宽带接入认证技术比较与评估

宽带接入宽带接入认证技术比较与评估 BRAS 宽带接入服务器 是借鉴窄带接入的成熟运作模式 在数据网络由窄带向宽带演进的 趋势下 使宽带网络可以像窄带接入一样运营管理 不像窄带网络尚需要提供 PSTN 的接 入 宽带网络通常已具备完整的接入网络 ADSL Ethernet HFC 因此 BRAS 的主要功 能是结合路由器或交换机等网络设备 完成对宽带用户的 3A 接入控制如下 1 认证 Authentication 验证用户的身份与可使用的网络服务 2 授权 Authorization 依据认证结果开放网络服务给用户 3 计帐 Accounting 记录用户对各种网络服务的用量 并提供给计费系统 如果没有实现合理的 3A 接入控制 宽带网络只能提供基于端口 包月制的资费方案 如 果没有基于用户身份的认证 也很难建立增值服务的发展空间 因此随着业务竞争越趋激 烈 3A 接入控制已成为宽带运营商的首要之务 宽带接入的实现过程 宽带用户 3A 接入控制的实现过程如下 用户端设备 BRAS AAA Client AAA Server Radius Billing System 一般来讲 从 BRAS 到 AAA Server 之间的实现方法都是大同小异 通常采用 RADIUS 协 议 而 AAA Server 和 Billing 系统一般采用集中建制 以支持用户漫游和减少建制成本 而目前最困扰运营商的是如何有效实现从用户端设备到 BRAS 之间的有效连接 目前主要 的实现方式有 MAC VLAN PPPoE PPTP L2TP 802 1x WEB VLAN WEB IP 关于这几种认证方法都有各自的特点 其优缺点在业界也是一个讨论的热点 本文将针对 这些技术对它们从实现原理上进行一些探讨 MAC VLAN 技术评估 MAC VLAN 是通过用户的 MAC 地址或 VLAN ID 来确认用户身份 属于最早期的宽带认 证技术 MAC VLAN 的认证不需要客户端软件 也不需要用户输入口令及代号 对用户 非常友好 但是由于 MAC VLAN 不存在用户登录的认证过程 因此无法计算时长 只能 支持包月制的资费方案 同时在推动增值服务时也存在着很大的计费争议 因此本文中不 再讨论 PPPoE 技术评估 PPPoE 通常与 ATM Router 结合成为 Broadband RAS 后来开始有厂家在 BRAS 上提供 GB 或 FE 的端口 以支持基于以太网络的宽带接入 PPPoE 要求在客户端设置 PPPoE 客户端 软件 从接入认证角度来看 PPPoE 与大家熟悉的窄带拨入相同 都是在客户端起一个 PPP 联机 以拨号方式拨入 PPPoE 服务器 虽然 PPPoE 技术普遍应用在 ADSL 接入认证 但是在以太网络上却面临了许多问题 网络规划问题 在客户端进行拨号时 首先会发出广播包以找寻 PPPoE 服务器 待收到响应后即建立 PPP 连接 因此 PPPoE 服务器与客户端必须存在一个二层网络 这在 ADSL 不成问题 因为每 个客户端与 PPPoE 服务器间都存在一个单独的 PVC 电路 但是在以太网路上 PPPoE 服 务器却需要与成千上万名客户端在同一个二层网络 而二层网络越大管理越困难 问题也 越多 如果每个小区甚至楼宇就使用一个三层网络 却又存在 PPPoE 服务器的成本与管理 问题 封包分割问题 通常路由器或客户端的 MTU 都是设定成 1500Byte 由于 PPPoE 在将 IP 封包封装在一个 Ethernet Frame 内 因此封包的 Payload 就只剩下 1492Byte 碰上大小为 1500Byte 的封包 时 就必需将封包分割 根据实际应用的数据显示 封包分割会对路由器及客户端的 IP 封 包传输造成 50 以上的额外压力 客户端 CPU 负载问题 由于 PPPoE 对每一个 IP 封包都要封装在 Ethernet Frame 内 因此网络流量越大 耗用客户 端的 CPU 效能就越多 因此对需要高带宽的多媒体应用非常不利 客户支持问题 PPPoE 技术的另一个问题是客户端必需要有专用软件 不论在安装 设定及升级上都比较 复杂 客服成本非常昂贵 虽然这不算一个技术上的问题 但是在实施上却有可能造成很 大的困扰 具体案例是某家拥有 70 万 ADSL 用户的电信运营商在客户端使用 EnterNet 拨 号软件 当 EnterNet 升级时 该运营商在网站上提供免费下载 结果有大约 5 的用户在 升级时遇到困难 该运营商的客服中心足足忙了几个月才接完电话 PPTP L2TP 技术评估 随着 VPN 技术的发展 开始有运营商考虑使用 PPTP L2TP 等技术提供用户接入服务 由 于 PPTP L2TP 可通过三层网络提供用户接入 因此可以有效解决 PPPoE 网络规划的困难 同时由于 Windows 2000 已经内置 VPN 拨号功能 因此客服成本较低 采用 VPN 来提供宽带接入的确是一个非常有创意的方式 目前大家在观察的是一个本来是 企业级的技术方案 当应用在电信服务上是否会有一些无法预见的问题 到目前为止 已 发现的问题大致跟 PPPoE 类似 封包分割问题 PPTP 是将 IP 封包封装在 GRE 封包内 L2TP 是将 IP 封包封装在 UDP 封包内 跟 PPPoE 类似 当碰上大小为 1500Byte 的封包时都需要分割 对路由器及客户端的 IP 封包传输造 成 50 以上的额外压力 客户端 CPU 负载问题 PPTP 与 L2TP 跟 PPPoE 类似 都要占用客户端的 CPU 以进行封装的动作 尤其是如果进 行加密传输 如 IPSec 时 CPU 压力更大 对企业 VPN 来说 保密性高于性能考虑 但是 对于宽带运营商来说 是否能够支持多媒体应用是一个很重要的考虑因素 客户支持问题 虽然 Windows 2000 已经内建 PPTP L2TP 客户端软件 但是对 VPN 拨号功能的设定对没有 IT 支持的普通用户来说仍然是一个比较复杂的问题 因此对用户的支持最终往往还是落到 运营商身上 对客服来说仍然有较大的压力 802 1x 技术评估 不像有线网路通过固定线路连接组建 无线网路的网络空间具有开放性和终端可移动性 因此很难通过固定线路来界定网络 而 802 1x 协议起源于 802 11 协议 后者是标准的无线 局域网协议 802 1x 协议的主要目的是通过认证和加密来防止非法接入企业无线网络 类似 PPTP L2TP 目前大家在观察的是 802 1x 本来是企业级的技术方案 当应用在电信服 务上是否会有一些无法预见的问题 目前已发现的问题如下 客户端 CPU 负载问题 802 1x 为了解决无线网络在空中传送的安全性问题 采用了高度的加密规范 需要占用客 户端大量的 CPU 效能以进行加解密 针对这个问题 目前业界的看法是未来 802 1x 的加 解密必需在网卡上通过硬件实现 802 1x 才能支持宽带应用与服务 标准规范问题 目前 802 1x 的规范有 70 以上都尚未确认 因此目前所有宣称支持 802 1x 的厂家都是基 于猜测来设计产品 运营商部署 802 1x 的风险仍然很高 此外虽然许多交换机厂商都承诺 未来可通过软件升级来支持 802 1x 但是大多数交换机的 CPU 性能比客户端的 Pentium 还 差 因此业界的看法是未来支持 802 1x 的交换机必需具备硬件加解密 才具备宽带运营的 实用性 网络规划问题 根据目前已确认的规范 802 1x 认证技术的操作粒度为端口 合法用户接入端口之后端口 处于打开状态 因此其它同一端口的用户不需认证即可接入网络 因此在实施上 必需在 楼宇层交换机支持 802 1x 协议 在实施上 这些低价 不具备硬件加解密功能的楼宇层交 换机未来是否能够升级支持 802 1x 或者升级后能否提供足够的网络性能都是个问题 客户支持问题 跟 PPPoE PPTP L2TP 类似 802 1x 必需安装特定的客户端软件或是使用 Windows XP 对没有 IT 支持的普通用户来说仍然是一个比较复杂的问题 因此运营商仍然存在相当的客 户支持压力 WEB VLAN 技术评估 WEB VLAN 技术是从 MAC VLAN 改良而来的接入控制技术 当用户尚未完成认证时 用 户的 VLAN 只能到达交换机内置或外接的 WEB 认证模块 当用户通过认证后 WEB 认证 模块再命令交换机将用户的 VLAN ID 打开 WEB VLAN 技术提供了基于用户身份的认证 在客户端也不需要配置特别的客户端软件 但是 WEB VLAN 仍然存在着下述的问题 实施条件问题 WEB VLAN 的授权是通过 VLAN 的开关实施 因此实施的基本条件是每个用户都必需要 有一个单独的 VLAN 而且要终结在 WEB VLAN 交换机上 当已部署的楼宇层交换机不 支持 VLAN Trunk 功能时 就无法实施基于 WEB VLAN 的用户认证 网络规划问题 WEB VLAN 跟 PPPoE 类似 要求在客户端与 WEB VLAN 服务器存在一个二层网络 二 层网络越大管理越困难 问题也越多 如果每个小区甚至楼宇就使用一个 WEB VLAN 交 换机 却又存在部署成本与管理问题 开机爆量问题 这个问题出现在较早期的 WEB VLAN 交换机上 主要是因为早期的 WEB VLAN 交换机 采用外置的 WEB 认证模块 当用户完成认证后 WEB 认证模块必需通过 Telnet Script 或 SNMP Set 命令将用户的 VLAN 打开 由于开机瞬间会有大量用户同时进行认证 造成交 换机无法承受大量的命令而产生死机现象 WEB IP 技术评估 WEB IP 跟 WEB VLAN 技术非常类似 当用户尚未完成认证时 用户的 IP 只能到达路由 器内置的 WEB 认证模块 当用户通过认证后 WEB 认证模块再将用户的 IP 地址加入 WEB IP 路由器的授权表 跟其它技术相比 WEB IP 技术具备了以下的特点 工程实施 WEB IP 技术的授权粒度为 IP 跟以太驻地网的 DHCP 架构可以进行无缝连接 因此实施 迅速 另外由于采用三层结构 可以将 WEB IP 路由器部署在 POP 点以汇聚多个小区的认 证需求 对初期开通率低的城域网可以有效节省建置成本 客户支持 WEB IP 不需要特定的客户端软件 客服的工作量大大减少 网络性能 W