基于DHCP的宽带多业务接入认证与地址管理解决方案

1、点击此处添加标题,基于DHCP的宽带多业务接入认证与地址管理解决方案,方案背景 业务需求 建设方案 系统部署 Q&A,议题,方案背景,随着宽带时代的挺进，越来越多的宽带应用被逐步的实现，如宽带上网（有线、无线）、IPTV、VOIP、视频监控等。 但是目前实现这些应用，对于电信运营商而言，仍存在一些问题： 用户端和宽带接入服务器之间仍是点对点的通道，接入和认证方式对于有些个性化业务的开展并不适合；,业务背景描述,从数据网的现状来看，随着承载业务的丰富，特别随着语音、视频的丰富，其他市场范围的发展会成为必然趋势。 IPTV、家庭网关、视频通话、WLAN业务的认证，需要对于现有的认证方式有所突破 I

2、PoE认证方式是大势所趋,DHCP协议本身并没有用来认证的功能，但是DHCP可以配合其他技术实现认证，即DHCP+认证方式： DHCP + web方式； DHCP + 客户端方式； 利用DHCP+option。,DHCP核心技术及主流方案,DHCP核心技术及主流方案,DHCP（Dynamic Host Configuration Protocol）是TCPIP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。 DHCP运行分为四个基本过程，分别为请求IP租约、提供IP租约、选择IP租约和确认IP租约。,客户端,服务端,DHCP发现,DHCP提供,DHCP请求,DHCP确认,broadc

3、ast,broadcast,unicast,unicast,客户在物理子网上发送广播来寻找可用的服务器。,DHCP服务器收到IP租约请求，提供一个IP租约。,客户收到一个IP租约提供时，告诉所有其他的DHCP服务器它已经接受了一个租约提供,当DHCP服务器收到来自客户的DHCPREQUEST消息后，它就开始了配置过程的最后阶段。,新一代DHCP技术概念,新发展的DHCP应用系统架构已经改变了传统的技术概念，DHCP仅是前端的一个功能模块，而其后台的策略和权限控制及其与业务系统和营业系统打通的接口构建了一整套完善的可运营的业务流程，除DHCP Client与承载网络设备没有改变之外其他服务器部分

4、完全是新扩展的。 例如，在IPTV解决方案中，系统的DHCP部分是一个逻辑简单的地址分配单元，只是整套系统的一个功能模块，DHCP模块需要的是高性能，而真正复杂的是后台对运营能力起重要作用的完善的地址分配逻辑和地址的管理与回收机制。在实际运营中要能够根据各种不同的策略进行认证授权、地址分配、绑定和解绑定，对用户的移机、拆机、设备及线路维护更换、业务变更、地址盗用、各种攻击以及未知问题等实际运营中会出现的正常需求和来自各方面的风险要有完善的考虑和成熟的解决方案，实际需要的不只是一套地址分配系统，而是一套完善的可运营的系统解决方案。,方案背景 业务需求 建设方案 系统部署 Q&A,议题,IPoE系

5、统并非适合所有业务模式,适合业务模式 IPTV HGW VC WLAN ,NGN业务主要需求,根据OPTION60识别终端设备类型； 根据OPTION60与终端所在子网自动为终端返回其相应的指定软交换服务器地址与端口参数（OPTION176或厂商终端适配）,实现终端自动接入配置； 根据OPTION60与终端所在子网和MAC为需要启动配置文件的SIP和H.323终端通过OPTION66或OPTION150返回其相应的指定TFTP服务器参数； 根据OPTION60、OPTION82和MAC按预定义的地址分配策略为终端分配指定的IP地址； 分配IP地址之前对终端的MAC地址进行认证，以防范非法设备入

6、网，防止用户PC或其他用户设备错接网口时获得VoIP网络地址而占用地址资源、影响用户正常上网或病毒等来自用户的安全隐患对SoftSwitch造成攻击； 方便的地址扩容能力，灵活的DHCP RELAY接口与地址池任意组合功能；,IPTV业务需求,基于IPTV业务的特殊性要求，对接入系统的要求如下： 能够支持组播应用的顺利开展，减少运营商在核心网络扩容改造方面的巨额投资； 能够区分不同的终端类型以进行业务分离，顺利支持增值业务的开展； 实现认证流和业务流分离，接入认证和业务认证分离，以提高宽带视频等多媒体增值业务的提供效率； 能够控制同一用户的终端类型及数量，方便运营商对终端设备采取集中式管理，提

7、高自身的运营效率； 具备高并发IP地址请求处理能力，保证所有用户能够顺利登录网络并接受服务； 认证系统必须具有强大的可扩展性和稳定性，能够可靠提供业务并顺应IPTV等新型业务快速发展的趋势。,无线城域网,无线城域网为人们的移动办公提供了便利条件，无线接入时的地址分配亦需要提供一致的便利性。 对于需要按使用时长进行收费的场所可以使用DHCP+CLIENT接入认证方式；不需要收费的场所可以考虑直接使用单纯的DHCP模式分配地址，可以按实际使用的需求来灵活的选用不同的接入策略。 DHCP+CLIENT用户名、密码认证方式下，用户开机即获得一个受限的地址，在使用浏览器访问网络时由网络设备将其重定向到门

8、户网站，可以进行开户注册、登录认证等。,家庭网关,家庭网关管理地址分配； 终端地址分配： 在同一VLAN内挂接多种类型终端时，需要根据Option60分配不同子网地址； 所挂接的终端均通过独立VLAN接入时，需要支持灵活的Option82绑定策略；,宽带业务认证与地址管理现状,1.PC发起PPPOE认证请求,1.启动后发起PPPOE请求,2.DSLAML将报文发到BAS设备,3.BAS发起Radius请求到AAA进行认证,4.根据用户帐号进行认证,5.认证通过后给PC分配地址,DHCP+ VS PPPOE,PPPoE认证方式更适合上网这样需要 能对用户进行实时计费的业务,DHCP+认证方式更适

9、合IPTV这样通过包月方式 进行运营，需要通过组播方式进行开展的业务,针对IPTV等大带宽业务认证与地址管理解决方案,1.启动后发起DHCP请求,2.DSLAML根据用户的位置信息，将DHCP报文增加到OPTION82后发送到DHCPServer,3.把OPTION信息封装到RADIUS扩展字段进行认证,4.根据OPTION信息进行认证,5.认证通过后给PC分配地址,采用集中DHCP带来的好处,外置DHCP,IPoE IPTV vs PPPOE IPTV,BAS,SR,汇聚交换机/OLT,DSLAM/ONU,RG,每用户多PVC接入，IPTV与上网业务采用不同PVC；,IP MAN/PIM域,

10、BAS作为末级组播复制控制点，组播流提供PPPOE以单播的方式推送到STB,RG,Internet,IPTV,汇聚交换机/OLT承载IPTV业务与PPPOE互联网业务没有任何区别,STB,STB为PPPOE客户端,BAS,SR,汇聚交换机/OLT,DSLAM/ONU,RG,每用户多PVC接入，IPTV与上网业务采用不同PVC；,一平面,SR作为组播业务控制网关,RG,汇聚交换机/OLT支持L2组播协议IGMP Snooping功能,STB,STB为DHCP客户端,STB,STB,DSLAM/ONU只需与互联网业务一样透传PPPOE业务,DSLAM/ONU需要支持IGMP，DHCP Relay，

11、支持Option 82,PPPOE IPTV业务网路模型,IPOE IPTV业务网络模型,二平面 PIN 域,IPoE IPTV vs PPPoE IPTV,vlan 3090,带宽的节省： 相对于目前BRAS PPPoE的IPTV组播业务，采用IPoE组播后，SR与汇聚交换机之间的带宽将极大的节省；IPTV用户越多，带宽节省越大；参考右边说明； 组播复制点下移，减轻业务层面SR/BRAS的复制压力；因为在SR上IPoE不是逐用户复制； 由于IPoE省去了PPP协议层，节省了协议头开销，也简化了机顶盒的流量处理开销；,跨vlan复制,BRAS,SR,RG,IP MAN/PIM domain,R

12、G,GE,GE,vlan 3090,vlan 3090,假设有100个组播频道，每个频道2M；,IPTV,假设有1000个用户收看组播频道，则PPPoE模式下，BRAS与汇聚交换机之间需要2G带宽；,IPoE模式下，SR与汇聚交换机之间只需要200M带宽承载全部组播流，与用户数无关，用户数越大，带宽占用越有优势；,组播复制点下移到DSLAM，DSLAM设备需支持跨VLAN组播复制；IGMP snooping/option82插入功能；,汇聚交换机支持vlan/选择性qinq；支持链路捆绑功能(可选)；,家庭网关RG工作于桥模式（Bridged）；机顶盒启用IPoE+DHCP方式；,SR需支持D

13、HCP RELAY，支持QoS、防DOS攻击、支持PIM协议；,汇聚交换机 /PON-OLT,DSLAM /ONU,RG,RG,GE,GE,GE,GE,二平面 /PIM domain,Internet,IPTV,一平面,IPoE IPTV对各层网络设备功能的要求,对于WLAN、IPTV、家庭网关三种业务是如何支持的？,通过家庭网关划分VLAN来区分不同业务,方案背景 业务需求 建设方案 系统部署 Q&A,议题,保持现有RADIUS用户控制架构不变（兼容PPPoE业务） 采用DHCP动态主机配置机制技术进行IP地址的集中管理与分配 在DSLAM/PON中插入Option82线路信息规程，为接入认

14、证提供物理网络通路的定位信息 利用终端设备MAC地址(Media Access Code介质访问代码）终端固有网络物理属性进行身份识别、鉴权 MAC地址共48位，最大可为280万亿个终端不重复排序， -可称之为:IP指纹 综合上述四种机制单元，“利用Option82线路信息与MAC地址这终端固有物理网络属性进行用户的身份识别、确认后由DHCP主机自动分配网络地址”的方式组成了称之为：IPoE认证体系。,何为IPOE,IPTV认证系统构成,MSE,DHCP Server,UE,AAA,SESSION级IPOE,非SESSION级IPOE,IPoE的演进路线,简单DHCP IPoE,非Sessio

15、n级IPoE,Session级IPoE,业务的安全性、部署能力、可管可控能力,IPoE的演进非Session级IPoE,MSE/SR,DHCP Server,AAA,UE,支持DHCP Relay 支持DHCP Snooping,将DHCP Option中用户名密码等信息转换成Radius属性 根据规则为用户分配IP地址,根据DHCP Server送过来的用户名、密码，进行认证，并返回结果,IPoE的演进Session级 IPoE,MSE,DHCP Server,UE,AAA,将DHCP Option中的用户名密码等信息转换成Radius属性，通过AAA认证 支持DHCP Relay 支持DH

16、CP Snooping；,根据规则分配IP地址,根据认证请求，提取用户名、密码进行认证； 提取NAS-Port-ID进行用户绑定；,IP SESSION,IPoE的演进方案比较,非Session级IPoE,Session级IPoE,会话控制,总体流程,改造复杂度,有session控制，能够实现比较精确的时长、流量等计费方式，与PPPoE类似,无session控制，只能根据租约时间进行较粗略按时长计费,MSE设备是整个系统的核心，进行接入控制，与PPPoE方式类似。DHCP Server只完成地址分配功能。,DHCP Server是整个系统的核心，提供认证计费代理以及地址分配功能。设备只要求做D

17、HCP Relay和DHCP Snooping。,需要新增MSE设备，或对现有的设备进行升级，改造的复杂度较大。,只需新增DHCP系统，并利用SR设备进行IPoE接入。无须对现有设备升级，改造复杂度较小。,成熟度,较成熟，基本具备部署的条件,需设备支持,用户机顶盒的IPOE认证方式,非SESSIONS级IPOE用户接入流程,SESSIONS级IPOE用户接入流程,32,在IPoE接入方式下，用户认证并获得业务授权的业务流程如下： 1.用户的业务终端发出DHCP Discover消息，该消息通过二层接入设备中继至SR，二层接入设备可以根据要求在DHCP Discover中插入Option 82，

18、提供用户的线路信息； 2.SR保持住用户的DHCP Discover，提取相关信息（例如MAC、Option 82），并利用RADIUS协议与BIAS平台的RADIUS服务器进行交互，对用户进行认证，获取用户的业务控制以及QoS策略；RADIUS服务器基于用户的MAC地址或线路信息对用户进行认证，确定用户的业务类型，并下发相关的业务授权及QoS策略给SR；,IPoE业务接入流程,33,3.认证过程完成后，SR将DHCP Discover转发给BIAS平台的DHCP服务器； 4.DHCP服务器与用户终端进行交互，完成动态IP地址分配过程，用户终端获得IP地址，SR将用户的业务控制和QoS策略与该

19、IP地址绑定； 5.用户终端可以访问相应的业务系统使用相应的业务，例如NGN电话机可以使用NGN话音业务，IPTV终端可以使用IPTV业务。,IPoE业务接入流程,IPoE认证体系解决方案除了具备标准IPoE的通用优势外，还充分考虑了：（1）安全性（2）业务过渡的平滑性（3）技术标准的规范性几个因素，在体现技术优势的同时，考虑对业务的支持优势,实现IPOE重点考虑,（1）IPoE解决方案的安全性考虑,接入设备,业务路由器,DHCP 中继,DHCP 中继,DHCP 响应,DHCP,集中认证与 IP地址管理,RADIUS认证,Radius,DHCP Snooping,DHCP 响应,认证层面DHC

20、P与RADIUS相结合，解决DHCP的安全问题 采用先认证后分配地址的机制，使IPoE具备和PPPoE相同的安全性 确保IPoE体系下的DHCP具备与Radius同等级的安全级别 这一特点在国内尚处首创，较为彻底的解决了DHCP的安全隐患 网络安全性 通过Option82线路信息规程 精确绑定用户线路，防止业务盗用 通过DHCP Snooping地址侦测机制 防止已分配的IP地址被盗用,DHCP Snooping,仿冒DHCP SERVER,采用VLAN 隔离的方式，实现用户之间的隔离，避免恶意用户私自架设DHCP Server 对其他用户的影响 二层网络开启DHCP Snooping，将下行

21、端口配置非信任端口，在非信任端口上不接受DHCP Offer 报文 采用DHCP 认证的相应机制，实现DHCP Client 和DHCP Server 间的认证；但此种方式需要Client 端支持相应的Option 及其相关的处理功能。,用户DHCP泛洪攻击,限制MSE发送过来的Radius 请求速率。要求MSE 设备基于设备级限制每秒只发送一定数量的Radius 请求到Radius Server，可以实现Radius Server 的保护；支持基于用户级限制处理DHCP 请求的数量，实现用户级的控制，有效限制用户的DHCP 泛洪攻击。 可以在二层接入网，基于用户的接入端口，限制每用户端口允许

22、的MAC 地址数量，配合进行安全控制。,（2）IPoE解决方案充分考虑标准的兼容性,充分借鉴WT-146标准规范，确保整个技术方案对国际标准的兼容 而WT-146规范中充分考虑了PPPoE的现状，因此首次提出了PPPoE与IPoE的过渡规范，强调了IPoE与PPPoE的并存； IPoE认证体系解决方案同样支持IPoE与PPPoE业务的同平台共存,（3）IP地址资源集中分配与管理,由于采用了集中式DHCP技术，实现了全网IP地址统一调配、统一管理，简化业务实施部署流程、提高地址的使用率 为保障IP地址分配的安全性，IPoE认证机制与RADIUS配合，采用先认证后分配地址，保证地址分配的合理性 D

23、HCP技术采用与RADIUS相同的电信级冗余保护机制，保障IP地址分配的可靠性 DHCP技术还采用了特定的基于散列优化算法，保证全网用户IP地址分配的高效性、唯一性 经严格压力测试，单机可达百万用户级，并支持群组结构，具备电信级特点,39 | TiMOS-6.0 workshop | March 2008,（4）现有业务方式的兼容考虑,传统上网业务 可继续走PPPoE,新型宽带业务 直接走IPoE,可靠原则 减少对于现有网络的影响和改造 平滑过渡 原有宽带上网方式不变，主要针对新增业务 稳定原则 尽量减少对于现有系统的影响，保持稳定,40,根据上述需求AIOBS系统建设需要以下几部分： 1、D

24、HCP server模块 2、基本协议解析模块 3、IP地址数据库管理模块 4、策略管理模块 5、业务策略下发模块 6、Radius改造模块 7、唯一在线改造模块 8、业务管理模块 9、网管监控模块 10、统计查询模块 11、自服务查询模块,业务建设方案,41,协议解析要求： 主要负责协议的解析、包解析、Option82解析，接收DHCP IP池管理模块返回ip分配信息，获得ip地址，并将获得的IP包组装处理,下发给client端。 统一IP池管理要求： 主要IP地址的统一管理和分配，IP地址的回收、续租，数据同步管理等功能。 DHCP系统的基本管理： 负责管理SR/BRAS，以及其所管辖的I

25、P地址池； IP地址池记录的增删改查等。,DHCP SERVER模块建设,DHCP系统功能要求,地址分配功能 标准DHCP协议地址分配 DHCP OPTION 属性解析 根据OPTION 属性进行地址分配（支持OPTION82和OPTION60） 根据MAC进行地址分配 根据OPTION 属性MAC组合进行地址分配 自动与手动地址授权绑定 不同情况下的解绑定处理 灵活组合的地址分配策略 完善的地址管理能力 多地址池共享功能 任意网关与任意地址池灵活绑定 地址池业务属性配置与按终端业务类型自动匹配分地址 分配地址同时按策略动态返回终端所需OPTION,43,根据DHCP协议交互过程中所携带的用户

26、物理或逻辑信息，Option 61/60标识进行认证。,认证服务器系统建设,认证系统与原宽带认证计费系统共用。 针对线路信息等的属性字段进行认证。 具备批量数据割接导入功能。 具备与受理系统和IPTV业务平台对IPOE的用户信息同步功能。,认证系统建设,44,集中策略管理功能的建设,负责SR的控制策略的对应管理，包括策略的增加、修改、删除等功能。,策略下发管理系统建设,管理IPOE认证系统的业务策略，并为各业务系统进行策略下发，包括针对Radius认证的认证策略，针对DHCP IP地址资源管理系统的地址分配策略，针对IP地址分配系统动/静态地址分配功能的绑定策略等。,策略管理功能建设,45,AIOBS系统用户管理系统需按照BSS综合受理系统的账户开户、销户等流程的要求对接入账户进行增、删、改等操作，即设置与外围系统的业务受理接口，实现用户开户、销户、变更等等的相关受理功能；根据设备与网络资源系统的数据同步用户对应的终端MAC地址或DHCP的线路及终端option信息。 机顶盒第一次在IPTV平台完成业务认证时，IPTV平台通知AIOBS系统将此时的