备可能将不堪重负。在理论上,上网业务,IPTV业务,NGN语音业务可以共用BRAS接入,但实际应用时需考虑设备的承载能力,考虑设备的设计定位。
如采用多(双)边缘接入控制方式,需从终端起,在二层接入网络中为每个用户的每种业务部署不同的二层虚通道PV(/LVAC),将增加二层网络的复杂性。为减轻复杂性,可采用单通道接入,再利用汇聚交换机具备的业务感知能力分离不同的业务。这种方式使不同的业务接入控制点之问,难以进行不同业务间的流量控制和协调。
在建网初期,可以将BRAS作为IPTV业务的接入网关,但随着用户数的增长,BRAS承载压力加大。所以可以单设SR作为IPTV业务业务接入控制点(见表1)。
表1 接入控制方式的选择
如果城域网的POP点用户规模偏大,建议采用双边缘/多边缘方式,部分业务量偏少,业务发展潜力不大的县级POP点采用单边缘方式。在同一城域网内尽可能地使用一种方案。如IPTV业务由BRAS作为业务控制点,则通常采用PPPoE的方式提供,Radius认证。如果由SR作为业务控制点,通常采用IPoE方式提供,DHCP认证。
3.2宽带网络业务网关
从前面的技术分析看出,IPoE和PPPoE将在一段时期内并存,满足不同业务需求。无论采用何种认证机制,都需要部署业务接入控制网关来对用户的接入。认证、会话及QOS等策略进行管理。网络边缘业务控制设备从仅支持PPPoE的设备(如BRAS)向TR101架构定义的宽带网络业务网关(BNG同时支持PPPoE和IPoE)演进。传统的BRAS是为支持PPPoE协议而设计的设备,通过增加IPoE功能演变为BNG设备。传统的业务路由器支持高带宽的IPoE用户控制,通过增加PPPoE功能而演进为BNG设备。
接入网是城域网的带宽瓶颈,小区以太网交换机的QOS控制机制弱。需在网关设备上部署H-QOS机制,以降低接入网设备的QOS性能要求,简化QOS管理。要求BNG最多可达三级调度,实现针对每用户、每业务、每应用的QoS策略,从而实现带宽的灵活调度及业务管理。
3.3 IPoE部署方案
IPoE分为非Session级和Session级出RAS集中控制用户会话,先认证后分配地址)两种方式。若采用多边缘方式提供IPTV业务,对Session级控制无需求,可采用非Session级方式,否则,采用Session级方式。Session级IPoE更适合现在和未来业务的部署,实现多业务承载和业务精细化运营。
(1)IPoE的部署基于BRAS的IPoE部署
·现网可支持IPoE的大容量BRAS,通过软件升级、硬件板卡扩容等方式进行部署,实现综合业务承载的单边缘架构。
·现网无法支持IPoE的小容量BRAS,应保持现状以承载PPPoE为主。同时在其位置新部署大容量BRAS设备,承载IPoE业务,即PPoE+IPoE的双边缘架构。待小容量BRAS逐步退网后,大容量BRAS实现综合业务承载的单边缘架构。
(2)IPoE的部署基于BRAS,SR分散承载的IPoE部署
结合现有设备的部署现状,也可以部署SR专门承载IPTV等视频业务,使BRAS,SR分散承载业务,负荷分担。
(3)DHCPServer系统的部署
在IPTV业务中,建议IPTV业务的地址统一管理,集中部署DHCP Serve系统(实际上包括DHCPServer,认证服务器和数据库三部分),为IPTV终端分配P地址,业务路由器(SR)启用DHCP Relay功能,而不是内置的DHCP Server。DHCP Server系统是IPoE业务网络迸人认证的核心,负责用户的认证和地址分配。集中部署DHCP Server便于部署统一的地址分配策略,这些地址分配策略与其它网络控制、管理策略相结合,可以提供差异化服务,从而衍生出一系列的增值产品,如VIP客户的地址池与网络QoS相结合,可以保证VIP客户的IPTV业务体验。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)