|
1、 概述
隨著城域網(wǎng)寬帶業(yè)務的發(fā)展,可運營���、可管理的網(wǎng)絡建設理念已經(jīng)深入人心����。 市場方面�����,隨著用戶數(shù)量的增多����,每用戶帶寬增大,產(chǎn)生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式����,極大提高了用戶網(wǎng)絡使用體驗,電腦成為網(wǎng)絡接入的主要設備���。采用動態(tài)IP地址��,每用戶帶寬控制的PPPoE設備逐漸演變?yōu)殡娦胚\營商主要的接入方式����。隨著IP網(wǎng)絡的迅速發(fā)展,人們產(chǎn)生了把所有智能設備聯(lián)網(wǎng)的需求����。同時互聯(lián)網(wǎng)的內容從簡單的網(wǎng)頁推送演進為以流媒體為主,支持VoIP, IPTV等綜合業(yè)務�。隨著提供業(yè)務的多樣化,用戶認證方式作為可運營����、可管理的核心,受到包括運營商����、制造商的密切關注。目前討論的核心認證技術主要包括IPoE和PPPoE����。
PPPoE相關標準則是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明確定義的。2006年����,DSL(2008年改名Broadband)工作組綜合各個電信運營商在接入方式上的嘗試,為使新型Voice/Video等實時性業(yè)務得到有效的控制與管理����,定義了WT-146 用戶會話控制機制(Subscriber Session),設計規(guī)劃了以DHCP技術為核心����,緊密結合當今PPPoE通用的RADUIS協(xié)議,建立了一種基于"IP用戶會話機制
(IP Subscriber Sessions)"��、"IP數(shù)據(jù)流的分級機制(IP Flow Classifiers)"�����、及"IP會話鑒權和管理機制(IP Session Authentication and Management Means)"的IPoE認證機制�。通過擴展信息的加入和識別在網(wǎng)絡邊緣設備上提供用戶Session的接入認證授權計費。IPoE認證方式不需要在用戶終端上安裝任何客戶端程序�,不需要輸入用戶名和密碼,非常適合新型網(wǎng)絡設備����,如智能手機,數(shù)字電視�����,PSP等很難支持內置的PPPoE撥號程序的終端應用互聯(lián)網(wǎng)業(yè)務����。
目前�,IPoE和PPPoE應用都比較成熟��,獲得廣大運營商和專家的一致認可�����,并在當前的網(wǎng)絡建設中獲得大規(guī)模商用��。下面首先對這兩種認證方式進行全面的分析�����,然后提出業(yè)務承載解決方案及對下一代寬帶網(wǎng)絡業(yè)務網(wǎng)關(Broadband network gateway)的需求���。
2�����、 PPPOE認證
(1)PPPoE 認證簡介
PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多個PPP連接的接入技術�。其結合了以太網(wǎng)和PPP連接的綜合屬性����。以太網(wǎng)是一種廣播網(wǎng)絡,其缺點是通訊雙方無法相互驗證對方身份����,通訊是不安全的����。PPP協(xié)議提供了通訊雙方身份驗證的功能���,但是PPP協(xié)議是一種點對點的協(xié)議,協(xié)議中沒有提供地址信息�。如果PPP應用在以太網(wǎng)上,必須使用PPPoE再進行一次封裝����,PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進行點對點通信的能力。
PPP協(xié)議的一個重要的功能是提供了身份驗證功能����。PPP協(xié)議是一種點到點的鏈路層協(xié)議,它提供了點到點的一種封裝��、傳遞數(shù)據(jù)的一種方法��。當一臺主機希望啟動一個PPPoE會話�,它首先必須完成發(fā)現(xiàn)階段,確定對端Server的以太網(wǎng)MAC地址���,并建立一個唯一的PPPoE會話號(SESSION_ID)�。PPP協(xié)議一般包括三個協(xié)商階段:LCP(鏈路控制協(xié)議)階段,認證階段(比如CHAP/PAP)����,NCP(網(wǎng)絡層控制協(xié)議,比如IPCP)階段���。撥號后�����,用戶計算機和局方的接入服務器在LCP階段協(xié)商底層鏈路參數(shù)���,然后在認證階段進行用戶計算機將用戶名和密碼發(fā)送給接入服務器認證,接入服務器可以進行本地認證��,可以通過RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務器進行認證����。認證通過后,在NCP(IPCP)協(xié)商階段����,接入服務器給用戶計算機分配網(wǎng)絡層參數(shù)如IP地址等��。經(jīng)過PPP的三個協(xié)商階段后����,用戶就可以發(fā)送和接受網(wǎng)絡報文�����,用戶收發(fā)的所有網(wǎng)絡層報文都封裝在PPP報文中�。
在PPP協(xié)議定義一個端對端關系時����,發(fā)現(xiàn)階段實際是一個客戶與服務器的關系。在發(fā)現(xiàn)階段�����,主機(客戶端)搜尋并發(fā)現(xiàn)一個網(wǎng)絡設備(服務器端)�。在網(wǎng)絡拓撲中,主機能與之通信的可能不只一個網(wǎng)絡設備�����,但只能選擇其中的一個��。當發(fā)現(xiàn)階段完成后,主機和網(wǎng)絡設備將擁有建立PPPoE的所有信息��。
PPPoE一般用面向于廣大普通用戶提供認證�����、計費服務�,也可用于固定用戶申請獨用的一個公網(wǎng)IP地址。現(xiàn)網(wǎng)國內運營商主要是應用BRAS設備作為PPPoE的終結設備����。
(2)PPPoE 特點總結
PPPoE認證的主要優(yōu)點總結如下:
* PPPoE認證的主要特點在于其應用廣泛、成熟�����;而且標準性���、互通性好��;
* 與現(xiàn)有主流的PC操作系統(tǒng)可以良好的兼容�,無兼容性問題�;
* PPPoE通過唯一的Session-ID可以很好的保障用戶的安全性;
* 因此,由于PPP會話的安全性�、健壯性等特征,而被廣泛應用于ADSL 接入認證�。應用廣泛,具有較好的市場基礎�。
PPPoE認證的不足之處在于認證機制比較復雜,對設備處理性能�、內存資源需求較高;同時用戶需要一個等待過程�����;同時隨著多媒體業(yè)務發(fā)展��, BRAS設備對于業(yè)務支持的局限性逐漸暴露出來����,特別是組播支持方面�,由于在PPP協(xié)議定義一個端對端關系時,在網(wǎng)絡拓撲中����,主機能與之通信的可能不只一個網(wǎng)絡設備,但只能選擇其中的一個��,所以采用PPPOE方式認證時,組播復制點只能選擇在BRAS設備上�,而BRAS設備性能必將成為業(yè)務發(fā)展的瓶頸。同時由于傳統(tǒng)BRAS設備在設計理念上不是滿足多業(yè)務承載��,所以設備在整機處理能力�����,可擴展性����,可靠性等方面都將表現(xiàn)出不足。
3�、 IPoE認證
(1)IPoE認證簡介
IPoE系統(tǒng)包括基本的DHCP功能,同時擴展了網(wǎng)絡中各個層面設備的能力��??梢哉fIPoE不是簡單的終端設備上支持DHCP就可以了,需要涉及到用戶端����,網(wǎng)絡控制設備,網(wǎng)絡業(yè)務系統(tǒng)等��。
DHCP( RFC-1541)本身是一種動態(tài)主機配置協(xié)議��,最初主要針對于LAN應用。通過終端上的DHCP客戶端����,利用自動發(fā)現(xiàn)機制來嘗試聯(lián)系網(wǎng)絡中的DHCP服務器。DHCP提供一系列IP配置參數(shù)��,對用戶端的IP層進行配置�。 DHCP協(xié)議本身并沒有用來認證的功能,但是DHCP可以配合其他技術實現(xiàn)認證�����,比如DHCP+web方式���、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證�。所有這些方式都統(tǒng)稱為DHCP+認證����。本文討論的主要是DHCP+OPTION擴展字段進行認證�,又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60
(RFC2132)和OPTION82 (RFC3046)����。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發(fā)起DHCP請求時攜帶的信息,網(wǎng)絡設備只需要透傳即可�。其在應用中的作用是用來識別用戶終端類型,從而識別用戶業(yè)務類型�����,DHCP服務器可以依賴于此分配不同的業(yè)務IP地址��。而OPTION82信息是由網(wǎng)絡設備插入在終端發(fā)出的DHCP報文中���,主要用來標識用戶終端的接入位置�,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入����。
IPoE認證系統(tǒng)各個部分功能如下:
(1)IPoE 客戶端部分
包括各種用戶終端設備,產(chǎn)生DHCP消息��,中間設備插入各種DHCP option進行用戶綁定�,業(yè)務綁定等。
(2)IPoE 寬帶網(wǎng)絡網(wǎng)關控制設備(如BRAS或SR)
寬帶網(wǎng)絡網(wǎng)關控制設備(Broadband network gateway)進行DHCP消息到Radius認證消息的翻譯����。與Radius進行認證,授權�����,計費功能。認證通過后���,下放Radius返回的每用戶QoS����,訪問控制的列表等功能����,同時對通過設備的流量/時長進行計費。
(3)IPoE業(yè)務控制系統(tǒng)
包括Radius/DHCP/Diameter/Webportal等業(yè)務系統(tǒng)�����,能夠動態(tài)調整每用戶的帶寬和QoS屬性�����,針對預付費����,流量�,時長等提供多種計費手段�。做到客戶的可管理控制����,可持續(xù)盈利,提供差異化的用戶服務����。
基于TR101定義的網(wǎng)絡架構及WT146定義的IPoE Session 流程,網(wǎng)絡邊緣通過設置寬帶業(yè)務網(wǎng)關-BNG(Broadband
Network Gateway)設備來維護所有用戶的 IP Session����,通過 IPoE Session 對用戶進行感知和控制,并實施各種用戶策略(如QoS)��。
(2)IPoE認證特點總結
IPoE認證的主要特點總結如下:
* 基于上網(wǎng)用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費����,用戶上網(wǎng)時無需輸入用戶名和密碼,這對于那些需要永遠在線的用戶�,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng),家庭簡化硬件的配置工作�����。
* DHCP+ (option 60/option 82)對DHCP 協(xié)議進行了擴展�����,增加了安全,監(jiān)控����,用戶識別等新的特性。
* 網(wǎng)絡接入設備, 業(yè)務控制網(wǎng)關, DHCP server, Radius server 配合增強網(wǎng)絡安全性(防DoS 攻擊及地址仿冒)
* DHCP+ Radius 結合提供計費功能�����,使得DHCP 適合做運營.
* DHCP 是基于IP的在冗余保護方面比較有優(yōu)勢��,能夠實現(xiàn)真正的5個9的保護特性����。
* 組播業(yè)務支持靈活
(3) IPoE 認證的安全策略
由于IPoE認證本身不像PPPoE認證一樣在網(wǎng)絡層面提供唯一的點到點的通信, 所以運營商在部署時����,安全問題是需要考慮的主要問題。隨網(wǎng)絡技術的發(fā)展���,家庭網(wǎng)關��,網(wǎng)絡接入設備(如DSLAM), 寬帶網(wǎng)絡網(wǎng)關必須協(xié)同工作���,增強網(wǎng)絡安全性。安全保證策略包括如下方面:
(a) 反地址欺騙
用戶是通過DHCP/靜態(tài)配置IP與MAC地址方式接入��。業(yè)務控制網(wǎng)關自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同��,但是MAC地址不同��,所有的數(shù)據(jù)包都會被丟棄�。
(b)用戶終端數(shù)限制
控制每個業(yè)務接入點所連接用戶終端的數(shù)量。
(c)防DoS攻擊
對于用戶通過發(fā)送大量的DHCP請求���,模擬不同MAC 地址的Host請求IP地址���,攻擊DHCP Server的情況:
解決方式是DHCP 請求需要得到Radius 服務器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP地址和線路號在Radius數(shù)據(jù)庫種才能獲得許可申請用戶的IP地址�。
對于由寬帶網(wǎng)絡網(wǎng)關發(fā)送大量的DHCP請求發(fā)送到Radius服務器的情況:
解決方式是在用戶認證通過認證獲得IP地址之前,基于每個用戶設置速率限制功能��,設定每秒種只有1-2個DHCP數(shù)據(jù)包能夠通過���,降低對Radius Server的壓力��。對于Radius Server����,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數(shù)量作控制�����,比方說在1秒內�,最多只允許1個Radius請求,如果1分鐘內連續(xù)出現(xiàn)多個Radius請求���,則認證發(fā)生攻擊����,直接丟棄Radius數(shù)據(jù)包���。
(d)業(yè)務隔離
下行通過VLAN隔離�;上行方向除上網(wǎng)業(yè)務分配公網(wǎng)地址直接接入外�,其它業(yè)務(包括網(wǎng)絡管理)一律按業(yè)務類別分裝在不同VPN內進行傳送。
(e)非法組播源抑制
一般從DSLAM上行的端口都會將發(fā)送到組播組的數(shù)據(jù)過濾掉����。在業(yè)務控制網(wǎng)關上與DSLAM 下行連接的端口上不會開啟PIM協(xié)議,組播源不會從業(yè)務端口接入上來。
(f)端口隔離
設置用戶水平分割組����,禁止用戶接入端口間直接轉發(fā)。
4����、 PPPoE 和IPoE技術討論
下面對上述兩種認證方式�����,進行一個綜合的比較�����。
|
功能
|
PPPoE
|
DHCP
|
|
認證效率
|
較低
|
很高
|
|
標準化程度
|
高 (RFC 2516)
|
高(WT146)
|
|
封裝開銷
|
大 (增加PPPoE 及PPP 封裝)
|
?����。∕AC+IP)
|
|
客戶端軟件
|
需要
|
不需要
|
|
用戶認證
|
通過PAP��、CHAP或者EAP觸發(fā)
|
通過DHCP發(fā)現(xiàn)包觸發(fā)
|
|
認證服務器
|
Radius
|
Radius
|
|
地址分配方式
|
IPCP,基于用戶名和密碼
|
DHCP,基于線路號�、MAC地址.
|
|
Session 建立過程
|
面向連接的Session-ID
|
無連接,用戶通過IP地址標識
|
|
用戶在線檢測
|
PPP keepalive包實現(xiàn)
|
UC-ARP方式
|
|
或者DHCP-Renew方式
|
|
安全性
|
高
|
高
|
|
防地址仿冒能力
|
高((唯一Session ID)
|
高(Anti-spoofing 策略)
|
|
控制能力
|
端口/用戶數(shù)/帶寬
|
端口/用戶數(shù)/帶寬
|
|
組播支持
|
組播控制點只能在業(yè)務控制層
|
組播控制點可選擇在業(yè)務控制層或接入層
|
|
精確計費
|
支持
|
支持
|
所有支持IP協(xié)議的設備都支持��,不需要安裝第三方撥號軟件,可以廣泛支持各種手持設備��,移動設備�,視頻設備等。
(2)報文開銷
由于PPPoE報文引入了PPPoE頭(6 bytes)和PPP頭(2 bytes)�,所以在所有用戶流量里面增加了8個字節(jié)的協(xié)議開銷,對于高帶寬的應用(4M以上的高清電視等)���,對于處理能力不高的終端設備�,壓力很大��。
(3)組播復制
由于PPPoE報文�����,是在BNG設備和用戶之間建立點對點連接��,中間的交換機層次不能很好的理解PPPoE報文格式����,只能進行轉發(fā),無法進行針對VLAN等信息的有效的組播復制�����。所以采用PPPoE進行組播業(yè)務的開展,組播復制點只能是BNG設備��,而采用IPoE���,可以把組播復制點下移到DSLAM�����,一方面減少了BNG設備的壓力���,另一方面也極大的節(jié)約了網(wǎng)絡接入層帶寬�����。
(4)用戶冗余
IPoE�,報文轉發(fā)中,由于不需要接入PPPoE Session/Cookie信息����,非常容易做到跨機箱的用戶Session的保護,當一個機箱斷電時����,所有IPoE的狀態(tài)信息被動態(tài)備份到另外一臺設備���,所以不需要用戶進行重新?lián)芴枴6鳳PPoE由于轉發(fā)過程中攜帶BNG生成的唯一的Session/Cookie信息�����,當一臺設備斷電時���,另外一臺設備無法獲得全部的PPPoE狀態(tài)����,所以無法做到有效的跨機箱的用戶冗余保護����。
根據(jù)上述討論,在終端支持�����、封裝開銷和組播支持認證效率等方面�����,IPoE認證具有較明顯的優(yōu)勢�����,但由于IPoE比PPPoE來的簡單,所以在安全性上會有一些新的隱患���,比如私建DHCP���,地址盜用等,需要用更多的精力來處理��。
5�����、 業(yè)務承載解決方案
根據(jù)前面的技術討論��, IPoE和PPPoE將在一段時期內并存�,滿足不同業(yè)務需求���。隨運營商向全業(yè)務提供商轉型����,無論采用那種認證機制���,網(wǎng)絡中必須部署業(yè)務控制網(wǎng)關來對用戶的接入���,認證����,會話及QoS等策略進行統(tǒng)一的管理�����。網(wǎng)絡邊緣業(yè)務控制設備從單一支持PPPoE的設備(國內運營商主要為BRAS)向TR101架構定義的寬帶網(wǎng)絡業(yè)務網(wǎng)關-BNG設備(同時支持PPPoE和IPoE)演進��。對于滿足下一代PPPoE/IPoE用戶接入控制的BNG設備設計�����,不同廠家有不同的理解���。傳統(tǒng)BRAS廠家是為支持PPPoE協(xié)議而設計的產(chǎn)品�����,可以通過添加IPoE功能的支持來演變?yōu)锽NG設備��。同理�����,傳統(tǒng)的Service
Router廠家設備天生支持高帶寬的IPoE用戶控制�,可以通過添加PPPoE功能來實現(xiàn)完全的BNG功能。現(xiàn)有BNG成熟產(chǎn)品有CISCO的ASR9K����,上海貝爾的7750SR等。
|
