精品久久不卡_三網(wǎng)融合接入控制方式的研究及實(shí)現_融合通信_電信

三網(wǎng)融合接入控制方式的研究及實(shí)現

杜寶林 2010/11/30

1.引言

　　目前，電信運營(yíng)商發(fā)展寬帶接入業(yè)務(wù)主要采用的是PPPoE接入控制，Radius認證的方式管理用戶(hù)。這種方式采用動(dòng)態(tài)分配IP地址，對每用戶(hù)帶寬進(jìn)行控制，很好地支持了寬帶業(yè)務(wù)的發(fā)展。由于寬帶應用業(yè)務(wù)呈現多樣化的發(fā)展趨勢，特別是三網(wǎng)融合試點(diǎn)工作的啟動(dòng)，IPTV等流媒體業(yè)務(wù)和智能設備接入應用業(yè)務(wù)不同于一般的網(wǎng)頁(yè)內容推送寬帶業(yè)務(wù)，PPPoE接入方式已不能滿(mǎn)足發(fā)展要求。IPoE接入控制方式不需要安裝客戶(hù)端程序，不需要輸入用戶(hù)名和密碼，屬于零配置部署，非常適合新型的網(wǎng)絡(luò )終端設備，如IPTV機頂盒，WLAN，手持IP終端，視頻監控，VoIP等零配置需求的終端。在三網(wǎng)融合的大背景下，IPoE方式提供規模發(fā)展IPTV業(yè)務(wù)的接入控制解決方案尤其有深遠意義。目前，主流的接入認證控制技術(shù)主要包括PPPoE和IPoE。

2.主流接入認證控制方式

　　2.1 PPPoE認證技術(shù)

　　(l)PPPoE認證簡(jiǎn)介

　　PPPoE(PolntoPoilltProtocaloverEtherne）指在以太網(wǎng)上承載PPP協(xié)議，利用以太網(wǎng)將大量的主機組成網(wǎng)絡(luò )，接入因特網(wǎng)，并對接入的每一個(gè)主機實(shí)現控制。PPPoE是在以太網(wǎng)上對PPP的封裝，提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對點(diǎn)通信的能力。PPP協(xié)議通過(guò)3個(gè)協(xié)議協(xié)商階段：鏈路控制協(xié)議LCP，認證協(xié)議（PAP，CHAP)，網(wǎng)絡(luò )控制協(xié)議NCP，解決了鏈路建立、維護、拆除、上層協(xié)議協(xié)商、認證等問(wèn)題。撥號后，用戶(hù)計算機和局端接入服務(wù)器（BRAS）在LCP階段協(xié)商底層鏈路參數；在認證階段將用戶(hù)名和密碼發(fā)送給接入服務(wù)器認證，接入服務(wù)器可以進(jìn)行本地認證，可以通過(guò)RadiSS協(xié)議將用戶(hù)名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認證。認證通過(guò)后，在NCP(IPCP）協(xié)商階段，接入服務(wù)器給用戶(hù)計算機分配網(wǎng)絡(luò )層參數（如IP地址等）。經(jīng)過(guò)PPP的3個(gè)協(xié)商階段成功后，用戶(hù)就可以發(fā)送和接受網(wǎng)絡(luò )報文，用戶(hù)收發(fā)的所有網(wǎng)絡(luò )層報文都封裝在PPP報文中。PPP協(xié)議具備的身份驗證功能很好地解決了以太網(wǎng)上的用戶(hù)安全管理問(wèn)題。

　　(2)PPPoE特點(diǎn)

　　PPPoE認證因其標準性、互通性好的特點(diǎn)而被廣泛應用，商用成熟；PPPoE認證撥號軟件與主流的PC操作系統可以良好地兼容，或已經(jīng)內置于操作系統中；PPPoE通過(guò)惟一的Session-ID可以很好地保障用戶(hù)的安全性，被廣泛應用于寬帶接入認證。

　　PPPoE的認證機制相對復雜，對設備處理性能。內存資源要求較高，而且用戶(hù)需要一個(gè)認證的等待過(guò)程。因PPPoE終結于BRAS，BRAS與主機之問(wèn)通過(guò)PPP建立起來(lái)的大量點(diǎn)到點(diǎn)的連接，所經(jīng)過(guò)的交換機不能識別PPPoE報文格式，只能迸行轉發(fā)，無(wú)法迸行針對VLAN等信息的組播復制，使組播復制點(diǎn)只能選擇在BRAS設備上。BRAS設備暴露出的局限性無(wú)法滿(mǎn)足寬帶多媒體業(yè)務(wù)迅速發(fā)展的需求。

　　2.2 IPoE認證技術(shù)

　　(1)IPoE認證簡(jiǎn)介

　　IPoE利用DHCPOPTION信息實(shí)現了業(yè)務(wù)終端的零配置部署。IPoE既能通過(guò)元須用戶(hù)名和密碼的方式即可實(shí)現認證和自動(dòng)配置，也可以通過(guò)DHCP+Web方式實(shí)現基于用戶(hù)名和密碼的認證。

　　DHCP是指動(dòng)態(tài)主機配置協(xié)議，通過(guò)DHCP客戶(hù)端，利用自動(dòng)發(fā)現機制嘗試與DHCP服務(wù)器建立通信。DHCP提供IP配置參數，對用戶(hù)端的IP層進(jìn)行配置。DHCP協(xié)議沒(méi)有認證的功能，但可以配合其他技術(shù)實(shí)現認證，比如DHCP+Web方式，DHCP＋客戶(hù)端方式和利用DHCP+OPTION擴展宇段進(jìn)行認證。這些方式都統稱(chēng)為DHCP＋認證。現討論的主要是DHCP+OPTION擴展字段進(jìn)行認證，又稱(chēng)為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132）和OPTION82(RFC3046）。其中，OPTION60中帶有Vendor和Service Option信息，是用戶(hù)終端發(fā)起DHCP請求時(shí)攜帶的信息，網(wǎng)絡(luò )設備只需透傳即可。其作用是用來(lái)識別用戶(hù)終端類(lèi)型，進(jìn)而識別用戶(hù)業(yè)務(wù)類(lèi)型，DHCP服務(wù)器可以據此分配不同的業(yè)務(wù)IP地址。OPTION82信息是由網(wǎng)絡(luò )設備插入在終端發(fā)出的DHCP報文中，主要用來(lái)標識用戶(hù)終端的接入位置，實(shí)現用戶(hù)和線(xiàn)路的精確綁定，保證了DHCP接入的安全性和真實(shí)性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進(jìn)行插入。

　　作為IPoE客戶(hù)端的用戶(hù)終端設備，產(chǎn)生DHCP消息，中間設備插入各種DHCP Option進(jìn)行用戶(hù)綁定，業(yè)務(wù)綁定等。BRAS或SR等寬帶網(wǎng)絡(luò )網(wǎng)關(guān)控制設備（Broadband Network Gatewny）負責DHCP消息到Radius認證消息的翻譯。與Radius進(jìn)行認證、授權、計費功能。認證通過(guò)后，下放Radius返回的每用戶(hù)QoS，訪(fǎng)問(wèn)控制的列表等功能，同時(shí)對通過(guò)設備的流量/時(shí)長(cháng)進(jìn)行計費。Radius等IPoE業(yè)務(wù)控制系統，能夠動(dòng)態(tài)調整每用戶(hù)的帶寬和QoS屬性，提供基于預付費、流量、時(shí)長(cháng)等多種計費手段。對用戶(hù)管理控制，并提供差異化的服務(wù)。

　　(2)IPo的認證特點(diǎn)

　　基于用戶(hù)物理位置（VLANyVCID標示）的認證和計費，連接網(wǎng)絡(luò )時(shí)不需輸入用戶(hù)名和密碼，對于永遠在線(xiàn)的應用和不愿意輸入用戶(hù)名和密碼的用戶(hù)非常適合。

　　DHCP+（option60/Option82）對DHCP協(xié)議進(jìn)行了擴展，增加了安全（防DoS攻擊及地址仿冒）、監控、用戶(hù)識別等特性。與Radius相結合提供計費功能，便于運營(yíng)。

　　組播部署靈活，可高效實(shí)現組播復制，井把組播復制點(diǎn)下移至小區交換機、DSLAM等網(wǎng)絡(luò )末梢。減輕網(wǎng)絡(luò )壓力，節約接入網(wǎng)的帶寬。

　　門(mén)IPoE認證的安全措施

　　IPoE認證沒(méi)有像PPPoE認證那樣在網(wǎng)絡(luò )層面提供惟一的點(diǎn)到點(diǎn)的通信機制，運營(yíng)商在部署IPoE認證時(shí)，要重點(diǎn)關(guān)注安全問(wèn)題。網(wǎng)絡(luò )各層面的設備通過(guò)協(xié)同工作，增強網(wǎng)絡(luò )的安全性。具體的安全保障措施如下：

防地址欺騙

　　DHCP屬于數據和認證分離的控制方式，安全性不及PPPoE，為防止用戶(hù)靜態(tài)配置IP地址，或者網(wǎng)絡(luò )盜用，可以在接入設備或者業(yè)務(wù)路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節點(diǎn)，在偵聽(tīng)到DHCP Offer消息時(shí)，生成IP和MAC的綁定關(guān)系，只有源MAC和IP匹配的IPoE幀才可以通過(guò)，否則丟棄。這樣只有經(jīng)過(guò)DHCP認證的用戶(hù)才可以得到網(wǎng)絡(luò )服務(wù)，未經(jīng)認證，或者靜態(tài)配置IP地址的終端不能得到服務(wù)。還可以基于OPTION82信息對用戶(hù)的線(xiàn)路號進(jìn)行識別認證來(lái)保證安全性。

用戶(hù)終端數限制通過(guò)系統將每個(gè)業(yè)務(wù)接入點(diǎn)連接的用戶(hù)終端數量進(jìn)行限制。

防DOS攻擊

　　在Radius中將用戶(hù)的MAC地址和線(xiàn)路號綁定。在Radius數據庫中查詢(xún)到MAC地址和線(xiàn)路號，DHCP的請求方可經(jīng)Radius服務(wù)器認證通過(guò)后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過(guò)發(fā)送大量的DHCP請求，模擬不同MAC地址的請求，攻擊DHCP Server的風(fēng)險。

　　在用戶(hù)通過(guò)認證獲得IP地址之前，設定DHCP數據包能夠通過(guò)的數量限制，降低Radius Server的壓力。如對來(lái)自同一個(gè)DSLAM線(xiàn)路號的Radius請求數量作控制，比如1s內，最多允許1個(gè)請求，如連續出現多個(gè)請求，則認為發(fā)生攻擊，直接丟棄Radius數據包。依靠這種機制解決大量的DHCP請求發(fā)送到Radius服務(wù)器的風(fēng)險。

其它安全措施

　　禁止用戶(hù)端口間直接轉發(fā)的端口隔離；通過(guò)VLAN隔離方式進(jìn)行業(yè)務(wù)隔離。

　　2.3 PPPoE和IPoE對比分析

　　引入IPoE系統之后，IPoE可以完成原有PPPoE系統的所有功能，同時(shí)還能提供如下優(yōu)勢：

　　（1）終端支持

　　所有支持IP協(xié)議的設備都支持，不需要安裝第三方撥號軟件，可以廣泛支持各種手持設備、移動(dòng)設備、視頻設備等。

　　（2）報文開(kāi)銷(xiāo)

　　由于PPPoE報文引入了PPPoE頭（6Bytes）和PPP頭(2Bytes），所以在所有用戶(hù)流量里面增加了8個(gè)字節的協(xié)議開(kāi)銷(xiāo)，對于高帶寬的應用（8M的高清電視等），處理能力不高的終端設備壓力很大。

　　（3）組播復制

　　由于PPPoE報文是在BRAS設備和用戶(hù)之間建立點(diǎn)對點(diǎn)連接，中間的交換機層次不能很好地理解PPPoE報文格式，只能進(jìn)行轉發(fā)，無(wú)法進(jìn)行針對VLAN等信息的有效組播復制。所以采用PPPoE迸行組播業(yè)務(wù)的開(kāi)展，組播復制點(diǎn)只能是BRAS設備，而采用IPoE，可以把組播復制點(diǎn)下移到DSLAM，一方面減少了BRAS設備的壓力，另一方面也極大地節約了網(wǎng)絡(luò )接入層帶寬。

　　（4）用戶(hù)冗余

　　IPoE方式可以對接入的用戶(hù)數量進(jìn)行控制，如采用Portal方式，其增值業(yè)務(wù)能力較強。

　　根據上述討論，在終端支持、封裝開(kāi)銷(xiāo)和組播支持認證效率等方面，IPoE認證具有較明顯的優(yōu)勢。缺點(diǎn)是對用戶(hù)的控制力度不足，在用戶(hù)認證／策略控制／地址分配／會(huì )話(huà)監控等方面有待完善。

3.業(yè)務(wù)按入控制技術(shù)實(shí)現

　　3.1 單邊緣與多邊緣接入控制分析

　　由于IPoE在IPTV等新型業(yè)務(wù)承載方面具有的明顯優(yōu)勢，可能成為未來(lái)的主要認證方式。而PPPoE作為目前寬帶業(yè)務(wù)的主要認證方式也將長(cháng)期存在。根據不同的業(yè)務(wù)類(lèi)型，靈活選擇IPoE和PPPoE認證方式，可用同一套Ra山us系統支持兩種認證方式。通過(guò)部署多邊緣接入架構，實(shí)現對每用戶(hù)／每業(yè)務(wù)的精細化控制和QOS保證，是業(yè)務(wù)融合的方向。

　　(1）單邊緣接入控制

　　如圖1所示，單邊緣業(yè)務(wù)接入模式是指用戶(hù)的寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)共用相同的接入控制點(diǎn)BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP／專(zhuān)線(xiàn)的方式接入BRAS。當使用PPPoE方式時(shí)，可以利用不同的域名或不同的VP/LVACN來(lái)區分接入是來(lái)自機頂盒，還是來(lái)自PC；當采用DHCP方式時(shí)，可以利用機頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對機頂盒分配地址。寬帶網(wǎng)承載的NGN語(yǔ)音業(yè)務(wù)，可以采用BRAS兼作PE構建MPLSVPN。

單邊緣接入方式

圖1:單邊緣接入方式
　　（2）多邊緣接入控制

　　如圖2所示，多（雙）邊緣接入模式是指寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)分別由專(zhuān)用的業(yè)務(wù)接入控制點(diǎn)提供。寬帶上網(wǎng)業(yè)務(wù)仍由原有的BRAS作為業(yè)務(wù)控制點(diǎn)；IPTV業(yè)務(wù)則使用SR作為控制點(diǎn)，STB采用DHCP／專(zhuān)線(xiàn)接入方式；NGN語(yǔ)音業(yè)務(wù)使用另外的SR作為控制點(diǎn)，或者與IPTV業(yè)務(wù)共用SR。不同的業(yè)務(wù)一般由匯聚交換機根據VLANID分離后，進(jìn)入相應的業(yè)務(wù)控制設備。

多邊緣接入方式

圖2:多邊緣接入方式
　　（3）業(yè)務(wù)接入控制方案

　　如采用單邊緣接入，隨著(zhù)IPTV用戶(hù)數量的增加將會(huì )加重BRAS負荷，造成端口的帶寬緊張。BRAS如再兼作PE，設備可能將不堪重負。在理論上，上網(wǎng)業(yè)務(wù)，IPTV業(yè)務(wù)，NGN語(yǔ)音業(yè)務(wù)可以共用BRAS接入，但實(shí)際應用時(shí)需考慮設備的承載能力，考慮設備的設計定位。

　　如采用多（雙）邊緣接入控制方式，需從終端起，在二層接入網(wǎng)絡(luò )中為每個(gè)用戶(hù)的每種業(yè)務(wù)部署不同的二層虛通道PV(/LVAC)，將增加二層網(wǎng)絡(luò )的復雜性。為減輕復雜性，可采用單通道接入，再利用匯聚交換機具備的業(yè)務(wù)感知能力分離不同的業(yè)務(wù)。這種方式使不同的業(yè)務(wù)接入控制點(diǎn)之問(wèn)，難以進(jìn)行不同業(yè)務(wù)間的流量控制和協(xié)調。

　　在建網(wǎng)初期，可以將BRAS作為IPTV業(yè)務(wù)的接入網(wǎng)關(guān)，但隨著(zhù)用戶(hù)數的增長(cháng)，BRAS承載壓力加大。所以可以單設SR作為IPTV業(yè)務(wù)業(yè)務(wù)接入控制點(diǎn)（見(jiàn)表1）。

　　表1:接入控制方式的選擇

　　如果城域網(wǎng)的POP點(diǎn)用戶(hù)規模偏大，建議采用雙邊緣／多邊緣方式，部分業(yè)務(wù)量偏少，業(yè)務(wù)發(fā)展潛力不大的縣級POP點(diǎn)采用單邊緣方式。在同一城域網(wǎng)內盡可能地使用一種方案。如IPTV業(yè)務(wù)由BRAS作為業(yè)務(wù)控制點(diǎn)，則通常采用PPPoE的方式提供，Radius認證。如果由SR作為業(yè)務(wù)控制點(diǎn)，通常采用IPoE方式提供，DHCP認證。

　　3.2 寬帶網(wǎng)絡(luò )業(yè)務(wù)網(wǎng)關(guān)

　　從前面的技術(shù)分析看出，IPoE和PPPoE將在一段時(shí)期內并存，滿(mǎn)足不同業(yè)務(wù)需求。無(wú)論采用何種認證機制，都需要部署業(yè)務(wù)接入控制網(wǎng)關(guān)來(lái)對用戶(hù)的接入。認證、會(huì )話(huà)及QOS等策略進(jìn)行管理。網(wǎng)絡(luò )邊緣業(yè)務(wù)控制設備從僅支持PPPoE的設備（如BRAS）向TR101架構定義的寬帶網(wǎng)絡(luò )業(yè)務(wù)網(wǎng)關(guān)（BNG同時(shí)支持PPPoE和IPoE）演進(jìn)。傳統的BRAS是為支持PPPoE協(xié)議而設計的設備，通過(guò)增加IPoE功能演變?yōu)锽NG設備。傳統的業(yè)務(wù)路由器支持高帶寬的IPoE用戶(hù)控制，通過(guò)增加PPPoE功能而演進(jìn)為BNG設備。

　　接入網(wǎng)是城域網(wǎng)的帶寬瓶頸，小區以太網(wǎng)交換機的QOS控制機制弱。需在網(wǎng)關(guān)設備上部署H-QOS機制，以降低接入網(wǎng)設備的QOS性能要求，簡(jiǎn)化QOS管理。要求BNG最多可達三級調度，實(shí)現針對每用戶(hù)、每業(yè)務(wù)、每應用的QoS策略，從而實(shí)現帶寬的靈活調度及業(yè)務(wù)管理。

　　3.3 IPoE部署方案

　　IPoE分為非Session級和Session級出RAS集中控制用戶(hù)會(huì )話(huà)，先認證后分配地址）兩種方式。若采用多邊緣方式提供IPTV業(yè)務(wù)，對Session級控制無(wú)需求，可采用非Session級方式，否則，采用Session級方式。Session級IPoE更適合現在和未來(lái)業(yè)務(wù)的部署，實(shí)現多業(yè)務(wù)承載和業(yè)務(wù)精細化運營(yíng)。

　　(1)IPoE的部署基于BRAS的IPoE部署

　　現網(wǎng)可支持IPoE的大容量BRAS，通過(guò)軟件升級、硬件板卡擴容等方式進(jìn)行部署，實(shí)現綜合業(yè)務(wù)承載的單邊緣架構。

　　現網(wǎng)無(wú)法支持IPoE的小容量BRAS，應保持現狀以承載PPPoE為主。同時(shí)在其位置新部署大容量BRAS設備，承載IPoE業(yè)務(wù)，即PPoE+IPoE的雙邊緣架構。待小容量BRAS逐步退網(wǎng)后，大容量BRAS實(shí)現綜合業(yè)務(wù)承載的單邊緣架構。

　　(2)IPoE的部署基于BRAS,SR分散承載的IPoE部署

　　結合現有設備的部署現狀，也可以部署SR專(zhuān)門(mén)承載IPTV等視頻業(yè)務(wù)，使BRAS,SR分散承載業(yè)務(wù)，負荷分擔。

　　(3)DHCPServer系統的部署

　　在IPTV業(yè)務(wù)中，建議IPTV業(yè)務(wù)的地址統一管理，集中部署DHCP Serve系統（實(shí)際上包括DHCPServer，認證服務(wù)器和數據庫三部分），為IPTV終端分配P地址，業(yè)務(wù)路由器（SR）啟用DHCP Relay功能，而不是內置的DHCP Server。DHCP Server系統是IPoE業(yè)務(wù)網(wǎng)絡(luò )迸人認證的核心，負責用戶(hù)的認證和地址分配。集中部署DHCP Server便于部署統一的地址分配策略，這些地址分配策略與其它網(wǎng)絡(luò )控制、管理策略相結合，可以提供差異化服務(wù)，從而衍生出一系列的增值產(chǎn)品，如VIP客戶(hù)的地址池與網(wǎng)絡(luò )QoS相結合，可以保證VIP客戶(hù)的IPTV業(yè)務(wù)體驗。

4.結束語(yǔ)

　　目前，中等城市的城域網(wǎng)采用PPPoE方式接入的寬帶用戶(hù)在數十萬(wàn)量級，特大型城市要在數百萬(wàn)級。顯然PPPoE方式經(jīng)歷了實(shí)踐中的大規模應用檢驗。IPoE方式還處在初期應用階段，需要在規模應用過(guò)程中不斷完善。通過(guò)在推廣IPTV，手持終端應用等業(yè)務(wù)的過(guò)程中，發(fā)現IPoE方式存在的不足，并改進(jìn)和完善，使基于IPoE方式的技術(shù)方案能夠推動(dòng)業(yè)務(wù)的普遍應用。

共 3 頁(yè)：1 2 3

泰爾網(wǎng)

飛信成為融合通信時(shí)代的“掘金者” 2010-11-29

借鑒國外三網(wǎng)融合經(jīng)驗探究我國三網(wǎng)融合發(fā)展策略 2010-11-24

融合通信邁向縱深飛信拇指群開(kāi)拓新思路 2010-11-19

三網(wǎng)融合之：廣電、電信、廠(chǎng)商、城市新進(jìn)展 2010-11-17