《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 寬帶接入認證方式的選擇
寬帶接入認證方式的選擇
CCTIME
CCTIME
摘要: 隨著城域網(wǎng)寬帶業(yè)務(wù)的發(fā)展,可運營、可管理的網(wǎng)絡(luò)建設(shè)理念已經(jīng)深入人心。,市場方面,隨著用戶數(shù)量的增多,每用戶帶寬增大,產(chǎn)生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式,極大提高了用戶網(wǎng)絡(luò)使用體驗,電腦成為網(wǎng)絡(luò)接入的主要設(shè)備。采用動態(tài)IP地址,每用戶帶寬控制的PPPoE設(shè)備逐漸演變?yōu)殡娦胚\營商主要的接入方式。隨著IP網(wǎng)絡(luò)的迅速發(fā)展,人們產(chǎn)生了把所有智能設(shè)備聯(lián)網(wǎng)的需求。同時互聯(lián)網(wǎng)的內(nèi)容從簡單的網(wǎng)頁推送演進為以流媒體為主,支持VoIP,,IPTV等綜合業(yè)務(wù)。隨著提供業(yè)務(wù)的多樣化,用戶認證方式作為可運營、可管理的核心,受到包括運營商、制造商的密切關(guān)注。
關(guān)鍵詞: 寬帶接入 認證方式 IPoE PPPoE
Abstract:
Key words :

1、 概述

隨著城域網(wǎng)寬帶業(yè)務(wù)的發(fā)展,可運營、可管理的網(wǎng)絡(luò)建設(shè)理念已經(jīng)深入人心。 市場方面,隨著用戶數(shù)量的增多,每用戶帶寬增大,產(chǎn)生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式,極大提高了用戶網(wǎng)絡(luò)使用體驗,電腦成為網(wǎng)絡(luò)接入的主要設(shè)備。采用動態(tài)IP地址,每用戶帶寬控制的PPPoE設(shè)備逐漸演變?yōu)殡娦胚\營商主要的接入方式。隨著IP網(wǎng)絡(luò)的迅速發(fā)展,人們產(chǎn)生了把所有智能設(shè)備聯(lián)網(wǎng)的需求。同時互聯(lián)網(wǎng)的內(nèi)容從簡單的網(wǎng)頁推送演進為以流媒體為主,支持VoIP, IPTV等綜合業(yè)務(wù)。隨著提供業(yè)務(wù)的多樣化,用戶認證方式作為可運營、可管理的核心,受到包括運營商、制造商的密切關(guān)注。目前討論的核心認證技術(shù)主要包括IPoE和PPPoE。

PPPoE相關(guān)標準則是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明確定義的。2006年,DSL(2008年改名Broadband)工作組綜合各個電信運營商在接入方式上的嘗試,為使新型Voice/Video等實時性業(yè)務(wù)得到有效的控制與管理,定義了WT-146 用戶會話控制機制(Subscriber Session),設(shè)計規(guī)劃了以DHCP技術(shù)為核心,緊密結(jié)合當(dāng)今PPPoE通用的RADUIS協(xié)議,建立了一種基于"IP用戶會話機制 (IP Subscriber Sessions)"、"IP數(shù)據(jù)流的分級機制(IP Flow Classifiers)"、及"IP會話鑒權(quán)和管理機制(IP Session Authentication and Management Means)"的IPoE認證機制。通過擴展信息的加入和識別在網(wǎng)絡(luò)邊緣設(shè)備上提供用戶Session的接入認證授權(quán)計費。IPoE認證方式不需要在用戶終端上安裝任何客戶端程序,不需要輸入用戶名和密碼,非常適合新型網(wǎng)絡(luò)設(shè)備,如智能手機,數(shù)字電視,PSP等很難支持內(nèi)置的PPPoE撥號程序的終端應(yīng)用互聯(lián)網(wǎng)業(yè)務(wù)。

目前,IPoE和PPPoE應(yīng)用都比較成熟,獲得廣大運營商和專家的一致認可,并在當(dāng)前的網(wǎng)絡(luò)建設(shè)中獲得大規(guī)模商用。下面首先對這兩種認證方式進行全面的分析,然后提出業(yè)務(wù)承載解決方案及對下一代寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)(Broadband network gateway)的需求。

2、 PPPOE認證

(1)PPPoE 認證簡介

PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多個PPP連接的接入技術(shù)。其結(jié)合了以太網(wǎng)和PPP連接的綜合屬性。以太網(wǎng)是一種廣播網(wǎng)絡(luò),其缺點是通訊雙方無法相互驗證對方身份,通訊是不安全的。PPP協(xié)議提供了通訊雙方身份驗證的功能,但是PPP協(xié)議是一種點對點的協(xié)議,協(xié)議中沒有提供地址信息。如果PPP應(yīng)用在以太網(wǎng)上,必須使用PPPoE再進行一次封裝,PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進行點對點通信的能力。

PPP協(xié)議的一個重要的功能是提供了身份驗證功能。PPP協(xié)議是一種點到點的鏈路層協(xié)議,它提供了點到點的一種封裝、傳遞數(shù)據(jù)的一種方法。當(dāng)一臺主機希望啟動一個PPPoE會話,它首先必須完成發(fā)現(xiàn)階段,確定對端Server的以太網(wǎng)MAC地址,并建立一個唯一的PPPoE會話號(SESSION_ID)。PPP協(xié)議一般包括三個協(xié)商階段:LCP(鏈路控制協(xié)議)階段,認證階段(比如CHAP/PAP),NCP(網(wǎng)絡(luò)層控制協(xié)議,比如IPCP)階段。撥號后,用戶計算機和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù),然后在認證階段進行用戶計算機將用戶名和密碼發(fā)送給接入服務(wù)器認證,接入服務(wù)器可以進行本地認證,可以通過RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進行認證。認證通過后,在NCP(IPCP)協(xié)商階段,接入服務(wù)器給用戶計算機分配網(wǎng)絡(luò)層參數(shù)如IP地址等。經(jīng)過PPP的三個協(xié)商階段后,用戶就可以發(fā)送和接受網(wǎng)絡(luò)報文,用戶收發(fā)的所有網(wǎng)絡(luò)層報文都封裝在PPP報文中。

  在PPP協(xié)議定義一個端對端關(guān)系時,發(fā)現(xiàn)階段實際是一個客戶與服務(wù)器的關(guān)系。在發(fā)現(xiàn)階段,主機(客戶端)搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備(服務(wù)器端)。在網(wǎng)絡(luò)拓撲中,主機能與之通信的可能不只一個網(wǎng)絡(luò)設(shè)備,但只能選擇其中的一個。當(dāng)發(fā)現(xiàn)階段完成后,主機和網(wǎng)絡(luò)設(shè)備將擁有建立PPPoE的所有信息。

  PPPoE一般用面向于廣大普通用戶提供認證、計費服務(wù),也可用于固定用戶申請獨用的一個公網(wǎng)IP地址?,F(xiàn)網(wǎng)國內(nèi)運營商主要是應(yīng)用BRAS設(shè)備作為PPPoE的終結(jié)設(shè)備。

  (2)PPPoE 特點總結(jié)

  PPPoE認證的主要優(yōu)點總結(jié)如下:

  * PPPoE認證的主要特點在于其應(yīng)用廣泛、成熟;而且標準性、互通性好;

  * 與現(xiàn)有主流的PC操作系統(tǒng)可以良好的兼容,無兼容性問題;

  * PPPoE通過唯一的Session-ID可以很好的保障用戶的安全性;

  * 因此,由于PPP會話的安全性、健壯性等特征,而被廣泛應(yīng)用于ADSL 接入認證。應(yīng)用廣泛,具有較好的市場基礎(chǔ)。

  PPPoE認證的不足之處在于認證機制比較復(fù)雜,對設(shè)備處理性能、內(nèi)存資源需求較高;同時用戶需要一個等待過程;同時隨著多媒體業(yè)務(wù)發(fā)展, BRAS設(shè)備對于業(yè)務(wù)支持的局限性逐漸暴露出來,特別是組播支持方面,由于在PPP協(xié)議定義一個端對端關(guān)系時,在網(wǎng)絡(luò)拓撲中,主機能與之通信的可能不只一個網(wǎng)絡(luò)設(shè)備,但只能選擇其中的一個,所以采用PPPOE方式認證時,組播復(fù)制點只能選擇在BRAS設(shè)備上,而BRAS設(shè)備性能必將成為業(yè)務(wù)發(fā)展的瓶頸。同時由于傳統(tǒng)BRAS設(shè)備在設(shè)計理念上不是滿足多業(yè)務(wù)承載,所以設(shè)備在整機處理能力,可擴展性,可靠性等方面都將表現(xiàn)出不足。

  3、 IPoE認證

 ?。?)IPoE認證簡介

  IPoE系統(tǒng)包括基本的DHCP功能,同時擴展了網(wǎng)絡(luò)中各個層面設(shè)備的能力??梢哉fIPoE不是簡單的終端設(shè)備上支持DHCP就可以了,需要涉及到用戶端,網(wǎng)絡(luò)控制設(shè)備,網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等。

  DHCP( RFC-1541)本身是一種動態(tài)主機配置協(xié)議,最初主要針對于LAN應(yīng)用。通過終端上的DHCP客戶端,利用自動發(fā)現(xiàn)機制來嘗試聯(lián)系網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP提供一系列IP配置參數(shù),對用戶端的IP層進行配置。 DHCP協(xié)議本身并沒有用來認證的功能,但是DHCP可以配合其他技術(shù)實現(xiàn)認證,比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證。所有這些方式都統(tǒng)稱為DHCP+認證。本文討論的主要是DHCP+OPTION擴展字段進行認證,又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發(fā)起DHCP請求時攜帶的信息,網(wǎng)絡(luò)設(shè)備只需要透傳即可。其在應(yīng)用中的作用是用來識別用戶終端類型,從而識別用戶業(yè)務(wù)類型,DHCP服務(wù)器可以依賴于此分配不同的業(yè)務(wù)IP地址。而OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設(shè)備進行插入。

  IPoE認證系統(tǒng)各個部分功能如下:

 ?。?)IPoE 客戶端部分

  包括各種用戶終端設(shè)備,產(chǎn)生DHCP消息,中間設(shè)備插入各種DHCP option進行用戶綁定,業(yè)務(wù)綁定等。

 ?。?)IPoE 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備(如BRAS或SR)

  寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備(Broadband network gateway)進行DHCP消息到Radius認證消息的翻譯。與Radius進行認證,授權(quán),計費功能。認證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設(shè)備的流量/時長進行計費。

  (3)IPoE業(yè)務(wù)控制系統(tǒng)

  包括Radius/DHCP/Diameter/Webportal等業(yè)務(wù)系統(tǒng),能夠動態(tài)調(diào)整每用戶的帶寬和QoS屬性,針對預(yù)付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續(xù)盈利,提供差異化的用戶服務(wù)。

  基于TR101定義的網(wǎng)絡(luò)架構(gòu)及WT146定義的IPoE Session 流程,網(wǎng)絡(luò)邊緣通過設(shè)置寬帶業(yè)務(wù)網(wǎng)關(guān)-BNG(Broadband Network Gateway)設(shè)備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,并實施各種用戶策略(如QoS)。

 ?。?)IPoE認證特點總結(jié)

  IPoE認證的主要特點總結(jié)如下:

  * 基于上網(wǎng)用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網(wǎng)時無需輸入用戶名和密碼,這對于那些需要永遠在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng),家庭簡化硬件的配置工作。

  * DHCP+ (option 60/option 82)對DHCP 協(xié)議進行了擴展,增加了安全,監(jiān)控,用戶識別等新的特性。

  * 網(wǎng)絡(luò)接入設(shè)備, 業(yè)務(wù)控制網(wǎng)關(guān), DHCP server, Radius server 配合增強網(wǎng)絡(luò)安全性(防DoS 攻擊及地址仿冒)

  * DHCP+ Radius 結(jié)合提供計費功能,使得DHCP 適合做運營.

  * DHCP 是基于IP的在冗余保護方面比較有優(yōu)勢,能夠?qū)崿F(xiàn)真正的5個9的保護特性。

  * 組播業(yè)務(wù)支持靈活

  (3) IPoE 認證的安全策略

  由于IPoE認證本身不像PPPoE認證一樣在網(wǎng)絡(luò)層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網(wǎng)絡(luò)技術(shù)的發(fā)展,家庭網(wǎng)關(guān),網(wǎng)絡(luò)接入設(shè)備(如DSLAM), 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)必須協(xié)同工作,增強網(wǎng)絡(luò)安全性。安全保證策略包括如下方面:

  (a) 反地址欺騙

  用戶是通過DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務(wù)控制網(wǎng)關(guān)自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同,但是MAC地址不同,所有的數(shù)據(jù)包都會被丟棄。

  (b)用戶終端數(shù)限制

  控制每個業(yè)務(wù)接入點所連接用戶終端的數(shù)量。

  (c)防DoS攻擊

  對于用戶通過發(fā)送大量的DHCP請求,模擬不同MAC 地址的Host請求IP地址,攻擊DHCP Server的情況:

  解決方式是DHCP 請求需要得到Radius 服務(wù)器認證通過才能被送到DHCP Server, Radius 設(shè)定了用戶的MAC地址和線路號綁定的功能,只有IP地址和線路號在Radius數(shù)據(jù)庫種才能獲得許可申請用戶的IP地址。

  對于由寬帶網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送大量的DHCP請求發(fā)送到Radius服務(wù)器的情況:

  解決方式是在用戶認證通過認證獲得IP地址之前,基于每個用戶設(shè)置速率限制功能,設(shè)定每秒種只有1-2個DHCP數(shù)據(jù)包能夠通過,降低對Radius Server的壓力。對于Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數(shù)量作控制,比方說在1秒內(nèi),最多只允許1個Radius請求,如果1分鐘內(nèi)連續(xù)出現(xiàn)多個Radius請求,則認證發(fā)生攻擊,直接丟棄Radius數(shù)據(jù)包。

 ?。╠)業(yè)務(wù)隔離

  下行通過VLAN隔離;上行方向除上網(wǎng)業(yè)務(wù)分配公網(wǎng)地址直接接入外,其它業(yè)務(wù)(包括網(wǎng)絡(luò)管理)一律按業(yè)務(wù)類別分裝在不同VPN內(nèi)進行傳送。

  (e)非法組播源抑制

  一般從DSLAM上行的端口都會將發(fā)送到組播組的數(shù)據(jù)過濾掉。在業(yè)務(wù)控制網(wǎng)關(guān)上與DSLAM 下行連接的端口上不會開啟PIM協(xié)議,組播源不會從業(yè)務(wù)端口接入上來。

  (f)端口隔離

  設(shè)置用戶水平分割組,禁止用戶接入端口間直接轉(zhuǎn)發(fā)。

  4、 PPPoE 和IPoE技術(shù)討論

  下面對上述兩種認證方式,進行一個綜合的比較。

  功能 PPPoE DHCP

  認證效率

  較低 很高

  標準化程度

  高 (RFC 2516)

  (WT146)

  封裝開銷 大 (增加PPPoE 及PPP 封裝)

  小(MAC+IP)

  客戶端軟件 需要 不需要

  用戶認證

  通過PAP、CHAP或者EAP觸發(fā) 通過DHCP發(fā)現(xiàn)包觸發(fā)

  認證服務(wù)器

  Radius

  Radius

  地址分配方式 IPCP,基于用戶名和密碼

  DHCP,基于線路號、MAC地址.

  Session建立過程

  面向連接的Session-ID

  無連接,用戶通過IP地址標識

  用戶在線檢測 PPP keepalive包實現(xiàn)

  UC-ARP方式

  或者DHCP-Renew方式

  安全性

  

  

  防地址仿冒能力 ((唯一Session ID

  高(Anti-spoofing 策略)

  控制能力 端口/用戶數(shù)/帶寬 端口/用戶數(shù)/帶寬

  組播支持

  組播控制點只能在業(yè)務(wù)控制層 組播控制點可選擇在業(yè)務(wù)控制層或接入層

  精確計費

  支持

  支持

  所有支持IP協(xié)議的設(shè)備都支持,不需要安裝第三方撥號軟件,可以廣泛支持各種手持設(shè)備,移動設(shè)備,視頻設(shè)備等。

 ?。?)報文開銷

  由于PPPoE報文引入了PPPoE頭(6 bytes)和PPP頭(2 bytes),所以在所有用戶流量里面增加了8個字節(jié)的協(xié)議開銷,對于高帶寬的應(yīng)用(4M以上的高清電視等),對于處理能力不高的終端設(shè)備,壓力很大。

 ?。?)組播復(fù)制

  由于PPPoE報文,是在BNG設(shè)備和用戶之間建立點對點連接,中間的交換機層次不能很好的理解PPPoE報文格式,只能進行轉(zhuǎn)發(fā),無法進行針對VLAN等信息的有效的組播復(fù)制。所以采用PPPoE進行組播業(yè)務(wù)的開展,組播復(fù)制點只能是BNG設(shè)備,而采用IPoE,可以把組播復(fù)制點下移到DSLAM,一方面減少了BNG設(shè)備的壓力,另一方面也極大的節(jié)約了網(wǎng)絡(luò)接入層帶寬。

 ?。?)用戶冗余

  IPoE,報文轉(zhuǎn)發(fā)中,由于不需要接入PPPoE Session/Cookie信息,非常容易做到跨機箱的用戶Session的保護,當(dāng)一個機箱斷電時,所有IPoE的狀態(tài)信息被動態(tài)備份到另外一臺設(shè)備,所以不需要用戶進行重新?lián)芴?。而PPPoE由于轉(zhuǎn)發(fā)過程中攜帶BNG生成的唯一的Session/Cookie信息,當(dāng)一臺設(shè)備斷電時,另外一臺設(shè)備無法獲得全部的PPPoE狀態(tài),所以無法做到有效的跨機箱的用戶冗余保護。

  根據(jù)上述討論,在終端支持、封裝開銷和組播支持認證效率等方面,IPoE認證具有較明顯的優(yōu)勢。

  5、 業(yè)務(wù)承載解決方案

  根據(jù)前面的技術(shù)討論, IPoE和PPPoE將在一段時期內(nèi)并存,滿足不同業(yè)務(wù)需求。隨運營商向全業(yè)務(wù)提供商轉(zhuǎn)型,無論采用那種認證機制,網(wǎng)絡(luò)中必須部署業(yè)務(wù)控制網(wǎng)關(guān)來對用戶的接入,認證,會話及QoS等策略進行統(tǒng)一的管理。網(wǎng)絡(luò)邊緣業(yè)務(wù)控制設(shè)備從單一支持PPPoE的設(shè)備(國內(nèi)運營商主要為BRAS)向TR101架構(gòu)定義的寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)-BNG設(shè)備(同時支持PPPoE和IPoE)演進。對于滿足下一代PPPoE/IPoE用戶接入控制的BNG設(shè)備設(shè)計,不同廠家有不同的理解。傳統(tǒng)BRAS廠家是為支持PPPoE協(xié)議而設(shè)計的產(chǎn)品,可以通過添加IPoE功能的支持來演變?yōu)锽NG設(shè)備。同理,傳統(tǒng)的Service Router廠家設(shè)備天生支持高帶寬的IPoE用戶控制,可以通過添加PPPoE功能來實現(xiàn)完全的BNG功能。無論是何種演進方式,BNG必須需要具備以下3種設(shè)計要素:

 ?。?)強勁的CPU處理能力及內(nèi)存容量

  PPPoE/IPoE用戶session的處理和終結(jié)都需要CPU進行輔助。下一代的BNG設(shè)備,設(shè)計需要承載128K用戶,這樣對設(shè)備的CPU處理能力要求很高,一般需要多核CPU,同時支持4G以上內(nèi)存。

 ?。?)大于40G每槽位的業(yè)務(wù)處理能力

  適應(yīng)大帶寬的發(fā)展,每槽位支持16K用戶,平均每用戶要支持2-4Mbps的帶寬,這樣就要求下一代BNG設(shè)備支持40G/slot的高帶寬處理能力。

  (3)完善的業(yè)務(wù)處理板卡,提供面向未來的增值服務(wù)

  隨著用戶控制的深入發(fā)展,需要BNG設(shè)備提供DPI(深入包檢測),IPSec安全接入,視頻和LTE移動業(yè)務(wù)網(wǎng)關(guān)的支持。

 ?。?)層次化QoS

  城域網(wǎng)的接入部分(特別是最后一公里)是全網(wǎng)的帶寬瓶頸,而通常接入網(wǎng)匯聚設(shè)備(以太網(wǎng)交換機)的QoS控制機制比較弱。因此,要求業(yè)務(wù)網(wǎng)關(guān)(BNG)設(shè)備上部署H-QoS機制,從而降低對接入網(wǎng)關(guān)以下的設(shè)備的QoS性能要求,降低了接入網(wǎng)的成本,簡化了QoS管理。

  要求BNG最多可達三級調(diào)度,實現(xiàn)針對每用戶,每業(yè)務(wù),每應(yīng)用的QoS策略,從而實現(xiàn)網(wǎng)絡(luò)帶寬的靈活調(diào)度及業(yè)務(wù)管理。

  采用BNG設(shè)備作為網(wǎng)絡(luò)業(yè)務(wù)的控制點,先網(wǎng)演進建議按如下三個階段進行:

  * 第一階段:原有HSI業(yè)務(wù)仍然通過PPPoE方式由BRAS承載,綜合業(yè)務(wù)用戶、包月用戶等通過IPoE方式認證的業(yè)務(wù)通過BNG承載。新增HSI 業(yè)務(wù)通過PPPoE方式由BNG設(shè)備承載。

  * 第二階段:隨HSI業(yè)務(wù)發(fā)展, 現(xiàn)網(wǎng)BRAS設(shè)備必將不能滿足大接入帶寬的需求,建議逐步將原有用戶割接至BNG設(shè)備。

  * 第三階段:網(wǎng)絡(luò)形成BNG的單邊緣架構(gòu),在業(yè)務(wù)控制層部署基于每用戶,每業(yè)務(wù),每應(yīng)用的控制策略,部署H-QoS,配和骨干網(wǎng)QoS策略,實現(xiàn)用戶管理,差異化服務(wù)和精細運行。

  6、 上海貝爾BNG設(shè)備

  上海貝爾的7750SR是業(yè)界第一個50G平臺(IOM3)的BNG設(shè)備,兼?zhèn)鋫鹘y(tǒng)意義的SR和BRAS功能,同時能夠支持PPPoE/IPoE/VPN等多種業(yè)務(wù),產(chǎn)品主要特點如下:

  1) 7750SR能夠支持單板50G線速端口能力、整機500G線速端口能力(40個10GE線速端口,500個GE線速端口)

  2) 7750SR整機支持128K并發(fā)用戶,單板卡支持40K并發(fā)用戶會話,并同時保證線速性能,具備業(yè)界領(lǐng)先的業(yè)務(wù)擴展能力和處理性能;

  3) 7750能夠滿足在滿負荷、綜合業(yè)務(wù)承載下保持高性能線速轉(zhuǎn)發(fā);

  4) 7750支持靈活的不同模式下(每用戶每VLAN,每業(yè)務(wù)每VLAN等)的多層次用戶QOS控制,能夠支持跨不同VLAN下的層次化QoS,能夠具備豐富的QoS特性為多業(yè)務(wù)承載提供完善地保證;

  5) 7750SR支持IPoE Session雙機熱備技術(shù);

  6) 7750支持NSR/NSS和ISSU,可以做到主控引擎切換時,PPPoE/IPOE業(yè)務(wù)不中斷;

  7) 7750SR具備業(yè)界最完善的防DOS攻擊體系,主控卡上具備硬件防火墻能力,能夠基于每用戶Session提供防DOS攻擊能力;

  8) 7750SR可內(nèi)置AA-ISA卡,提供基于每個用戶的深度包檢測功能,能夠監(jiān)測每個用戶的每種internet應(yīng)用并加以控制,比如P2P,Skype,BT等;

  9) 7750SR可內(nèi)置Video業(yè)務(wù)應(yīng)用處理卡,提供頻道快速切換、故障幀快速重傳等增強的IPTV支持技術(shù),和定向廣告插入等IPTV增值服務(wù)。

  作為BNG設(shè)備,7750SR具有業(yè)界最為領(lǐng)先業(yè)務(wù)處理能力,在全球的一線運營商如AT&T都有大量的成功應(yīng)用案例。

  7、 總結(jié)

  由于IPoE在綜合業(yè)務(wù)承載方面據(jù)有的明顯優(yōu)勢并適用于綜合業(yè)務(wù)承載及包月用戶,使其將成為未來的主要認證方式,。而PPPoE具有良好的市場環(huán)境,在一段時間內(nèi)也將被保留下來,作為高速上網(wǎng)業(yè)務(wù)的主要認證方式。IPoE和PPPoE認證方式均有大量的商用案例,各個運營商根據(jù)不同的業(yè)務(wù)類型,靈活選擇認證方式,運營商可用同一套RADIUS系統(tǒng)支持兩種認證方式。

  BNG設(shè)備的產(chǎn)生為運營商根據(jù)業(yè)務(wù)需求靈活選擇認證方式提供條件。網(wǎng)絡(luò)結(jié)構(gòu)可簡化為單邊緣架構(gòu),在同一設(shè)備,同一端口下同時接入PPPoE和IPoE,從而實現(xiàn)對用戶資源及QoS策略的統(tǒng)一部署和管理,同時實現(xiàn)對每用戶/每業(yè)務(wù)的精細化控制和QoS保證,是業(yè)務(wù)融合的方向。

 

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。