宽带接入技术7.1

宽带接入技术及应用编著：郭世满马蕴颖郭苏宁

北京邮电大学出版社

7.1IP接入一般原理7.2用户接入管理体系7.3接入链路协议7.4接入认证/控制协议7.5接入管理协议第7章IP接入技术7.1IP接入的一般原理IP接入网总体标准——ITUY.1231Y.1001IP框架结构-电信网络和IP网络技术融合的框架结构Y.1241利用IP传送能力来支持基于IP的业务Y.1401与基于IP网络互通的一般要求Y.1310公共网络传送IPY.1541IP通信业务-IP性能和可用性指标和分配7.1IP接入的一般原理ITUY.1231IP接入网体系结构从体系、功能、模型角度描述IP接入网提出IP接入网的定义、功能要求和功能模型、承载能力、可能的接入类型及接口功能模型包括提供IP业务的IP网络高层体系和模型7.1IP接入的一般原理-定义IP接入网定义：IPaccessnetwork:Animplementationcomprisingnetworkentitiestoprovidetherequiredaccesscapabilitiesbetween“IPuser”andan“IPserviceprovider”fortheprovisionofIPservices.“IPuser”and“IPserviceprovider”arelogicalentitieswhichterminatetheIPlayerand/orIPrelatedfunctions,andmayalsoincludelowerlayerfunctions.7.1IP接入的一般原理-定义IP接入网定义由网络实体组成的一个实现，为IP用户和IP业务提供者之间的IP业务提供所需接入能力。IP用户和IP业务提供者都是逻辑实体，它们终结IP层、IP层相关功能和可能的底层功能。7.1.1IP接入网的通用体系结构7.1.1IP接入网特征7.1.1IP接入网特征IP接入网位于用户驻地网（CPN）和IP核心网之间IP接入网与CPN和IP核心网之间的接口均为通用的RP（参考点），IP接入网通过统一的抽象接口RP与驻地网和核心网相连。IP接入网的用户既可以是各种单台的用户IP设备，可以是连接多台用户驻地设备CPE的用户驻地网CPN。IP接入网没有标明业务节点的位置。7.1.1IP接入网特征IP接入网参考模型7.1.1IP接入网特征ITUY.1231典型特点用抽象概念参考点RP代替了G.902中的UNI、SNI和Q3接口。IP接入网具没有标明业务节点的位置，具有交换功能，用户端口功能可以动态的切换到不同的业务节点。IP接入网不光具有传送承载能力，还具有接入管理和控制功能，可以对用户接入进行认证和控制。

IP接入功能举例动态选择多个IP业务提供者动态分配IP地址功能地址转换NAT（网络地址解析）认证授权和记费不对称接入功能QoS功能一切可以运行IP协议的物理接口均可容许在IP接入网中使用Y.1231建议列出的接入类型有：N-ISDN、B-ISDNxDSL无线和卫星PON、SDV、HFC和其他光系统LAN/WAN7.1.2

IP接入类型ITU-T关于IP接入网结构的建议草案给出了5种IP接入方式。7.1.3

IP接入方式7.1.4直接IP接入方式7.1.5PPP隧道接入方式7.1.6IP安全协议接入方式7.1.7IP路由器接入方式7.1.8MPLS接入方式7.2

用户接入管理体系系统管理五大功能域：故障管理配置管理账务管理性能管理安全管理7.2.1

用户接入管理系统功能用户接入管理系统的功能：对用户接入进行认证、授权和记账的AAA管理QoS管理安全管理7.2.1

用户接入管理系统功能AAA管理功能用户接入管理的核心功能用户接入时进行认证、授权和记账的功能认证：确认用户接入时声称的身份（合法性）授权：根据认证结果授予用户接入的相应权限记账：记录用户对网络资源的使用，供进一步的计费、审计等使用7.2.1

用户接入管理系统功能AAA管理功能AAA系统的功能扩充审计：更为详细的记录用户接入的关键活动和对重要资源的使用，供事后的安全分析使用管理：以监管为中心，全面组织对用户接入的监督管理7.2.1

用户接入管理系统功能QoS管理：在用户接入时协商并传递用户对QoS的要求，在接入段提供QoS保证，为用户端到端的全程QoS提供支持包括基于用户请求对用户的业务流进行分类和排队，并提交给主干网调度。7.2.1

用户接入管理系统功能安全管理数据信息的安全传送：主要指用户管理数据的安全性，包括用户的认证信息和授权信息，确保用户认证和授权的正确性、有效性。网络资源的访问控制：包括网络资源和服务资源，访问控制主要结合AAA管理中的授权管理共同实现。记录用户行为以便安全审计7.2.2

接入管理系统的发展电信运营商的接入管理系统拨号接入ADSL接入BRAS接入系统7.2.2

接入管理系统的发展拨号接入管理系统集中式少数用户通过拨号接入一个城市的中心接入服务器该服务器集中了用户接入的认证、控制、记账等多种功能小型校园网、小规模的备份拨号服务系统7.2.2

接入管理系统的发展拨号接入管理系统分散式每个接入局各自有一个拨号服务器，自主管理本局的接入用户各个局的用户数据相互独立，不受高一级服务器管理用户只能在注册接入局拨号上网，系统不提供不同接入局上网的服务7.2.2

接入管理系统的发展拨号接入管理系统集中分布式各个接入服务器分布在各自的接入局执行具体的用户接入控制功能时，接受同一个集中的认证服务器（AAA服务器）的仲裁。用户可在AAA服务器管辖范围的任意接入服务器拨号上网接入服务器与AAA服务器之间使用统一的RADIUS协议7.2.2

接入管理系统的发展ADSL接入管理系统沿用了集中分布式接入管理系统结构接入服务器在AAA服务器的仲裁下执行接入控制功能7.2.2

接入管理系统的发展宽带接入服务器BRAS采用集中分布式结构BRAS宽带远程接入服务器开放型的BRAS和功能更丰富的AAA服务器7.2.2

接入管理系统的发展宽带运营商的接入管理系统PPPoE接入结构接入控制协议802.1X7.2.2

接入管理系统的发展PPPoE接入结构在以太网上运行PPP协议，基本上是集中式接入控制结构穿越L2的交换式以太网建立虚拟的PPP管道（PPPoE会话），使用户的以太接口终端连接到PPPoE服务器，通过类PPP协议，PPPoE服务器执行认证和接入控制功能大量PPPoE管道穿越交换式以太网，给以太网带来沉重负担7.2.2

接入管理系统的发展接入控制协议802.1X基于端口的接入控制协议接入控制功能在用户接入的第一个设备-接入交换机上交换机在用户接入时，与用户交互接入认证所需信息并将必要信息远程传送到AAA服务器，认证授权后返回接入交换机，接入交换机据此开放接入端口。接入交换机采集用户活动信息并定期发送到AAA服务器。7.2.3

接入管理系统结构集中分布式结构分布控制、集中认证的机制管理用户接入系统在靠近用户接入的适当位置设置多个接入控制设备（网络接入服务器NAS）全系统集中设置一个认证服务器（AAA服务器）大型系统分域管理时可每个域设置一个子系统的AAA服务器7.2.3

接入管理系统结构集中分布式结构用户接入时首先进入NAS，用户与NAS交互用户接入信息，如用户名和口令等NAS和AAA服务器交互必要的用户信息，由AAA服务器授权NAS控制用户的接入在接入期，NAS采集用户活动信息，定期报送AAA服务器进行记账和审计处理7.2.4

接入管理基本协议AAA与NAS之间：RADIUS协议，通过NAS和RADIUS服务器交互执行认证、授权、记账等功能NAS与用户之间：PPPoE等PPP协议族，802.1X，承载用户信息、交互认证信息等，是链路级协议认证协议：在用户与NAS之间交互，通过用户名、口令密码及加密算法等，进行身份认证7.2.4

接入管理基本协议接入链路协议、接入认证/控制协议、接入管理协议7.3

接入链路协议提供链路通信服务提供或便于实现基于用户的接入控制功能通常作为接入认证/控制的承载协议典型：802.3系列以太网协议，802.11无线局域网协议，PPP协议，PPPoE协议等7.3.1PPP协议主干路由器之间点到点连接的同步串行链路、拨号用户远程接入网络时的异步链路、虚拟的点到点链路帧封装方法链路控制协议（LCP）网络控制协议（NCP）用户认证7.3.1PPP协议-协议模型协议分层模型7.3.1PPP协议-协议模型LCP协议：PPP链路操作的关键协议完成链路的建立、协商、配置和终止NCP协议：PPP为不同的网络层协议设计了相对应的NCP协议处理不同网络层协议的特殊需求，完成网络层任选参数点的协商。例如网络层地址的管理和分配等7.3.1PPP协议-封装格式使用HDLC的UI帧封装格式增加一个“协议”字段，允许不同网络层协议复用在相同链路上两个PPP帧之间用1个字节的标志字段分隔7.3.1PPP协议-协议操作链路建立、配置和终止分为五个阶段链路死亡阶段链路建立阶段认证阶段网络层协议阶段链路终止阶段7.3.1PPP协议-协议操作链路建立、配置和终止分为五个阶段7.3.1PPP协议-协议操作链路死亡阶段：物理层还没有准备就绪。当PPP获知其物理层准备就绪后，进入链路建立阶段链路建立阶段：通过LCP链路配置分组协商链路参数，修改链路配置信息，建立数据链路。认证阶段：可选。由LCP链路配置协商过程决定是否进入该阶段，及选用哪一种认证协议。主要进行点到点链路两端通信节点间的相互认证操作。网络层协议阶段：使用NCP选择和配置对应的网络层协议。每个NCP可随时被打开或关闭。链路终止阶段：PPP可在任意时间发送LCP链路终止分组终止链路7.3.1PPP协议-协议操作LCP分组：链路配置分组：建立和配置链路链路终止分组：终止链路链路维护分组：管理和测试链路基本格式：

〈编码〉〈标识号〉〈长度〉〈任选参数列表〉7.2.7配置请求消息结构示例7.3.2

PPPoE协议将以太网技术和点到点协议结合在一起，提供一种虚拟拨号接入的方式。在以太网上传输PPP数据帧，从而在广播型的多路访问网络中实现PPP基于用户的接入管理功能ISP可以通过DSL、cablemodem或无线连接等接入方式，提供支持多用户的宽带接入服务，而呈现给用户的还是熟悉的用户接口7.3.2

PPPoE协议-接入模型PPPoE接入模型7.3.2

PPPoE协议-接入模型接入集中器：又称为PPPoE接入服务器桥接接入设备：通常是以太网交换机以太网交换机与PPPoE接入服务器之间是虚拟专线（如DSL）或以太网连接7.3.2

PPPoE协议-接入模型主机通过一个以太网交换机与PPPoE接入服务器建立一个PPP会话，即一条PPP虚拟链路。建立过程分为两个阶段发现阶段：用户主机以广播方式寻找可以连接的所有PPPoE接入服务器，并获得所选择服务器的以太网MAC地址，然后建立PPPoE会话标识。会话阶段：用户主机与PPPoE接入服务器在协商建立的PPPoE会话上开始PPP会话过程，传输PPP帧。7.3.2

PPPoE协议-协议模型协议分层模型：本质上仍是一个数据链路层协议7.3.2

PPPoE协议-封装格式封装格式：协议分组封装在以太网帧的有效载荷中7.3.2

PPPoE协议-协议操作发现阶段：完成PPPoE会话的建立主机希望发起一个PPP会话时，必须首先发现对方的以太网MAC地址，建立一个PPPoE会话标识根据网络拓扑结构，主机可能发现多个PPPoE接入服务器发现阶段允许主机从所有发现的PPPoE接入服务器中选择一个来建立PPPoE会话7.3.2

PPPoE协议-协议操作发现阶段操作主机广播一个PADI分组，有效载荷字段包括服务名称标记，指示主机所请求的服务PPPoE接入服务器收到PADI分组后，如果可以向主机提供它所请求的服务，就回应一个PADO分组；如果不能提供，不做回应PADO分组包含服务器名称标记和可提供服务名称标记主机收到多个PADO分组后，选择一个合适的，然后向所选择的服务器发送PADR分组PADR分组包含服务名称标记，确定服务种类7.3.2

PPPoE协议-协议操作发现阶段操作PPPoE接入服务器收到PADR分组后准备开始PPPoE会话，产生唯一的会话标识，并在PADS分组中该会话标识送交给主机PADS分组中，会话标识是PPPoE接入服务器所产生的PPPoE会话标识，有效载荷必须包含表明PPPoE接入服务器所提供服务的服务名称。主机收到PADS分组后，发现阶段成功完成双方都获得了用于在以太网上建立点到点连接所需的所有信息，进入会话阶段一旦会话建立，主机和PPPoE接入服务器都必须为其PPP虚拟接口分配资源7.3.2

PPPoE协议-协议操作发现阶段操作7.3.2

PPPoE协议-协议操作PPP会话阶段PPP帧封装在PPPoE分组中在以太网上发送。在会话建立后，主机或PPPoE接入服务器可随时发送PADT分组来终止PPPoE会话PADT会话标识是需要终止的PPPoE会话的会话标识7.4接入认证/控制协议主要用在用户和BAS之间实现对用户的认证和接入控制PAPCHAPEAPIEEE802.1X7.4.1PAP协议在PPP链路建立阶段，通过LCP的链路配置分配分组指定认证阶段的认证协议为PAP协议在PPP认证阶段，重复向对方发送明文的‘用户名/口令’信息，直到收到对方的回应或链路终止。PAP认证是双向的，链路两端的节点同时具备Peer和Authenticators的功能。7.4.1PAP协议PAP认证过程7.4.2CHAP协议在PPP链路建立阶段，通过LCP的链路配置分组指定认证阶段的认证协议为CHAP协议在PPP认证阶段，使用一种3次交互方式验证对方在后续网络层协议阶段到链路终止阶段中，仍然可以随时重复这一验证过程7.4.2CHAP协议CHAP认证交互过程7.4.2CHAP协议Peer和Authenticator之间有一个共享密钥Authenticator在送往Peer的CHAP质询分组中携带一串长度不固定的随机字节流（质询值）Peer用密钥将送来的质询值加密后封装在响应分组中送给AuthenticatorAuthenticator使用共享密钥解密响应值，检查正确性，并将认证结果返回给Peer整个PPP链路使用期间可进行多次认证交互，每次质询分组标识和质询值都要改变7.4.3EAP协议认证协议的封装协议把PPP链路建立阶段的认证协议选择延迟到可选的PPP认证阶段允许认证系统在决定具体认证机制之前能够请求更多的信息7.4.3EAP协议-协议模型EAP协议分层模型：多路复用模型7.4.3EAP协议-协议模型低层：负责收发Peer和Authenticator间封装EAP分组的帧。EAP层：经由低层收发EAP分组，实现分组的重复性检测和重传，向上层递交或从上层接收EAP报文EAPPeer/Authenticator层：为被认证/认证方提供Peer/Authenticator功能EAP方法层：实现多种认证算法，收发EAP报文，支持EAP分组分段和重组7.4.3EAP协议-协议模型EAP协议是一个对等协议，允许双向认证，但要求EAP方法层的认证算法、AAA协议和链路层提供相应支持使用EAP协议，能更好的配合AAA协议进行用户的接入管理。允许一个后台认证服务器，如RADIUS服务器来支持多种认证方式，实现EAPAuthenticator功能的NAS仅仅用来转发用户和后台服务器之间的认证信息，并根据认证结果终止认证过程7.4.3EAP协议-协议模型采用后台认证服务器的EAP分层模型7.4.3EAP协议-协议交互过程EAP交互过程7.4.3EAP协议-应用EAP在PPP网络中的使用延迟认证协议的选择，从PPP链路建立阶段延迟到可选的PPP认证阶段在LCP的链路协商过程中将选择认证协议为EAP协议LCP的认证协议协商通过后，在PPP认证阶段开始EAP的协议交互过程，确定并使用具体的认证机制7.4.4802.1X协议专门针对802LAN用户的接入管理协议标准“基于端口的网络接口控制”为LAN用户提供AAA管理中的认证和授权功能。7.4.4802.1X协议参与接入控制的系统被分为三种类型：客户系统：运行802.1X客户软件的用户终端系统认证系统：为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备，如支持802.1X协议的以太网交换机或AP认证服务器系统：为认证系统提供认证服务，如AAA服务器基于端口的接入控制端口：是用来连接客户系统和认证系统的LAN端口。在WLAN中，多个无线站点接在一个AP的同一个无线端口上，形成一种点到多点的接入方式。为了便于单独控制每个无线站点的接入，802.1X协议将端口概念从物理扩展到了逻辑在每个AP的物理端口上为每个无线站点创建一个逻辑端口在每个逻辑端口上对每个对应的无线站点进行802.1X接入控制7.4.4802.1X协议7.5接入管理协议用在BAS和接入管理服务器之间实现对用户的认证、授权和账务管理，即AAA管理也将接入管理服务器称为AAA服务器，将接入管理协议称为AAA协议RADIUS协议（remoteauthenticationdialinuserservice远程拨号用户认证）Diameter协议7.5接入管理协议接入管理协议网络结构7.5接入管理协议AAA的基本操作过程：端用户建立与接入点的物理连接，请求接入网络接入点中的AAA客户功能采集用户凭证信息并将此前传给AAA服务器服务器处理数据后返回接受或拒绝响应以及其他相关的数据接入点中的AAA客户通知用户接入允许或拒绝在连接建立和终结过程中，接入点还将向服务器发送记账信息RADIUS应用环境7.5.1RADIUS协议7.5.1RADIUS协议-三层模型三层集中管理模型：用户-NAS-RADIUS服务器RADIUS服务器可以是认证服务器或账务服务器，或二者兼具，可以作为其他AAA服务器的代理客户7.5.1RADIUS协议-三层模型用户接入网络时，用户通过接入协议将其接入请求信息送交给NASNAS并不对信息进行处理和响应，而是作为RADIUS客户将用户接入请求信息传递给指定的RADIUS认证服务器RADIUS认证服务器负责接收用户的接入请求，认证用户，向NAS返回所有为用户提供接入服务所必须的配置信息NAS将RADIUS认证服务器响应通过接入协议通知给用户，并为用户提供相应的接入服务7.5.1RADIUS协议-三层模型用户离开网络时，NAS将用户对网络资源的使用情况，如时间、流量等账务信息发送给RADIUS账务服务器RADIUS账务服务器记录用户的账务信息，作为网络管理和用户管理的参考资料RADIUS三层模型极大的减轻了用户信息的维护工作量，也减轻了NAS的用户管理开销只定义了NAS和RADIUS服务器之间基于客户/服务器模式的AAA交互操作和报文格式，对用户和NAS之间的接入认证协议未作任何规定和限制7.5.1RADIUS协议-报文格式RADIUS报文被封装在UDP数据报中传送7.5.1RADIUS协议-报文类型RADIUS认证/授权报文接入请求报文：NAS发往RADIUS认证服务器，传送用来确定用户是否允许接入NAS的信息及用户所请求的特定服务接入许可报文：RADIUS认证服务器向NAS发送，当RADIUS收到的接入请求报文的所有属性值可以接受，提供接入服务必需的特定配置信息接入拒绝报文：RADIUS认证服务器向NAS发送，当RADIUS收到的接入请求报文的任一属性值不能接受时接入质询报文：RADIUS认证服务器向NAS发送，如果RADIUS认证服务器的认证操作采用质询/响应模式，RADIUS收到接入请求报文后回应7.5.1RADIUS协议-报文类型RADIUS记账报文记账请求报文：NAS发往RADIUS认证服务器，传送有关用户所获得服务的账务信息记账响应报文：RADIUS认证服务器向NAS发送，

当RADIUS收到记账请求报文后，如能成功记录账务信息，用来通知NAS记账请求已被接收和成功记录；否则不发送任何应答7.5.1RADIUS协议-协议操作认证操作需要用户与NAS间接入协议的配合，用户的认证信息必须通过认证协议获得NAS获得用户的认证信息后，创建一个接入请求报文接入请求报文经网络提交给RADIUS认证服务器服务器没有返回响应消息，NAS将重复发送该请求报文多次在主服务器故障或不可达时，NAS也可以向一个多个备份服务器发送请求报文7.5.1RADIUS协议-协议操作认证操作RADIUS认证服务器收到请求报文后使用共享密钥机制验证发送报文的NAS，如果NAS不合法丢弃该报文，如果NAS合法，RADIUS根据用户名查询用户数据库如果RADIUS没有查到匹配的用户记录，向NAS发送一个接入拒绝报文，表示该用户的接入请求无效如果RADIUS查到匹配的用户记录，可以采取两种不同认证方法完成后续的用户接入认证和授权操作。请求/响应方式或质询/响应方式7.5.1RADIUS协议-协议操作请求/响应方式：简单的“一问一答”方式RADIUS认证服务器根据接收到的接入请求报文检查接入用户的合法性，将该用户对应的授权信息通过一个接入许可报文或接入拒绝报文回应给NAS7.5.1RADIUS协议-协议操作质询/响应方式:更安全RADIUS认证服务器不回应接入许可报文或接入拒绝报文，而是回应一个接入质询报文该报文携带一个随机产生的质询值，还可以包含一个经由NAS显示给用户的文本消息NAS收到接入质询报文后，将质询值和文本消息送给用户，提示用户做出响应NAS将原用户认证消息封装在一个新的接入请求报文中，用用户响应值替代用户口令RADIUS用接入许可或接入拒绝报文响应这个新的请求报文7.5.1RADIUS协议-协议操作质询/响应方式认证过程7.5.1RADIUS协议-协议操作记账操作只涉及NAS和RADIUS账务服务器间的交互服务开始时，NAS生成一个表示记账开始的记账请求报文送往RADIUS账务服务器RADIUS账务服务器返回一个表明该开始记账请求已收到的记账响应报文服务终止时，NAS产生一个表示记账请求结束的记账请求报文送往RADIUSRADIUS账务服务器返回一个表明该结束记账请求已收到的记账响应报文7.5.1RADIUS协议-协议操作记账操作如一段时间内没有收到请求报文的响应信息，NAS使用某种后退记账重复发送直到收到应答在主服务器故障或不可达时，NAS也可以向一个多个备份服务器发送请求报文如果RADIUS账务服务器不能成功处理记账请求，不能向NAS发送记账响应报文7.5.1RADIUS协议-协议操作记账操作记账过程7.5.1RADIUS协议-协议操作RADIUS代理：中继功能RADIUS服务器收到一个来自客户（如NAS）的认证或记账请求后，向一个远程RADIUS服务器提交该请求收到来自远程服务器回复后，将该回复传送给自己的客户一个RADIUS服务器可同时作为某些管理域中的中继服务器和其他管理域的远程服务器，