1、 概述

隨著城域網(wǎng)寬帶業(yè)務(wù)的發(fā)展，可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò)建設(shè)理念已經(jīng)深入人心。 市場(chǎng)方面，隨著用戶數(shù)量的增多，每用戶帶寬增大，產(chǎn)生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式，極大提高了用戶網(wǎng)絡(luò)使用體驗(yàn)，電腦成為網(wǎng)絡(luò)接入的主要設(shè)備。采用動(dòng)態(tài)IP地址，每用戶帶寬控制的PPPoE設(shè)備逐漸演變?yōu)殡娦胚\(yùn)營(yíng)商主要的接入方式。隨著IP網(wǎng)絡(luò)的迅速發(fā)展，人們產(chǎn)生了把所有智能設(shè)備聯(lián)網(wǎng)的需求。同時(shí)互聯(lián)網(wǎng)的內(nèi)容從簡(jiǎn)單的網(wǎng)頁(yè)推送演進(jìn)為以流媒體為主，支持VoIP, IPTV等綜合業(yè)務(wù)。隨著提供業(yè)務(wù)的多樣化，用戶認(rèn)證方式作為可運(yùn)營(yíng)、可管理的核心，受到包括運(yùn)營(yíng)商、制造商的密切關(guān)注。目前討論的核心認(rèn)證技術(shù)主要包括IPoE和PPPoE。

PPPoE相關(guān)標(biāo)準(zhǔn)則是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明確定義的。2006年，DSL（2008年改名Broadband）工作組綜合各個(gè)電信運(yùn)營(yíng)商在接入方式上的嘗試，為使新型Voice/Video等實(shí)時(shí)性業(yè)務(wù)得到有效的控制與管理，定義了WT-146 用戶會(huì)話控制機(jī)制（Subscriber Session），設(shè)計(jì)規(guī)劃了以DHCP技術(shù)為核心，緊密結(jié)合當(dāng)今PPPoE通用的RADUIS協(xié)議，建立了一種基于"IP用戶會(huì)話機(jī)制 （IP Subscriber Sessions）"、"IP數(shù)據(jù)流的分級(jí)機(jī)制（IP Flow Classifiers）"、及"IP會(huì)話鑒權(quán)和管理機(jī)制（IP Session Authentication and Management Means）"的IPoE認(rèn)證機(jī)制。通過(guò)擴(kuò)展信息的加入和識(shí)別在網(wǎng)絡(luò)邊緣設(shè)備上提供用戶Session的接入認(rèn)證授權(quán)計(jì)費(fèi)。IPoE認(rèn)證方式不需要在用戶終端上安裝任何客戶端程序，不需要輸入用戶名和密碼，非常適合新型網(wǎng)絡(luò)設(shè)備，如智能手機(jī)，數(shù)字電視，PSP等很難支持內(nèi)置的PPPoE撥號(hào)程序的終端應(yīng)用互聯(lián)網(wǎng)業(yè)務(wù)。

目前，IPoE和PPPoE應(yīng)用都比較成熟，獲得廣大運(yùn)營(yíng)商和專家的一致認(rèn)可，并在當(dāng)前的網(wǎng)絡(luò)建設(shè)中獲得大規(guī)模商用。下面首先對(duì)這兩種認(rèn)證方式進(jìn)行全面的分析，然后提出業(yè)務(wù)承載解決方案及對(duì)下一代寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)（Broadband network gateway）的需求。

2、 PPPOE認(rèn)證

（1）PPPoE 認(rèn)證簡(jiǎn)介

PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多個(gè)PPP連接的接入技術(shù)。其結(jié)合了以太網(wǎng)和PPP連接的綜合屬性。以太網(wǎng)是一種廣播網(wǎng)絡(luò)，其缺點(diǎn)是通訊雙方無(wú)法相互驗(yàn)證對(duì)方身份，通訊是不安全的。PPP協(xié)議提供了通訊雙方身份驗(yàn)證的功能，但是PPP協(xié)議是一種點(diǎn)對(duì)點(diǎn)的協(xié)議，協(xié)議中沒(méi)有提供地址信息。如果PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE再進(jìn)行一次封裝，PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對(duì)點(diǎn)通信的能力。

PPP協(xié)議的一個(gè)重要的功能是提供了身份驗(yàn)證功能。PPP協(xié)議是一種點(diǎn)到點(diǎn)的鏈路層協(xié)議，它提供了點(diǎn)到點(diǎn)的一種封裝、傳遞數(shù)據(jù)的一種方法。當(dāng)一臺(tái)主機(jī)希望啟動(dòng)一個(gè)PPPoE會(huì)話，它首先必須完成發(fā)現(xiàn)階段，確定對(duì)端Server的以太網(wǎng)MAC地址，并建立一個(gè)唯一的PPPoE會(huì)話號(hào)（SESSION_ID）。PPP協(xié)議一般包括三個(gè)協(xié)商階段：LCP（鏈路控制協(xié)議）階段，認(rèn)證階段（比如CHAP/PAP），NCP（網(wǎng)絡(luò)層控制協(xié)議，比如IPCP)階段。撥號(hào)后，用戶計(jì)算機(jī)和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù)，然后在認(rèn)證階段進(jìn)行用戶計(jì)算機(jī)將用戶名和密碼發(fā)送給接入服務(wù)器認(rèn)證，接入服務(wù)器可以進(jìn)行本地認(rèn)證，可以通過(guò)RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過(guò)后，在NCP（IPCP）協(xié)商階段，接入服務(wù)器給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù)如IP地址等。經(jīng)過(guò)PPP的三個(gè)協(xié)商階段后，用戶就可以發(fā)送和接受網(wǎng)絡(luò)報(bào)文，用戶收發(fā)的所有網(wǎng)絡(luò)層報(bào)文都封裝在PPP報(bào)文中。

　　在PPP協(xié)議定義一個(gè)端對(duì)端關(guān)系時(shí)，發(fā)現(xiàn)階段實(shí)際是一個(gè)客戶與服務(wù)器的關(guān)系。在發(fā)現(xiàn)階段，主機(jī)（客戶端）搜尋并發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與之通信的可能不只一個(gè)網(wǎng)絡(luò)設(shè)備，但只能選擇其中的一個(gè)。當(dāng)發(fā)現(xiàn)階段完成后，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有建立PPPoE的所有信息。

　　PPPoE一般用面向于廣大普通用戶提供認(rèn)證、計(jì)費(fèi)服務(wù)，也可用于固定用戶申請(qǐng)獨(dú)用的一個(gè)公網(wǎng)IP地址?，F(xiàn)網(wǎng)國(guó)內(nèi)運(yùn)營(yíng)商主要是應(yīng)用BRAS設(shè)備作為PPPoE的終結(jié)設(shè)備。

　　（2）PPPoE 特點(diǎn)總結(jié)

　　PPPoE認(rèn)證的主要優(yōu)點(diǎn)總結(jié)如下：

　　* PPPoE認(rèn)證的主要特點(diǎn)在于其應(yīng)用廣泛、成熟；而且標(biāo)準(zhǔn)性、互通性好；

　　* 與現(xiàn)有主流的PC操作系統(tǒng)可以良好的兼容，無(wú)兼容性問(wèn)題；

　　* PPPoE通過(guò)唯一的Session-ID可以很好的保障用戶的安全性；

　　* 因此，由于PPP會(huì)話的安全性、健壯性等特征，而被廣泛應(yīng)用于ADSL 接入認(rèn)證。應(yīng)用廣泛，具有較好的市場(chǎng)基礎(chǔ)。

　　PPPoE認(rèn)證的不足之處在于認(rèn)證機(jī)制比較復(fù)雜，對(duì)設(shè)備處理性能、內(nèi)存資源需求較高；同時(shí)用戶需要一個(gè)等待過(guò)程；同時(shí)隨著多媒體業(yè)務(wù)發(fā)展， BRAS設(shè)備對(duì)于業(yè)務(wù)支持的局限性逐漸暴露出來(lái)，特別是組播支持方面，由于在PPP協(xié)議定義一個(gè)端對(duì)端關(guān)系時(shí)，在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與之通信的可能不只一個(gè)網(wǎng)絡(luò)設(shè)備，但只能選擇其中的一個(gè)，所以采用PPPOE方式認(rèn)證時(shí)，組播復(fù)制點(diǎn)只能選擇在BRAS設(shè)備上，而BRAS設(shè)備性能必將成為業(yè)務(wù)發(fā)展的瓶頸。同時(shí)由于傳統(tǒng)BRAS設(shè)備在設(shè)計(jì)理念上不是滿足多業(yè)務(wù)承載，所以設(shè)備在整機(jī)處理能力，可擴(kuò)展性，可靠性等方面都將表現(xiàn)出不足。

　　3、 IPoE認(rèn)證

　　（1）IPoE認(rèn)證簡(jiǎn)介

　　IPoE系統(tǒng)包括基本的DHCP功能，同時(shí)擴(kuò)展了網(wǎng)絡(luò)中各個(gè)層面設(shè)備的能力?？梢哉f(shuō)IPoE不是簡(jiǎn)單的終端設(shè)備上支持DHCP就可以了，需要涉及到用戶端，網(wǎng)絡(luò)控制設(shè)備，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等。

　　DHCP（ RFC-1541）本身是一種動(dòng)態(tài)主機(jī)配置協(xié)議，最初主要針對(duì)于LAN應(yīng)用。通過(guò)終端上的DHCP客戶端，利用自動(dòng)發(fā)現(xiàn)機(jī)制來(lái)嘗試聯(lián)系網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP提供一系列IP配置參數(shù)，對(duì)用戶端的IP層進(jìn)行配置。 DHCP協(xié)議本身并沒(méi)有用來(lái)認(rèn)證的功能，但是DHCP可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證，比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證。所有這些方式都統(tǒng)稱為DHCP+認(rèn)證。本文討論的主要是DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證，又稱為IPoE認(rèn)證方式。用來(lái)作為DHCP擴(kuò)展的OPTION字段主要為OPTION60 （RFC2132）和OPTION82 （RFC3046）。其中OPTION60中帶有Vendor和Service Option信息，是由用戶終端發(fā)起DHCP請(qǐng)求時(shí)攜帶的信息，網(wǎng)絡(luò)設(shè)備只需要透?jìng)骷纯?。其在?yīng)用中的作用是用來(lái)識(shí)別用戶終端類型，從而識(shí)別用戶業(yè)務(wù)類型，DHCP服務(wù)器可以依賴于此分配不同的業(yè)務(wù)IP地址。而OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報(bào)文中，主要用來(lái)標(biāo)識(shí)用戶終端的接入位置，DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設(shè)備進(jìn)行插入。

　　IPoE認(rèn)證系統(tǒng)各個(gè)部分功能如下：

　　（1）IPoE 客戶端部分

　　包括各種用戶終端設(shè)備，產(chǎn)生DHCP消息，中間設(shè)備插入各種DHCP option進(jìn)行用戶綁定，業(yè)務(wù)綁定等。

　?。?）IPoE 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備（如BRAS或SR）

　　寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備（Broadband network gateway）進(jìn)行DHCP消息到Radius認(rèn)證消息的翻譯。與Radius進(jìn)行認(rèn)證，授權(quán)，計(jì)費(fèi)功能。認(rèn)證通過(guò)后，下放Radius返回的每用戶QoS，訪問(wèn)控制的列表等功能，同時(shí)對(duì)通過(guò)設(shè)備的流量/時(shí)長(zhǎng)進(jìn)行計(jì)費(fèi)。

　?。?）IPoE業(yè)務(wù)控制系統(tǒng)

　　包括Radius/DHCP/Diameter/Webportal等業(yè)務(wù)系統(tǒng)，能夠動(dòng)態(tài)調(diào)整每用戶的帶寬和QoS屬性，針對(duì)預(yù)付費(fèi)，流量，時(shí)長(zhǎng)等提供多種計(jì)費(fèi)手段。做到客戶的可管理控制，可持續(xù)盈利，提供差異化的用戶服務(wù)。

　　基于TR101定義的網(wǎng)絡(luò)架構(gòu)及WT146定義的IPoE Session 流程，網(wǎng)絡(luò)邊緣通過(guò)設(shè)置寬帶業(yè)務(wù)網(wǎng)關(guān)-BNG(Broadband Network Gateway)設(shè)備來(lái)維護(hù)所有用戶的 IP Session，通過(guò) IPoE Session 對(duì)用戶進(jìn)行感知和控制，并實(shí)施各種用戶策略（如QoS）。

　?。?）IPoE認(rèn)證特點(diǎn)總結(jié)

　　IPoE認(rèn)證的主要特點(diǎn)總結(jié)如下：

　　* 基于上網(wǎng)用戶的物理位置（通過(guò)唯一的VLAN ID/PVC ID標(biāo)示）對(duì)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)，用戶上網(wǎng)時(shí)無(wú)需輸入用戶名和密碼，這對(duì)于那些需要永遠(yuǎn)在線的用戶，以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng)，家庭簡(jiǎn)化硬件的配置工作。

　　* DHCP+ （option 60/option 82)對(duì)DHCP 協(xié)議進(jìn)行了擴(kuò)展，增加了安全，監(jiān)控，用戶識(shí)別等新的特性。

　　* 網(wǎng)絡(luò)接入設(shè)備, 業(yè)務(wù)控制網(wǎng)關(guān), DHCP server, Radius server 配合增強(qiáng)網(wǎng)絡(luò)安全性（防DoS 攻擊及地址仿冒）

　　* DHCP+ Radius 結(jié)合提供計(jì)費(fèi)功能，使得DHCP 適合做運(yùn)營(yíng).

　　* DHCP 是基于IP的在冗余保護(hù)方面比較有優(yōu)勢(shì)，能夠?qū)崿F(xiàn)真正的5個(gè)9的保護(hù)特性。

　　* 組播業(yè)務(wù)支持靈活

　　(3) IPoE 認(rèn)證的安全策略

　　由于IPoE認(rèn)證本身不像PPPoE認(rèn)證一樣在網(wǎng)絡(luò)層面提供唯一的點(diǎn)到點(diǎn)的通信， 所以運(yùn)營(yíng)商在部署時(shí)，安全問(wèn)題是需要考慮的主要問(wèn)題。隨網(wǎng)絡(luò)技術(shù)的發(fā)展，家庭網(wǎng)關(guān)，網(wǎng)絡(luò)接入設(shè)備（如DSLAM）, 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)必須協(xié)同工作，增強(qiáng)網(wǎng)絡(luò)安全性。安全保證策略包括如下方面：

　　(a) 反地址欺騙

　　用戶是通過(guò)DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務(wù)控制網(wǎng)關(guān)自動(dòng)生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同，但是MAC地址不同，所有的數(shù)據(jù)包都會(huì)被丟棄。

　　（b）用戶終端數(shù)限制

　　控制每個(gè)業(yè)務(wù)接入點(diǎn)所連接用戶終端的數(shù)量。

　　（c）防DoS攻擊

　　對(duì)于用戶通過(guò)發(fā)送大量的DHCP請(qǐng)求，模擬不同MAC 地址的Host請(qǐng)求IP地址，攻擊DHCP Server的情況：

　　解決方式是DHCP 請(qǐng)求需要得到Radius 服務(wù)器認(rèn)證通過(guò)才能被送到DHCP Server, Radius 設(shè)定了用戶的MAC地址和線路號(hào)綁定的功能，只有IP地址和線路號(hào)在Radius數(shù)據(jù)庫(kù)種才能獲得許可申請(qǐng)用戶的IP地址。

　　對(duì)于由寬帶網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送大量的DHCP請(qǐng)求發(fā)送到Radius服務(wù)器的情況：

　　解決方式是在用戶認(rèn)證通過(guò)認(rèn)證獲得IP地址之前，基于每個(gè)用戶設(shè)置速率限制功能，設(shè)定每秒種只有1-2個(gè)DHCP數(shù)據(jù)包能夠通過(guò)，降低對(duì)Radius Server的壓力。對(duì)于Radius Server，對(duì)用戶的攻擊模式進(jìn)行判斷，對(duì)來(lái)自同一個(gè)DSLAM 線路號(hào)的Radius請(qǐng)求數(shù)量作控制，比方說(shuō)在1秒內(nèi)，最多只允許1個(gè)Radius請(qǐng)求，如果1分鐘內(nèi)連續(xù)出現(xiàn)多個(gè)Radius請(qǐng)求，則認(rèn)證發(fā)生攻擊，直接丟棄Radius數(shù)據(jù)包。

　?。╠）業(yè)務(wù)隔離

　　下行通過(guò)VLAN隔離；上行方向除上網(wǎng)業(yè)務(wù)分配公網(wǎng)地址直接接入外，其它業(yè)務(wù)（包括網(wǎng)絡(luò)管理）一律按業(yè)務(wù)類別分裝在不同VPN內(nèi)進(jìn)行傳送。

　?。╡）非法組播源抑制

　　一般從DSLAM上行的端口都會(huì)將發(fā)送到組播組的數(shù)據(jù)過(guò)濾掉。在業(yè)務(wù)控制網(wǎng)關(guān)上與DSLAM 下行連接的端口上不會(huì)開(kāi)啟PIM協(xié)議，組播源不會(huì)從業(yè)務(wù)端口接入上來(lái)。

　　（f）端口隔離

　　設(shè)置用戶水平分割組，禁止用戶接入端口間直接轉(zhuǎn)發(fā)。

　　4、 PPPoE 和IPoE技術(shù)討論

　　下面對(duì)上述兩種認(rèn)證方式，進(jìn)行一個(gè)綜合的比較。

　　功能 PPPoE DHCP

　　認(rèn)證效率

　　較低 很高

　　標(biāo)準(zhǔn)化程度

　　高 （RFC 2516）

　　高（WT146）

　　封裝開(kāi)銷 大 （增加PPPoE 及PPP 封裝）

　　?。∕AC+IP)

　　客戶端軟件 需要 不需要

　　用戶認(rèn)證

　　通過(guò)PAP、CHAP或者EAP觸發(fā) 通過(guò)DHCP發(fā)現(xiàn)包觸發(fā)

　　認(rèn)證服務(wù)器

　　Radius

　　Radius

　　地址分配方式 IPCP,基于用戶名和密碼

　　DHCP,基于線路號(hào)、MAC地址.

　　Session建立過(guò)程

　　面向連接的Session-ID

　　無(wú)連接，用戶通過(guò)IP地址標(biāo)識(shí)

　　用戶在線檢測(cè) PPP keepalive包實(shí)現(xiàn)

　　UC-ARP方式

　　或者DHCP-Renew方式

　　安全性

　　高

　　高

　　防地址仿冒能力 高（（唯一Session ID）

　　高（Anti-spoofing 策略）

　　控制能力 端口/用戶數(shù)/帶寬 端口/用戶數(shù)/帶寬

　　組播支持

　　組播控制點(diǎn)只能在業(yè)務(wù)控制層 組播控制點(diǎn)可選擇在業(yè)務(wù)控制層或接入層

　　精確計(jì)費(fèi)

　　支持

　　支持

　　所有支持IP協(xié)議的設(shè)備都支持，不需要安裝第三方撥號(hào)軟件，可以廣泛支持各種手持設(shè)備，移動(dòng)設(shè)備，視頻設(shè)備等。

　　（2）報(bào)文開(kāi)銷

　　由于PPPoE報(bào)文引入了PPPoE頭（6 bytes）和PPP頭（2 bytes），所以在所有用戶流量里面增加了8個(gè)字節(jié)的協(xié)議開(kāi)銷，對(duì)于高帶寬的應(yīng)用（4M以上的高清電視等），對(duì)于處理能力不高的終端設(shè)備，壓力很大。

　?。?）組播復(fù)制

　　由于PPPoE報(bào)文，是在BNG設(shè)備和用戶之間建立點(diǎn)對(duì)點(diǎn)連接，中間的交換機(jī)層次不能很好的理解PPPoE報(bào)文格式，只能進(jìn)行轉(zhuǎn)發(fā)，無(wú)法進(jìn)行針對(duì)VLAN等信息的有效的組播復(fù)制。所以采用PPPoE進(jìn)行組播業(yè)務(wù)的開(kāi)展，組播復(fù)制點(diǎn)只能是BNG設(shè)備，而采用IPoE，可以把組播復(fù)制點(diǎn)下移到DSLAM，一方面減少了BNG設(shè)備的壓力，另一方面也極大的節(jié)約了網(wǎng)絡(luò)接入層帶寬。

　?。?）用戶冗余

　　IPoE，報(bào)文轉(zhuǎn)發(fā)中，由于不需要接入PPPoE Session/Cookie信息，非常容易做到跨機(jī)箱的用戶Session的保護(hù)，當(dāng)一個(gè)機(jī)箱斷電時(shí)，所有IPoE的狀態(tài)信息被動(dòng)態(tài)備份到另外一臺(tái)設(shè)備，所以不需要用戶進(jìn)行重新?lián)芴?hào)。而PPPoE由于轉(zhuǎn)發(fā)過(guò)程中攜帶BNG生成的唯一的Session/Cookie信息，當(dāng)一臺(tái)設(shè)備斷電時(shí)，另外一臺(tái)設(shè)備無(wú)法獲得全部的PPPoE狀態(tài)，所以無(wú)法做到有效的跨機(jī)箱的用戶冗余保護(hù)。

　　根據(jù)上述討論，在終端支持、封裝開(kāi)銷和組播支持認(rèn)證效率等方面，IPoE認(rèn)證具有較明顯的優(yōu)勢(shì)。

　　5、 業(yè)務(wù)承載解決方案

　　根據(jù)前面的技術(shù)討論， IPoE和PPPoE將在一段時(shí)期內(nèi)并存，滿足不同業(yè)務(wù)需求。隨運(yùn)營(yíng)商向全業(yè)務(wù)提供商轉(zhuǎn)型，無(wú)論采用那種認(rèn)證機(jī)制，網(wǎng)絡(luò)中必須部署業(yè)務(wù)控制網(wǎng)關(guān)來(lái)對(duì)用戶的接入，認(rèn)證，會(huì)話及QoS等策略進(jìn)行統(tǒng)一的管理。網(wǎng)絡(luò)邊緣業(yè)務(wù)控制設(shè)備從單一支持PPPoE的設(shè)備（國(guó)內(nèi)運(yùn)營(yíng)商主要為BRAS）向TR101架構(gòu)定義的寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)-BNG設(shè)備（同時(shí)支持PPPoE和IPoE）演進(jìn)。對(duì)于滿足下一代PPPoE/IPoE用戶接入控制的BNG設(shè)備設(shè)計(jì)，不同廠家有不同的理解。傳統(tǒng)BRAS廠家是為支持PPPoE協(xié)議而設(shè)計(jì)的產(chǎn)品，可以通過(guò)添加IPoE功能的支持來(lái)演變?yōu)锽NG設(shè)備。同理，傳統(tǒng)的Service Router廠家設(shè)備天生支持高帶寬的IPoE用戶控制，可以通過(guò)添加PPPoE功能來(lái)實(shí)現(xiàn)完全的BNG功能。無(wú)論是何種演進(jìn)方式，BNG必須需要具備以下3種設(shè)計(jì)要素：

　?。?）強(qiáng)勁的CPU處理能力及內(nèi)存容量

　　PPPoE/IPoE用戶session的處理和終結(jié)都需要CPU進(jìn)行輔助。下一代的BNG設(shè)備，設(shè)計(jì)需要承載128K用戶，這樣對(duì)設(shè)備的CPU處理能力要求很高，一般需要多核CPU，同時(shí)支持4G以上內(nèi)存。

　?。?）大于40G每槽位的業(yè)務(wù)處理能力

　　適應(yīng)大帶寬的發(fā)展，每槽位支持16K用戶，平均每用戶要支持2-4Mbps的帶寬，這樣就要求下一代BNG設(shè)備支持40G/slot的高帶寬處理能力。

　?。?）完善的業(yè)務(wù)處理板卡，提供面向未來(lái)的增值服務(wù)

　　隨著用戶控制的深入發(fā)展，需要BNG設(shè)備提供DPI（深入包檢測(cè)），IPSec安全接入，視頻和LTE移動(dòng)業(yè)務(wù)網(wǎng)關(guān)的支持。

　?。?）層次化QoS

　　城域網(wǎng)的接入部分（特別是最后一公里）是全網(wǎng)的帶寬瓶頸，而通常接入網(wǎng)匯聚設(shè)備（以太網(wǎng)交換機(jī)）的QoS控制機(jī)制比較弱。因此，要求業(yè)務(wù)網(wǎng)關(guān)（BNG)設(shè)備上部署H-QoS機(jī)制，從而降低對(duì)接入網(wǎng)關(guān)以下的設(shè)備的QoS性能要求，降低了接入網(wǎng)的成本，簡(jiǎn)化了QoS管理。

　　要求BNG最多可達(dá)三級(jí)調(diào)度，實(shí)現(xiàn)針對(duì)每用戶，每業(yè)務(wù)，每應(yīng)用的QoS策略，從而實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的靈活調(diào)度及業(yè)務(wù)管理。

　　采用BNG設(shè)備作為網(wǎng)絡(luò)業(yè)務(wù)的控制點(diǎn)，先網(wǎng)演進(jìn)建議按如下三個(gè)階段進(jìn)行：

　　* 第一階段：原有HSI業(yè)務(wù)仍然通過(guò)PPPoE方式由BRAS承載，綜合業(yè)務(wù)用戶、包月用戶等通過(guò)IPoE方式認(rèn)證的業(yè)務(wù)通過(guò)BNG承載。新增HSI 業(yè)務(wù)通過(guò)PPPoE方式由BNG設(shè)備承載。

　　* 第二階段：隨HSI業(yè)務(wù)發(fā)展, 現(xiàn)網(wǎng)BRAS設(shè)備必將不能滿足大接入帶寬的需求，建議逐步將原有用戶割接至BNG設(shè)備。

　　* 第三階段：網(wǎng)絡(luò)形成BNG的單邊緣架構(gòu)，在業(yè)務(wù)控制層部署基于每用戶，每業(yè)務(wù)，每應(yīng)用的控制策略，部署H-QoS,配和骨干網(wǎng)QoS策略，實(shí)現(xiàn)用戶管理，差異化服務(wù)和精細(xì)運(yùn)行。

　　6、 上海貝爾BNG設(shè)備

　　上海貝爾的7750SR是業(yè)界第一個(gè)50G平臺(tái)（IOM3）的BNG設(shè)備，兼?zhèn)鋫鹘y(tǒng)意義的SR和BRAS功能，同時(shí)能夠支持PPPoE/IPoE/VPN等多種業(yè)務(wù)，產(chǎn)品主要特點(diǎn)如下：

　　1) 7750SR能夠支持單板50G線速端口能力、整機(jī)500G線速端口能力（40個(gè)10GE線速端口，500個(gè)GE線速端口）

　　2) 7750SR整機(jī)支持128K并發(fā)用戶，單板卡支持40K并發(fā)用戶會(huì)話，并同時(shí)保證線速性能，具備業(yè)界領(lǐng)先的業(yè)務(wù)擴(kuò)展能力和處理性能；

　　3) 7750能夠滿足在滿負(fù)荷、綜合業(yè)務(wù)承載下保持高性能線速轉(zhuǎn)發(fā)；

　　4) 7750支持靈活的不同模式下（每用戶每VLAN，每業(yè)務(wù)每VLAN等）的多層次用戶QOS控制，能夠支持跨不同VLAN下的層次化QoS，能夠具備豐富的QoS特性為多業(yè)務(wù)承載提供完善地保證；

　　5) 7750SR支持IPoE Session雙機(jī)熱備技術(shù)；

　　6) 7750支持NSR/NSS和ISSU，可以做到主控引擎切換時(shí)，PPPoE/IPOE業(yè)務(wù)不中斷；

　　7) 7750SR具備業(yè)界最完善的防DOS攻擊體系，主控卡上具備硬件防火墻能力，能夠基于每用戶Session提供防DOS攻擊能力；

　　8) 7750SR可內(nèi)置AA-ISA卡，提供基于每個(gè)用戶的深度包檢測(cè)功能，能夠監(jiān)測(cè)每個(gè)用戶的每種internet應(yīng)用并加以控制，比如P2P，Skype，BT等；

　　9) 7750SR可內(nèi)置Video業(yè)務(wù)應(yīng)用處理卡，提供頻道快速切換、故障幀快速重傳等增強(qiáng)的IPTV支持技術(shù)，和定向廣告插入等IPTV增值服務(wù)。

　　作為BNG設(shè)備，7750SR具有業(yè)界最為領(lǐng)先業(yè)務(wù)處理能力，在全球的一線運(yùn)營(yíng)商如AT&T都有大量的成功應(yīng)用案例。

　　7、 總結(jié)

　　由于IPoE在綜合業(yè)務(wù)承載方面據(jù)有的明顯優(yōu)勢(shì)并適用于綜合業(yè)務(wù)承載及包月用戶，使其將成為未來(lái)的主要認(rèn)證方式，。而PPPoE具有良好的市場(chǎng)環(huán)境，在一段時(shí)間內(nèi)也將被保留下來(lái)，作為高速上網(wǎng)業(yè)務(wù)的主要認(rèn)證方式。IPoE和PPPoE認(rèn)證方式均有大量的商用案例，各個(gè)運(yùn)營(yíng)商根據(jù)不同的業(yè)務(wù)類型，靈活選擇認(rèn)證方式，運(yùn)營(yíng)商可用同一套R(shí)ADIUS系統(tǒng)支持兩種認(rèn)證方式。

　　BNG設(shè)備的產(chǎn)生為運(yùn)營(yíng)商根據(jù)業(yè)務(wù)需求靈活選擇認(rèn)證方式提供條件。網(wǎng)絡(luò)結(jié)構(gòu)可簡(jiǎn)化為單邊緣架構(gòu)，在同一設(shè)備，同一端口下同時(shí)接入PPPoE和IPoE，從而實(shí)現(xiàn)對(duì)用戶資源及QoS策略的統(tǒng)一部署和管理，同時(shí)實(shí)現(xiàn)對(duì)每用戶/每業(yè)務(wù)的精細(xì)化控制和QoS保證，是業(yè)務(wù)融合的方向。