宽带认证接入方式的选择

随着城域网宽带业务的发展 可运营 可管理的网络建设理念已经深入人心 市场方面 随着用户数量的增多 每用户带宽增大 产生 ADSL ADSL2 FTTH GPON等高带宽接入方式 极大提高了用户网络使用体验 电脑成为网络接入的主要设备 采用动态IP地址 每用户带宽控制的 PPPoE 设备逐渐演变为电信运营商主要的接入方式 随着 IP 网络的迅速发展 人们产生了把所有智能设备联网的需求 同时互联网的内容从简单的网页推送演进为以 流媒体为主 支持VoIP IPTV等综合业务 随着提供业务的多样化 用户认证方式作为可运营 可管理的核心 受到包括运营商 制造商的密切关注 目前讨 论的核心认证技术主要包括 IPoE 和 PPPoE PPPoE 相关标准则是在 1999 年的 RFC2516 A Method for Transmitting PPP Over Ethernet PPPoE 中明确定义的 2006 年 DSL 2008 年改名 Broadband 工作组综合各个电信运营商在接入方式上的尝试 为使新型 Voice Video 等实时性业务得到有效的控制与管理 定义了 WT 146 用户会话控制机制 Subscriber Session 设计规划了以 DHCP 技术为核心 紧密结合当今 PPPoE 通用的 RADUIS 协议 建立了一种基于 IP 用户会话机制 IP Subscriber Sessions IP 数据流的分级机制 IP Flow Classifiers 及 IP 会话鉴权和管理机制 IP Session Authentication and Management Means 的 IPoE 认证机制 通过扩展信息的加入和识别在网络边缘设备上提供用户 Session 的接入认证授权计费 IPoE 认证方式不需要在用户终端上安装任何客户端程序 不需要输入用 户名和密码 非常适合新型网络设备 如智能手机 数字电视 PSP 等很难支持内置的 PPPoE 拨号程序的终端应用互联网业务 目前 IPoE 和 PPPoE 应用都比较成熟 获得广大运营商和专家的一致认可 并在当前的网络建设中获得大规模商用 下面首先对这两种认证方式进 行全面的分析 然后提出业务承载解决方案及对下一代宽带网络业务网关 Broadband network gateway 的需求 2 PPPOE 认证认证 1 PPPoE 认证简介 PPPoE 是利用以太网发送 PPP 包的传输方法和支持在同一以太网上建立多个 PPP 连接的接入技术 其结合了以太网和 PPP 连接的综合属性 以太网 是一种广播网络 其缺点是通讯双方无法相互验证对方身份 通讯是不安全的 PPP 协议提供了通讯双方身份验证的功能 但是 PPP 协议是一种点对点的协议 协议中没有提供地址信息 如果 PPP 应用在以太网上 必须使用 PPPoE 再进行一次封装 PPPoE 协议提供了在以太网广播链路上进行点对点通信的能力 PPP 协议的一个重要的功能是提供了身份验证功能 PPP 协议是一种点到点的链路层协议 它提供了点到点的一种封装 传递数据的一种方法 当一台主 机希望启动一个 PPPoE 会话 它首先必须完成发现阶段 确定对端 Server 的以太网 MAC 地址 并建立一个唯一的 PPPoE 会话号 SESSION ID PPP 协议 一般包括三个协商阶段 LCP 链路控制协议 阶段 认证阶段 比如 CHAP PAP NCP 网络层控制协议 比如 IPCP 阶段 拨号后 用户计算机和局方 的接入服务器在 LCP 阶段协商底层链路参数 然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证 接入服务器可以进行本地认证 可以通 过 RADIUS 协议将用户名和密码发送给 AAA 服务器进行认证 认证通过后 在 NCP IPCP 协商阶段 接入服务器给用户计算机分配网络层参数如 IP 地址 等 经过 PPP 的三个协商阶段后 用户就可以发送和接受网络报文 用户收发的所有网络层报文都封装在 PPP 报文中 在 PPP 协议定义一个端对端关系时 发现阶段实际是一个客户与服务器的关系 在发现阶段 主机 客户端 搜寻并发现一个网络设备 服务器端 在网络拓扑中 主机能与之通信的可能不只一个网络设备 但只能选择其中的一个 当发现阶段完成后 主机和网络设备将拥有建立 PPPoE 的所有信息 PPPoE 一般用面向于广大普通用户提供认证 计费服务 也可用于固定用户申请独用的一个公网 IP 地址 现网国内运营商主要是应用 BRAS 设备作 为 PPPoE 的终结设备 2 PPPoE 特点总结 PPPoE 认证的主要优点总结如下 PPPoE 认证的主要特点在于其应用广泛 成熟 而且标准性 互通性好 与现有主流的 PC 操作系统可以良好的兼容 无兼容性问题 PPPoE 通过唯一的 Session ID 可以很好的保障用户的安全性 因此 由于 PPP 会话的安全性 健壮性等特征 而被广泛应用于 ADSL 接入认证 应用广泛 具有较好的市场基础 PPPoE 认证的不足之处在于认证机制比较复杂 对设备处理性能 内存资源需求较高 同时用户需要一个等待过程 同时随着多媒体业务发展 BRAS 设备对于业务支持的局限性逐渐暴露出来 特别是组播支持方面 由于在 PPP 协议定义一个端对端关系时 在网络拓扑中 主机能与之通信的可能不只 一个网络设备 但只能选择其中的一个 所以采用 PPPOE 方式认证时 组播复制点只能选择在 BRAS 设备上 而 BRAS 设备性能必将成为业务发展的瓶颈 同时由于传统 BRAS 设备在设计理念上不是满足多业务承载 所以设备在整机处理能力 可扩展性 可靠性等方面都将表现出不足 3 IPoE 认证认证 1 IPoE 认证简介 IPoE 系统包括基本的 DHCP 功能 同时扩展了网络中各个层面设备的能力 可以说 IPoE 不是简单的终端设备上支持 DHCP 就可以了 需要涉及到用 户端 网络控制设备 网络业务系统等 DHCP RFC 1541 本身是一种动态主机配置协议 最初主要针对于LAN应用 通过终端上的 DHCP 客户端 利用自动发现机制来尝试联系网络中 的 DHCP服务器 DHCP 提供一系列IP配置参数 对用户端的 IP 层进行配置 DHCP 协议本身并没有用来认证的功能 但是 DHCP 可以配合其他技术实现认 证 比如 DHCP web 方式 DHCP 客户端方式和利用 DHCP OPTION 扩展字段进行认证 所有这些方式都统称为 DHCP 认证 本文讨论的主要是 DHCP OPTION 扩展字段进行认证 又称为 IPoE 认证方式 用来作为 DHCP 扩展的 OPTION 字段主要为 OPTION60 RFC2132 和 OPTION82 RFC3046 其中 OPTION60 中带有 Vendor 和 Service Option 信息 是由用户终端发起 DHCP 请求时携带的信息 网络设备只需要透传即可 其在应用中 的作用是用来识别用户终端类型 从而识别用户业务类型 DHCP 服务器可以依赖于此分配不同的业务 IP 地址 而 OPTION82 信息是由网络设备插入在终端 发出的 DHCP 报文中 主要用来标识用户终端的接入位置 DHCP OPTION82 信息可以由 DHCP SNOOPING 或 DHCP RELAY 设备进行插入 IPoE 认证系统各个部分功能如下 1 IPoE 客户端部分 包括各种用户终端设备 产生 DHCP 消息 中间设备插入各种 DHCP option 进行用户绑定 业务绑定等 2 IPoE 宽带网络网关控制设备 如 BRAS 或 SR 宽带网络网关控制设备 Broadband network gateway 进行 DHCP 消息到 Radius 认证消息的翻译 与 Radius 进行认证 授权 计费功能 认证通过后 下 放 Radius 返回的每用户QoS 访问控制的列表等功能 同时对通过设备的流量 时长进行计费 3 IPoE 业务控制系统 包括 Radius DHCP Diameter Webportal 等业务系统 能够动态调整每用户的带宽和 QoS 属性 针对预付费 流量 时长等提供多种计费手段 做到客户 的可管理控制 可持续盈利 提供差异化的用户服务 基于 TR101 定义的网络架构及 WT146 定义的 IPoE Session 流程 网络边缘通过设置宽带业务网关 BNG Broadband Network Gateway 设备来维护所有 用户的 IP Session 通过 IPoE Session 对用户进行感知和控制 并实施各种用户策略 如 QoS 2 IPoE 认证特点总结 IPoE 认证的主要特点总结如下 基于上网用户的物理位置 通过唯一的VLAN ID PVC ID 标示 对用户进行认证和计费 用户上网时无需输入用户名和密码 这对于那些需要永远在 线的用户 以及不愿意输入用户名和密码的特定用户是非常方便的 适合于在企业网 家庭简化硬件的配置工作 DHCP option 60 option 82 对 DHCP 协议进行了扩展 增加了安全 监控 用户识别等新的特性 网络接入设备 业务控制网关 DHCP server Radius server 配合增强网络安全性 防 DoS 攻击及地址仿冒 DHCP Radius 结合提供计费功能 使得 DHCP 适合做运营 DHCP 是基于 IP 的在冗余保护方面比较有优势 能够实现真正的 5 个 9 的保护特性 组播业务支持灵活 3 IPoE 认证的安全策略 由于 IPoE 认证本身不像 PPPoE 认证一样在网络层面提供唯一的点到点的通信 所以运营商在部署时 安全问题是需要考虑的主要问题 随网络技术 的发展 家庭网关 网络接入设备 如 DSLAM 宽带网络网关必须协同工作 增强网络安全性 安全保证策略包括如下方面 a 反地址欺骗 用户是通过 DHCP 静态配置 IP 与 MAC 地址方式接入 业务控制网关自动生成一条 IP 和 MAC 地址帮定的 Ingress 方向的记录 如果其它用户做防冒 IP 地址相同 但是 MAC 地址不同 所有的数据包都会被丢弃 b 用户终端数限制 控制每个业务接入点所连接用户终端的数量 c 防 DoS 攻击 对于用户通过发送大量的 DHCP 请求 模拟不同 MAC 地址的 Host 请求 IP 地址 攻击 DHCP Server 的情况 解决方式是 DHCP 请求需要得到 Radius 服务器认证通过才能被送到 DHCP Server Radius 设定了用户的 MAC 地址和线路号绑定的功能 只有 IP 地 址和线路号在 Radius 数据库种才能获得许可申请用户的 IP 地址 对于由宽带网络网关发送大量的 DHCP 请求发送到 Radius 服务器的情况 解决方式是在用户认证通过认证获得 IP 地址之前 基于每个用户设置速率限制功能 设定每秒种只有 1 2 个 DHCP 数据包能够通过 降低对 Radius Server 的压力 对于 Radius Server 对用户的攻击模式进行判断 对来自同一个 DSLAM 线路号的 Radius 请求数量作控制 比方说在 1 秒内 最多只允许 1 个 Radius 请求 如果 1 分钟内连续出现多个 Radius 请求 则认证发生攻击 直接丢弃 Radius 数据包 d 业务隔离 下行通过 VLAN 隔离 上行方向除上网业务分配公网地址直接接入外 其它业务 包括网络管理 一律按业务类别分装在不同VPN内进行传送 e 非法组播源抑制 一般从 DSLAM 上行的端口都会将发送到组播组的数据过滤掉 在业务控制网关上与 DSLAM 下行连接的端口上不会开启 PIM 协议 组播源不会从业务 端口接入上来 f 端口隔离 设置用户水平分割组 禁止用户接入端口间直接转发 4 PPPoE 和和 IPoE 技术讨论技术讨论 下面对上述两种认证方式 进行一个综合的比较 功能功能 PPPoEPPPoEDHCPDHCP 认证效率认证效率较低较低很高很高 标准化程度标准化程度高高 RFCRFC 25162516 高高 WT146WT146 封装开销封装开销大大 增加 增加 PPPoEPPPoE 及及 PPPPPP 封装 封装 小 小 MAC IP MAC IP 客户端软件客户端软件需要需要不需要不需要 用户认证用户认证通过通过 PAPPAP CHAPCHAP 或者或者 EAPEAP 触发触发 通过通过 DHCPDHCP 发现包触发发现包触发 认证服务器认证服务器 RadiusRadiusRadiusRadius 地址分配方地址分配方 式式 IPCP IPCP 基于用户名和密码基于用户名和密码DHCP DHCP 基于线路号 基于线路号 MACMAC 地址地址 SessionSession 建建 立过程立过程 面向连接的面向连接的 Session IDSession ID无连接 用户通过无连接 用户通过 IPIP 地址标识地址标识 UC ARPUC ARP 方式方式用户在线检用户在线检 测测 PPPPPP keepalivekeepalive 包实现包实现 或者或者 DHCP RenewDHCP Renew 方式方式 安全性安全性高高高高 防地址仿冒防地址仿冒 能力能力 高高 唯一 唯一 SessionSession IDID 高 高 Anti spoofingAnti spoofing 策略 策略 控制能力控制能力端口端口 用户数用户数 带宽带宽端口端口 用户数用户数 带宽带宽 组播支持组播支持组播控制点只能在业务控组播控制点只能在业务控 制层制层 组播控制点可选择在业务控制层或接组播控制点可选择在业务控制层或接 入层入层 精确计费精确计费支持支持支持支持 1 终端支持 所有支持 IP 协议的设备都支持 不需要安装第三方拨号软件 可以广泛支持各种手持设备 移动设备 视频设备等 2 报文开销 由于 PPPoE 报文引入了 PPPoE 头 6 bytes 和 PPP 头 2 bytes 所以在所有用户流量里面增加了 8 个字节的协议开销 对于高带宽的应用 4M 以上的 高清电视等 对于处理能力不高的终端设备 压力很大 3 组播复制 由于 PPPoE 报文 是在 BNG 设备和用户之间建立点对点连接 中间的交换机层次不能很好的理解 PPPoE 报文格式 只能进行转发 无法进行针对 VLAN 等信息的有效的组播复制 所以采用 PPPoE 进行组播业务的开展 组播复制点只能是 BNG 设备 而采用 IPoE 可以把组播复制点下移到 DSLAM 一方面减 少了 BNG 设备的压力 另一方面也极大的节约了网络接入层带宽 4 用户冗余 IPoE 报文转发中 由于不需要接入 PPPoE Session Cookie 信息 非常容易做到跨机箱的用户 Session 的保护 当一个机箱断电时 所有 IPoE 的状态信息 被动态备份到另外一台设备 所以不需要用户进行重新拨号 而 PPPoE 由于转发过程中携带 BNG 生成的唯一的 Session Cookie 信息 当一台设备断电时 另 外一台设备无法获得全部的 PPPoE 状态 所以无法做到有效的跨机箱的用户冗余保护 根据上述讨论 在终端支持 封装开销和组播支持认证效率等方面 IPoE 认证具有较明显的优势 5 业务承载解决方案 业务承载解决方案 根据前面的技术讨论 IPoE 和 PPPoE 将在一段时期内并存 满足不同业务需求 随运营商向全业务提供商转型 无论采用那种认证机制 网络中必 须部署业务控制网关来对用户的接入 认证 会话及QoS等策略进行统一的管理 网络边缘业务控制设备从单一支持 PPPoE 的设备 国内运营商主要为 BRAS 向 TR101 架构定义的宽带网络业务网关 BNG 设备 同时支持 PPPoE 和 IPoE 演进 对于满足下一代 PPPoE IPoE 用户接入控制的 BNG 设备设计 不 同厂家有不同的理解 传统 BRAS 厂家是为支持 PPPoE 协议而设计的产品 可以通过添加 IPoE 功能的支持来演变为 BNG 设备 同理 传统的 Service Router 厂家设备天生支持高带宽的 IPoE 用户控制 可以通过添加 PPPoE 功能来实现完全的 BNG 功能 无论是何种演进方式 BNG 必须需要具备以下 3 种设计要素 1 强劲的 CPU 处理能力及内存容量 PPPoE IPoE 用户 session 的处理和终结都需要 CPU 进行辅助 下一代的 BNG 设备 设计需要承载 128K 用户 这样对设备的 CPU 处理能力要求很高 一 般需要多核 CPU 同时支持4G以上内存 2 大于 40G 每槽位的业务处理能力 适应大带宽的发展 每槽位支持 16K 用户 平均每用户要支持 2 4Mbps 的带宽 这样就要求下一代 BNG 设备支持 40G slot 的高带宽处理能力 3 完善的业务处理板卡 提供面向未来的增值服务 随着用户控制的深入发展 需要 BNG 设备提供 DPI 深入包检测 IPSec安全接入 视频和LTE移动业务网关的支持 4 层次化 QoS 城域网的接入部分 特别是最后一公里 是全网的带宽瓶颈 而通常接入网汇聚设备 以太网交换机 的 QoS 控制机制比较弱 因此 要求业务网关 BNG 设 备上部署 H QoS 机制 从而降低对接入网关以下的设备的 QoS 性能要求 降低了接入网的成本 简化了 QoS 管理 要求 BNG 最多可达三级调度 实现针对每用户 每业务 每应用的 QoS 策略 从而实现网络带宽的灵活调度及业务管理 采用 BNG 设备作为网络业务的控制点 先网演进建议按如下三个阶段进行 第一阶段 原有 HSI 业务仍然通过 PPPoE 方式由 BRAS 承载 综合业务用户 包月用户等通过 IPoE 方式认证的业务通过 BNG 承载 新增 HSI 业务 通过 PPPoE 方式由 BNG 设备承载 第二阶段 随 HSI 业务发展 现网 BRAS 设备必将不能满足大接入带宽的需求 建议逐步将原有用户割接至 BNG 设备 第三阶段 网络形成 BNG 的单边缘架构 在业务控制层部署基于每用户 每业务 每应用的控制策略 部署 H QoS 配和骨干网QoS 策略 实现用户管理 差 异化服务和精细运行 6 上海贝尔 上海贝尔 BNG 设备设备 上海贝尔的 7750SR 是业界第一个 50G 平台 IOM3 的 BNG 设备 兼备传统意义的 SR 和 BRAS 功能 同时能够支持 PPPoE IPoE VPN等多种业务 产品主要特点如下 7750SR 能够支持单板 50G 线速端口能力 整机 500G 线速端口能力 40 个 10GE 线速端口 500 个 GE 线速端口 7750SR 整机支持 128K 并发用户