1、 概述
隨着城域網寬帶業務的發展,可運營、可管理的網絡建設理念已經深入人心。 市場方面,隨着用戶數量的增多,每用戶帶寬增大,產生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式,極大提高了用戶網絡使用體驗,電腦成爲網絡接入的主要設備。採用動態IP地址,每用戶帶寬控制的PPPoE設備逐漸演變爲電信運營商主要的接入方式。隨着IP網絡的迅速發展,人們產生了把所有智能設備聯網的需求。同時互聯網的內容從簡單的網頁推送演進爲以流媒體爲主,支持VoIP, IPTV等綜合業務。隨着提供業務的多樣化,用戶認證方式作爲可運營、可管理的核心,受到包括運營商、製造商的密切關注。目前討論的核心認證技術主要包括IPoE和PPPoE。
PPPoE相關標準則是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明確定義的。2006年,DSL(2008年改名Broadband)工作組綜合各個電信運營商在接入方式上的嘗試,爲使新型Voice/Video等實時性業務得到有效的控制與管理,定義了WT-146 用戶會話控制機制(Subscriber Session),設計規劃了以DHCP技術爲核心,緊密結合當今PPPoE通用的RADUIS協議,建立了一種基於"IP用戶會話機制 (IP Subscriber Sessions)"、"IP數據流的分級機制(IP Flow Classifiers)"、及"IP會話鑑權和管理機制(IP Session Authentication and Management Means)"的IPoE認證機制。通過擴展信息的加入和識別在網絡邊緣設備上提供用戶Session的接入認證授權計費。IPoE認證方式不需要在用戶終端上安裝任何客戶端程序,不需要輸入用戶名和密碼,非常適合新型網絡設備,如智能手機,數字電視,PSP等很難支持內置的PPPoE撥號程序的終端應用互聯網業務。
目前,IPoE和PPPoE應用都比較成熟,獲得廣大運營商和專家的一致認可,並在當前的網絡建設中獲得大規模商用。下面首先對這兩種認證方式進行全面的分析,然後提出業務承載解決方案及對下一代寬帶網絡業務網關(Broadband network gateway)的需求。
2、 PPPOE認證
(1)PPPoE 認證簡介
PPPoE是利用以太網發送PPP包的傳輸方法和支持在同一以太網上建立多個PPP連接的接入技術。其結合了以太網和PPP連接的綜合屬性。以太網是一種廣播網絡,其缺點是通訊雙方無法相互驗證對方身份,通訊是不安全的。PPP協議提供了通訊雙方身份驗證的功能,但是PPP協議是一種點對點的協議,協議中沒有提供地址信息。如果PPP應用在以太網上,必須使用PPPoE再進行一次封裝,PPPoE協議提供了在以太網廣播鏈路上進行點對點通信的能力。
PPP協議的一個重要的功能是提供了身份驗證功能。PPP協議是一種點到點的鏈路層協議,它提供了點到點的一種封裝、傳遞數據的一種方法。當一臺主機希望啓動一個PPPoE會話,它首先必須完成發現階段,確定對端Server的以太網MAC地址,並建立一個唯一的PPPoE會話號(SESSION_ID)。PPP協議一般包括三個協商階段:LCP(鏈路控制協議)階段,認證階段(比如CHAP/PAP),NCP(網絡層控制協議,比如IPCP)階段。撥號後,用戶計算機和局方的接入服務器在LCP階段協商底層鏈路參數,然後在認證階段進行用戶計算機將用戶名和密碼發送給接入服務器認證,接入服務器可以進行本地認證,可以通過RADIUS協議將用戶名和密碼發送給AAA服務器進行認證。認證通過後,在NCP(IPCP)協商階段,接入服務器給用戶計算機分配網絡層參數如IP地址等。經過PPP的三個協商階段後,用戶就可以發送和接受網絡報文,用戶收發的所有網絡層報文都封裝在PPP報文中。
在PPP協議定義一個端對端關係時,發現階段實際是一個客戶與服務器的關係。在發現階段,主機(客戶端)搜尋並發現一個網絡設備(服務器端)。在網絡拓撲中,主機能與之通信的可能不只一個網絡設備,但只能選擇其中的一個。當發現階段完成後,主機和網絡設備將擁有建立PPPoE的所有信息。
PPPoE一般用面向於廣大普通用戶提供認證、計費服務,也可用於固定用戶申請獨用的一個公網IP地址。現網國內運營商主要是應用BRAS設備作爲PPPoE的終結設備。
(2)PPPoE 特點總結
PPPoE認證的主要優點總結如下:
* PPPoE認證的主要特點在於其應用廣泛、成熟;而且標準性、互通性好;
* 與現有主流的PC操作系統可以良好的兼容,無兼容性問題;
* PPPoE通過唯一的Session-ID可以很好的保障用戶的安全性;
* 因此,由於PPP會話的安全性、健壯性等特徵,而被廣泛應用於ADSL 接入認證。應用廣泛,具有較好的市場基礎。
PPPoE認證的不足之處在於認證機制比較複雜,對設備處理性能、內存資源需求較高;同時用戶需要一個等待過程;同時隨着多媒體業務發展, BRAS設備對於業務支持的侷限性逐漸暴露出來,特別是組播支持方面,由於在PPP協議定義一個端對端關係時,在網絡拓撲中,主機能與之通信的可能不只一個網絡設備,但只能選擇其中的一個,所以採用PPPOE方式認證時,組播複製點只能選擇在BRAS設備上,而BRAS設備性能必將成爲業務發展的瓶頸。同時由於傳統BRAS設備在設計理念上不是滿足多業務承載,所以設備在整機處理能力,可擴展性,可靠性等方面都將表現出不足。
3、 IPoE認證
(1)IPoE認證簡介
IPoE系統包括基本的DHCP功能,同時擴展了網絡中各個層面設備的能力。可以說IPoE不是簡單的終端設備上支持DHCP就可以了,需要涉及到用戶端,網絡控制設備,網絡業務系統等。
DHCP( RFC-1541)本身是一種動態主機配置協議,最初主要針對於LAN應用。通過終端上的DHCP客戶端,利用自動發現機制來嘗試聯繫網絡中的DHCP服務器。DHCP提供一系列IP配置參數,對用戶端的IP層進行配置。 DHCP協議本身並沒有用來認證的功能,但是DHCP可以配合其他技術實現認證,比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證。所有這些方式都統稱爲DHCP+認證。本文討論的主要是DHCP+OPTION擴展字段進行認證,又稱爲IPoE認證方式。用來作爲DHCP擴展的OPTION字段主要爲OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發起DHCP請求時攜帶的信息,網絡設備只需要透傳即可。其在應用中的作用是用來識別用戶終端類型,從而識別用戶業務類型,DHCP服務器可以依賴於此分配不同的業務IP地址。而OPTION82信息是由網絡設備插入在終端發出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。
IPoE認證系統各個部分功能如下:
(1)IPoE 客戶端部分
包括各種用戶終端設備,產生DHCP消息,中間設備插入各種DHCP option進行用戶綁定,業務綁定等。
(2)IPoE 寬帶網絡網關控制設備(如BRAS或SR)
寬帶網絡網關控制設備(Broadband network gateway)進行DHCP消息到Radius認證消息的翻譯。與Radius進行認證,授權,計費功能。認證通過後,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。
(3)IPoE業務控制系統
包括Radius/DHCP/Diameter/Webportal等業務系統,能夠動態調整每用戶的帶寬和QoS屬性,針對預付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續盈利,提供差異化的用戶服務。
基於TR101定義的網絡架構及WT146定義的IPoE Session 流程,網絡邊緣通過設置寬帶業務網關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,並實施各種用戶策略(如QoS)。
(2)IPoE認證特點總結
IPoE認證的主要特點總結如下:
* 基於上網用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網時無需輸入用戶名和密碼,這對於那些需要永遠在線的用戶,以及不願意輸入用戶名和密碼的特定用戶是非常方便的 ,適合於在企業網,家庭簡化硬件的配置工作。
* DHCP+ (option 60/option 82)對DHCP 協議進行了擴展,增加了安全,監控,用戶識別等新的特性。
* 網絡接入設備, 業務控制網關, DHCP server, Radius server 配合增強網絡安全性(防DoS 攻擊及地址仿冒)
* DHCP+ Radius 結合提供計費功能,使得DHCP 適合做運營.
* DHCP 是基於IP的在冗餘保護方面比較有優勢,能夠實現真正的5個9的保護特性。
* 組播業務支持靈活
(3) IPoE 認證的安全策略
由於IPoE認證本身不像PPPoE認證一樣在網絡層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網絡技術的發展,家庭網關,網絡接入設備(如DSLAM), 寬帶網絡網關必須協同工作,增強網絡安全性。安全保證策略包括如下方面:
(a) 反地址欺騙
用戶是通過DHCP/靜態配置IP與MAC地址方式接入。業務控制網關自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同,但是MAC地址不同,所有的數據包都會被丟棄。
(b)用戶終端數限制
控制每個業務接入點所連接用戶終端的數量。
(c)防DoS攻擊
對於用戶通過發送大量的DHCP請求,模擬不同MAC 地址的Host請求IP地址,攻擊DHCP Server的情況:
解決方式是DHCP 請求需要得到Radius 服務器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP地址和線路號在Radius數據庫種才能獲得許可申請用戶的IP地址。
對於由寬帶網絡網關發送大量的DHCP請求發送到Radius服務器的情況:
解決方式是在用戶認證通過認證獲得IP地址之前,基於每個用戶設置速率限制功能,設定每秒種只有1-2個DHCP數據包能夠通過,降低對Radius Server的壓力。對於Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數量作控制,比方說在1秒內,最多隻允許1個Radius請求,如果1分鐘內連續出現多個Radius請求,則認證發生攻擊,直接丟棄Radius數據包。
(d)業務隔離
下行通過VLAN隔離;上行方向除上網業務分配公網地址直接接入外,其它業務(包括網絡管理)一律按業務類別分裝在不同VPN內進行傳送。
(e)非法組播源抑制
一般從DSLAM上行的端口都會將發送到組播組的數據過濾掉。在業務控制網關上與DSLAM 下行連接的端口上不會開啓PIM協議,組播源不會從業務端口接入上來。
(f)端口隔離
設置用戶水平分割組,禁止用戶接入端口間直接轉發。
4、 PPPoE 和IPoE技術討論
下面對上述兩種認證方式,進行一個綜合的比較。
|
功能 |
PPPoE |
DHCP |
|
認證效率 |
較低 |
很高 |
|
標準化程度 |
高 (RFC 2516) |
高(WT146) |
|
封裝開銷 |
大 (增加PPPoE 及PPP 封裝) |
小(MAC+IP) |
|
客戶端軟件 |
需要 |
不需要 |
|
用戶認證 |
通過PAP、CHAP或者EAP觸發 |
通過DHCP發現包觸發 |
|
認證服務器 |
Radius |
Radius |
|
地址分配方式 |
IPCP,基於用戶名和密碼 |
DHCP,基於線路號、MAC地址. |
|
Session 建立過程 |
面向連接的Session-ID |
無連接,用戶通過IP地址標識 |
|
用戶在線檢測 |
PPP keepalive包實現 |
UC-ARP方式 |
|
或者DHCP-Renew方式 |
||
|
安全性 |
高 |
高 |
|
防地址仿冒能力 |
高((唯一Session ID) |
高(Anti-spoofing 策略) |
|
控制能力 |
端口/用戶數/帶寬 |
端口/用戶數/帶寬 |
|
組播支持 |
組播控制點只能在業務控制層 |
組播控制點可選擇在業務控制層或接入層 |
|
精確計費 |
支持 |
支持 |
(2)報文開銷
由於PPPoE報文引入了PPPoE頭(6 bytes)和PPP頭(2 bytes),所以在所有用戶流量裏面增加了8個字節的協議開銷,對於高帶寬的應用(4M以上的高清電視等),對於處理能力不高的終端設備,壓力很大。
(3)組播複製
由於PPPoE報文,是在BNG設備和用戶之間建立點對點連接,中間的交換機層次不能很好的理解PPPoE報文格式,只能進行轉發,無法進行鍼對VLAN等信息的有效的組播複製。所以採用PPPoE進行組播業務的開展,組播複製點只能是BNG設備,而採用IPoE,可以把組播複製點下移到DSLAM,一方面減少了BNG設備的壓力,另一方面也極大的節約了網絡接入層帶寬。
(4)用戶冗餘
IPoE,報文轉發中,由於不需要接入PPPoE Session/Cookie信息,非常容易做到跨機箱的用戶Session的保護,當一個機箱斷電時,所有IPoE的狀態信息被動態備份到另外一臺設備,所以不需要用戶進行重新撥號。而PPPoE由於轉發過程中攜帶BNG生成的唯一的Session/Cookie信息,當一臺設備斷電時,另外一臺設備無法獲得全部的PPPoE狀態,所以無法做到有效的跨機箱的用戶冗餘保護。
根據上述討論,在終端支持、封裝開銷和組播支持認證效率等方面,IPoE認證具有較明顯的優勢,但由於IPoE比PPPoE來的簡單,所以在安全性上會有一些新的隱患,比如私建DHCP,地址盜用等,需要用更多的精力來處理。
5、 業務承載解決方案
根據前面的技術討論, IPoE和PPPoE將在一段時期內並存,滿足不同業務需求。隨運營商向全業務提供商轉型,無論採用那種認證機制,網絡中必須部署業務控制網關來對用戶的接入,認證,會話及QoS等策略進行統一的管理。網絡邊緣業務控制設備從單一支持PPPoE的設備(國內運營商主要爲BRAS)向TR101架構定義的寬帶網絡業務網關-BNG設備(同時支持PPPoE和IPoE)演進。對於滿足下一代PPPoE/IPoE用戶接入控制的BNG設備設計,不同廠家有不同的理解。傳統BRAS廠家是爲支持PPPoE協議而設計的產品,可以通過添加IPoE功能的支持來演變爲BNG設備。同理,傳統的Service Router廠家設備天生支持高帶寬的IPoE用戶控制,可以通過添加PPPoE功能來實現完全的BNG功能。現有BNG成熟產品有CISCO的ASR9K,上海貝爾的7750SR等。
