《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 三網(wǎng)融合業(yè)務接入控制方式的研究及實現(xiàn)
三網(wǎng)融合業(yè)務接入控制方式的研究及實現(xiàn)
泰爾網(wǎng)
杜寶林
摘要: 三網(wǎng)融合業(yè)務接入控制方式的研究及實現(xiàn),1引言目前,電信運營商發(fā)展寬帶接入業(yè)務主要采用的是PPPoE接入控制,Radius認證的方式管理用
Abstract:
Key words :

1 引言

目前,電信運營商發(fā)展寬帶接入業(yè)務主要采用的是PPPoE接入控制" title="接入控制">接入控制,Radius認證的方式管理用戶。這種方式采用動態(tài)分配IP地址,對每用戶帶寬進行控制,很好地支持了寬帶業(yè)務的發(fā)展。由于寬帶應用業(yè)務呈現(xiàn)多樣化的發(fā)展趨勢,特別是三網(wǎng)融合" title="三網(wǎng)融合">三網(wǎng)融合試點工作的啟動,IPTV等流媒體業(yè)務和智能設備接入應用業(yè)務不同于一般的網(wǎng)頁內容推送寬帶業(yè)務,PPPoE接入方式已不能滿足發(fā)展要求。IPoE接入控制方式不需要安裝客戶端程序,不需要輸入用戶名和密碼,屬于零配置部署,非常適合新型的網(wǎng)絡終端設備,如IPTV機頂盒,WLAN,手持IP終端,視頻監(jiān)控,VoIP等零配置需求的終端。在三網(wǎng)融合的大背景下,IPoE方式提供規(guī)模發(fā)展IPTV業(yè)務的接入控制解決方案尤其有深遠意義。目前,主流的接入認證控制技術主要包括PPPoE和IPoE。

2 主流接入認證控制方式

2.1 PPPoE認證技術

(l)PPPoE認證簡介

PPPoE(PolntoPoilltProtocaloverEtherne)指在以太網(wǎng)上承載PPP協(xié)議,利用以太網(wǎng)將大量的主機組成網(wǎng)絡,接入因特網(wǎng),并對接入的每一個主機實現(xiàn)控制。PPPoE是在以太網(wǎng)上對PPP的封裝,提供了在以太網(wǎng)廣播鏈路上進行點對點通信的能力。PPP協(xié)議通過3個協(xié)議協(xié)商階段:鏈路控制協(xié)議LCP,認證協(xié)議(PAP,CHAP),網(wǎng)絡控制協(xié)議NCP,解決了鏈路建立、維護、拆除、上層協(xié)議協(xié)商、認證等問題。撥號后,用戶計算機和局端接入服務器(BRAS)在LCP階段協(xié)商底層鏈路參數(shù);在認證階段將用戶名和密碼發(fā)送給接入服務器認證,接入服務器可以進行本地認證,可以通過RadiSS協(xié)議將用戶名和密碼發(fā)送給AAA服務器進行認證。認證通過后,在NCP(IPCP)協(xié)商階段,接入服務器給用戶計算機分配網(wǎng)絡層參數(shù)(如IP地址等)。經過PPP的3個協(xié)商階段成功后,用戶就可以發(fā)送和接受網(wǎng)絡報文,用戶收發(fā)的所有網(wǎng)絡層報文都封裝在PPP報文中。PPP協(xié)議具備的身份驗證功能很好地解決了以太網(wǎng)上的用戶安全管理問題。

(2)PPPoE特點

PPPoE認證因其標準性、互通性好的特點而被廣泛應用,商用成熟;PPPoE認證撥號軟件與主流的PC操作系統(tǒng)可以良好地兼容,或已經內置于操作系統(tǒng)中;PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性,被廣泛應用于寬帶接入認證。

PPPoE的認證機制相對復雜,對設備處理性能。內存資源要求較高,而且用戶需要一個認證的等待過程。因PPPoE終結于BRAS,BRAS與主機之問通過PPP建立起來的大量點到點的連接,所經過的交換機不能識別PPPoE報文格式,只能迸行轉發(fā),無法迸行針對VLAN等信息的組播復制,使組播復制點只能選擇在BRAS設備上。BRAS設備暴露出的局限性無法滿足寬帶多媒體業(yè)務迅速發(fā)展的需求。

2.2 IPoE認證技術

(1)IPoE認證簡介

IPoE利用DHCPOPTION信息實現(xiàn)了業(yè)務終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實現(xiàn)認證和自動配置,也可以通過DHCP+Web方式實現(xiàn)基于用戶名和密碼的認證。

DHCP是指動態(tài)主機配置協(xié)議,通過DHCP客戶端,利用自動發(fā)現(xiàn)機制嘗試與DHCP服務器建立通信。DHCP提供IP配置參數(shù),對用戶端的IP層進行配置。DHCP協(xié)議沒有認證的功能,但可以配合其他技術實現(xiàn)認證,比如DHCP+Web方式,DHCP+客戶端方式和利用DHCP+OPTION擴展宇段進行認證。這些方式都統(tǒng)稱為DHCP+認證?,F(xiàn)討論的主要是DHCP+OPTION擴展字段進行認證,又稱為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132)和OPTION82(RFC3046)。其中,OPTION60中帶有Vendor和Service Option信息,是用戶終端發(fā)起DHCP請求時攜帶的信息,網(wǎng)絡設備只需透傳即可。其作用是用來識別用戶終端類型,進而識別用戶業(yè)務類型,DHCP服務器可以據(jù)此分配不同的業(yè)務IP地址。OPTION82信息是由網(wǎng)絡設備插入在終端發(fā)出的DHCP報文中,主要用來標識用戶終端的接入位置,實現(xiàn)用戶和線路的精確綁定,保證了DHCP接入的安全性和真實性,DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進行插入。

作為IPoE客戶端的用戶終端設備,產生DHCP消息,中間設備插入各種DHCP Option進行用戶綁定,業(yè)務綁定等。BRAS或SR等寬帶網(wǎng)絡網(wǎng)關控制設備(Broadband Network Gatewny)負責DHCP消息到Radius認證消息的翻譯。與Radius進行認證、授權、計費功能。認證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。Radius等IPoE業(yè)務控制系統(tǒng),能夠動態(tài)調整每用戶的帶寬和QoS屬性,提供基于預付費、流量、時長等多種計費手段。對用戶管理控制,并提供差異化的服務。

(2)IPo的認證特點

·基于用戶物理位置(VLANyVCID標示)的認證和計費,連接網(wǎng)絡時不需輸入用戶名和密碼,對于永遠在線的應用和不愿意輸入用戶名和密碼的用戶非常適合。

·DHCP+(option60/Option82)對DHCP協(xié)議進行了擴展,增加了安全(防DoS攻擊及地址仿冒)、監(jiān)控、用戶識別等特性。與Radius相結合提供計費功能,便于運營。

·組播部署靈活,可高效實現(xiàn)組播復制,井把組播復制點下移至小區(qū)交換機、DSLAM等網(wǎng)絡末梢。減輕網(wǎng)絡壓力,節(jié)約接入網(wǎng)的帶寬。
門IPoE認證的安全措施

IPoE認證沒有像PPPoE認證那樣在網(wǎng)絡層面提供惟一的點到點的通信機制,運營商在部署IPoE認證時,要重點關注安全問題。網(wǎng)絡各層面的設備通過協(xié)同工作,增強網(wǎng)絡的安全性。具體的安全保障措施如下:

·防地址欺騙

DHCP屬于數(shù)據(jù)和認證分離的控制方式,安全性不及PPPoE,為防止用戶靜態(tài)配置IP地址,或者網(wǎng)絡盜用,可以在接入設備或者業(yè)務路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節(jié)點,在偵聽到DHCP Offer消息時,生成IP和MAC的綁定關系,只有源MAC和IP匹配的IPoE幀才可以通過,否則丟棄。這樣只有經過DHCP認證的用戶才可以得到網(wǎng)絡服務,未經認證,或者靜態(tài)配置IP地址的終端不能得到服務。還可以基于OPTION82信息對用戶的線路號進行識別認證來保證安全性。

·用戶終端數(shù)限制通過系統(tǒng)將每個業(yè)務接入點連接的用戶終端數(shù)量進行限制。

·防DOS攻擊

在Radius中將用戶的MAC地址和線路號綁定。在Radius數(shù)據(jù)庫中查詢到MAC地址和線路號,DHCP的請求方可經Radius服務器認證通過后被送到DHCP Server,才能獲得IP地址。這種方式降低了通過發(fā)送大量的DHCP請求,模擬不同MAC地址的請求,攻擊DHCP Server的風險。

在用戶通過認證獲得IP地址之前,設定DHCP數(shù)據(jù)包能夠通過的數(shù)量限制,降低Radius Server的壓力。如對來自同一個DSLAM線路號的Radius請求數(shù)量作控制,比如1s內,最多允許1個請求,如連續(xù)出現(xiàn)多個請求,則認為發(fā)生攻擊,直接丟棄Radius數(shù)據(jù)包。依靠這種機制解決大量的DHCP請求發(fā)送到Radius服務器的風險。

·其它安全措施

禁止用戶端口間直接轉發(fā)的端口隔離;通過VLAN隔離方式進行業(yè)務隔離。

2.3 PPPoE和IPoE對比分析

引入IPoE系統(tǒng)之后,IPoE可以完成原有PPPoE系統(tǒng)的所有功能,同時還能提供如下優(yōu)勢:

(1)終端支持

所有支持IP協(xié)議的設備都支持,不需要安裝第三方撥號軟件,可以廣泛支持各種手持設備、移動設備、視頻設備等。

(2)報文開銷

由于PPPoE報文引入了PPPoE頭(6Bytes)和PPP頭(2Bytes),所以在所有用戶流量里面增加了8個字節(jié)的協(xié)議開銷,對于高帶寬的應用(8M的高清電視等),處理能力不高的終端設備壓力很大。

(3)組播復制

由于PPPoE報文是在BRAS設備和用戶之間建立點對點連接,中間的交換機層次不能很好地理解PPPoE報文格式,只能進行轉發(fā),無法進行針對VLAN等信息的有效組播復制。所以采用PPPoE迸行組播業(yè)務的開展,組播復制點只能是BRAS設備,而采用IPoE,可以把組播復制點下移到DSLAM,一方面減少了BRAS設備的壓力,另一方面也極大地節(jié)約了網(wǎng)絡接入層帶寬。

(4)用戶冗余

IPoE方式可以對接入的用戶數(shù)量進行控制,如采用Portal方式,其增值業(yè)務能力較強。

根據(jù)上述討論,在終端支持、封裝開銷和組播支持認證效率等方面,IPoE認證具有較明顯的優(yōu)勢。缺點是對用戶的控制力度不足,在用戶認證/策略控制/地址分配/會話監(jiān)控等方面有待完善。

3 業(yè)務按入控制技術實現(xiàn)

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業(yè)務承載方面具有的明顯優(yōu)勢,可能成為未來的主要認證方式。而PPPoE作為目前寬帶業(yè)務的主要認證方式也將長期存在。根據(jù)不同的業(yè)務類型,靈活選擇IPoE和PPPoE認證方式,可用同一套Ra山us系統(tǒng)支持兩種認證方式。通過部署多邊緣接入架構,實現(xiàn)對每用戶/每業(yè)務的精細化控制和QOS保證,是業(yè)務融合的方向。

(1)單邊緣接入控制

如圖1所示,單邊緣業(yè)務接入模式是指用戶的寬帶上網(wǎng)業(yè)務和IPTV業(yè)務共用相同的接入控制點BRAS。PC使用PPPoE方式接入BRAS,TV既可采用PPPoE方式,也可使用DHCP/專線的方式接入BRAS。當使用PPPoE方式時,可以利用不同的域名或不同的VP/LVACN來區(qū)分接入是來自機頂盒,還是來自PC;當采用DHCP方式時,可以利用機頂盒的MAC地址和DHCP Option60,或DHCP Option82控制對機頂盒分配地址。寬帶網(wǎng)承載的NGN語音業(yè)務,可以采用BRAS兼作PE構建MPLSVPN。

圖1 單邊緣接入方式

(2)多邊緣接入控制

如圖2所示,多(雙)邊緣接入模式是指寬帶上網(wǎng)業(yè)務和IPTV業(yè)務分別由專用的業(yè)務接入控制點提供。寬帶上網(wǎng)業(yè)務仍由原有的BRAS作為業(yè)務控制點;IPTV業(yè)務則使用SR作為控制點,STB采用DHCP/專線接入方式;NGN語音業(yè)務使用另外的SR作為控制點,或者與IPTV業(yè)務共用SR。不同的業(yè)務一般由匯聚交換機根據(jù)VLANID分離后,進入相應的業(yè)務控制設備。

圖2 多邊緣接入方式

(3)業(yè)務接入控制方案

如采用單邊緣接入,隨著IPTV用戶數(shù)量的增加將會加重BRAS負荷,造成端口的帶寬緊張。BRAS如再兼作PE,設備可能將不堪重負。在理論上,上網(wǎng)業(yè)務,IPTV業(yè)務,NGN語音業(yè)務可以共用BRAS接入,但實際應用時需考慮設備的承載能力,考慮設備的設計定位。

如采用多(雙)邊緣接入控制方式,需從終端起,在二層接入網(wǎng)絡中為每個用戶的每種業(yè)務部署不同的二層虛通道PV(/LVAC),將增加二層網(wǎng)絡的復雜性。為減輕復雜性,可采用單通道接入,再利用匯聚交換機具備的業(yè)務感知能力分離不同的業(yè)務。這種方式使不同的業(yè)務接入控制點之問,難以進行不同業(yè)務間的流量控制和協(xié)調。

在建網(wǎng)初期,可以將BRAS作為IPTV業(yè)務的接入網(wǎng)關,但隨著用戶數(shù)的增長,BRAS承載壓力加大。所以可以單設SR作為IPTV業(yè)務業(yè)務接入控制點(見表1)。

表1 接入控制方式的選擇

如果城域網(wǎng)的POP點用戶規(guī)模偏大,建議采用雙邊緣/多邊緣方式,部分業(yè)務量偏少,業(yè)務發(fā)展?jié)摿Σ淮蟮目h級POP點采用單邊緣方式。在同一城域網(wǎng)內盡可能地使用一種方案。如IPTV業(yè)務由BRAS作為業(yè)務控制點,則通常采用PPPoE的方式提供,Radius認證。如果由SR作為業(yè)務控制點,通常采用IPoE方式提供,DHCP認證。

3.2寬帶網(wǎng)絡業(yè)務網(wǎng)關

從前面的技術分析看出,IPoE和PPPoE將在一段時期內并存,滿足不同業(yè)務需求。無論采用何種認證機制,都需要部署業(yè)務接入控制網(wǎng)關來對用戶的接入。認證、會話及QOS等策略進行管理。網(wǎng)絡邊緣業(yè)務控制設備從僅支持PPPoE的設備(如BRAS)向TR101架構定義的寬帶網(wǎng)絡業(yè)務網(wǎng)關(BNG同時支持PPPoE和IPoE)演進。傳統(tǒng)的BRAS是為支持PPPoE協(xié)議而設計的設備,通過增加IPoE功能演變?yōu)锽NG設備。傳統(tǒng)的業(yè)務路由器支持高帶寬的IPoE用戶控制,通過增加PPPoE功能而演進為BNG設備。

接入網(wǎng)是城域網(wǎng)的帶寬瓶頸,小區(qū)以太網(wǎng)交換機的QOS控制機制弱。需在網(wǎng)關設備上部署H-QOS機制,以降低接入網(wǎng)設備的QOS性能要求,簡化QOS管理。要求BNG最多可達三級調度,實現(xiàn)針對每用戶、每業(yè)務、每應用的QoS策略,從而實現(xiàn)帶寬的靈活調度及業(yè)務管理。

3.3 IPoE部署方案

IPoE分為非Session級和Session級出RAS集中控制用戶會話,先認證后分配地址)兩種方式。若采用多邊緣方式提供IPTV業(yè)務,對Session級控制無需求,可采用非Session級方式,否則,采用Session級方式。Session級IPoE更適合現(xiàn)在和未來業(yè)務的部署,實現(xiàn)多業(yè)務承載和業(yè)務精細化運營。

(1)IPoE的部署基于BRAS的IPoE部署

·現(xiàn)網(wǎng)可支持IPoE的大容量BRAS,通過軟件升級、硬件板卡擴容等方式進行部署,實現(xiàn)綜合業(yè)務承載的單邊緣架構。

·現(xiàn)網(wǎng)無法支持IPoE的小容量BRAS,應保持現(xiàn)狀以承載PPPoE為主。同時在其位置新部署大容量BRAS設備,承載IPoE業(yè)務,即PPoE+IPoE的雙邊緣架構。待小容量BRAS逐步退網(wǎng)后,大容量BRAS實現(xiàn)綜合業(yè)務承載的單邊緣架構。

(2)IPoE的部署基于BRAS,SR分散承載的IPoE部署

結合現(xiàn)有設備的部署現(xiàn)狀,也可以部署SR專門承載IPTV等視頻業(yè)務,使BRAS,SR分散承載業(yè)務,負荷分擔。
  (3)DHCPServer系統(tǒng)的部署

在IPTV業(yè)務中,建議IPTV業(yè)務的地址統(tǒng)一管理,集中部署DHCP Serve系統(tǒng)(實際上包括DHCPServer,認證服務器和數(shù)據(jù)庫三部分),為IPTV終端分配P地址,業(yè)務路由器(SR)啟用DHCP Relay功能,而不是內置的DHCP Server。DHCP Server系統(tǒng)是IPoE業(yè)務網(wǎng)絡迸人認證的核心,負責用戶的認證和地址分配。集中部署DHCP Server便于部署統(tǒng)一的地址分配策略,這些地址分配策略與其它網(wǎng)絡控制、管理策略相結合,可以提供差異化服務,從而衍生出一系列的增值產品,如VIP客戶的地址池與網(wǎng)絡QoS相結合,可以保證VIP客戶的IPTV業(yè)務體驗。

4 結束語

目前,中等城市的城域網(wǎng)采用PPPoE方式接入的寬帶用戶在數(shù)十萬量級,特大型城市要在數(shù)百萬級。顯然PPPoE方式經歷了實踐中的大規(guī)模應用檢驗。IPoE方式還處在初期應用階段,需要在規(guī)模應用過程中不斷完善。通過在推廣IPTV,手持終端應用等業(yè)務的過程中,發(fā)現(xiàn)IPoE方式存在的不足,并改進和完善,使基于IPoE方式的技術方案能夠推動業(yè)務的普遍應用。
 

此內容為AET網(wǎng)站原創(chuàng),未經授權禁止轉載。