1.引言
　　目前，電信運營商發(fā)展寬帶接入業(yè)務主要采用的是PPPoE接入控制，Radius認證的方式管理用戶。這種方式采用動態(tài)分配IP地址，對每用戶帶寬進行控制，很好地支持了寬帶業(yè)務的發(fā)展。由于寬帶應用業(yè)務呈現(xiàn)多樣化的發(fā)展趨勢，特別是三網融合試點工作的啟動，IPTV等流媒體業(yè)務和智能設備接入應用業(yè)務不同于一般的網頁內容推送寬帶業(yè)務，PPPoE接入方式已不能滿足發(fā)展要求。IPoE接入控制方式不需要安裝客戶端程序，不需要輸入用戶名和密碼，屬于零配置部署，非常適合新型的網絡終端設備，如IPTV機頂盒，WLAN，手持IP終端，視頻監(jiān)控，VoIP等零配置需求的終端。在三網融合的大背景下，IPoE方式提供規(guī)模發(fā)展IPTV業(yè)務的接入控制解決方案尤其有深遠意義。目前，主流的接入認證控制技術主要包括PPPoE和IPoE。
2.主流接入認證控制方式
　　2.1 PPPoE認證技術
　　(l)PPPoE認證簡介
　　PPPoE(PolntoPoilltProtocaloverEtherne）指在以太網上承載PPP協(xié)議，利用以太網將大量的主機組成網絡，接入因特網，并對接入的每一個主機實現(xiàn)控制。PPPoE是在以太網上對PPP的封裝，提供了在以太網廣播鏈路上進行點對點通信的能力。PPP協(xié)議通過3個協(xié)議協(xié)商階段：鏈路控制協(xié)議LCP，認證協(xié)議（PAP，CHAP)，網絡控制協(xié)議NCP，解決了鏈路建立、維護、拆除、上層協(xié)議協(xié)商、認證等問題。撥號后，用戶計算機和局端接入服務器（BRAS）在LCP階段協(xié)商底層鏈路參數(shù)；在認證階段將用戶名和密碼發(fā)送給接入服務器認證，接入服務器可以進行本地認證，可以通過RadiSS協(xié)議將用戶名和密碼發(fā)送給AAA服務器進行認證。認證通過后，在NCP(IPCP）協(xié)商階段，接入服務器給用戶計算機分配網絡層參數(shù)（如IP地址等）。經過PPP的3個協(xié)商階段成功后，用戶就可以發(fā)送和接受網絡報文，用戶收發(fā)的所有網絡層報文都封裝在PPP報文中。PPP協(xié)議具備的身份驗證功能很好地解決了以太網上的用戶安全管理問題。
　　(2)PPPoE特點
　　PPPoE認證因其標準性、互通性好的特點而被廣泛應用，商用成熟；PPPoE認證撥號軟件與主流的PC操作系統(tǒng)可以良好地兼容，或已經內置于操作系統(tǒng)中；PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性，被廣泛應用于寬帶接入認證。
　　PPPoE的認證機制相對復雜，對設備處理性能。內存資源要求較高，而且用戶需要一個認證的等待過程。因PPPoE終結于BRAS，BRAS與主機之問通過PPP建立起來的大量點到點的連接，所經過的交換機不能識別PPPoE報文格式，只能迸行轉發(fā)，無法迸行針對VLAN等信息的組播復制，使組播復制點只能選擇在BRAS設備上。BRAS設備暴露出的局限性無法滿足寬帶多媒體業(yè)務迅速發(fā)展的需求。
　　2.2 IPoE認證技術
　　(1)IPoE認證簡介
　　IPoE利用DHCPOPTION信息實現(xiàn)了業(yè)務終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實現(xiàn)認證和自動配置，也可以通過DHCP+Web方式實現(xiàn)基于用戶名和密碼的認證。
　　DHCP是指動態(tài)主機配置協(xié)議，通過DHCP客戶端，利用自動發(fā)現(xiàn)機制嘗試與DHCP服務器建立通信。DHCP提供IP配置參數(shù)，對用戶端的IP層進行配置。DHCP協(xié)議沒有認證的功能，但可以配合其他技術實現(xiàn)認證，比如DHCP+Web方式，DHCP＋客戶端方式和利用DHCP+OPTION擴展宇段進行認證。這些方式都統(tǒng)稱為DHCP＋認證�，F(xiàn)討論的主要是DHCP+OPTION擴展字段進行認證，又稱為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132）和OPTION82(RFC3046）。其中，OPTION60中帶有Vendor和Service Option信息，是用戶終端發(fā)起DHCP請求時攜帶的信息，網絡設備只需透傳即可。其作用是用來識別用戶終端類型，進而識別用戶業(yè)務類型，DHCP服務器可以據(jù)此分配不同的業(yè)務IP地址。OPTION82信息是由網絡設備插入在終端發(fā)出的DHCP報文中，主要用來標識用戶終端的接入位置，實現(xiàn)用戶和線路的精確綁定，保證了DHCP接入的安全性和真實性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進行插入。
　　作為IPoE客戶端的用戶終端設備，產生DHCP消息，中間設備插入各種DHCP Option進行用戶綁定，業(yè)務綁定等。BRAS或SR等寬帶網絡網關控制設備（Broadband Network Gatewny）負責DHCP消息到Radius認證消息的翻譯。與Radius進行認證、授權、計費功能。認證通過后，下放Radius返回的每用戶QoS，訪問控制的列表等功能，同時對通過設備的流量/時長進行計費。Radius等IPoE業(yè)務控制系統(tǒng)，能夠動態(tài)調整每用戶的帶寬和QoS屬性，提供基于預付費、流量、時長等多種計費手段。對用戶管理控制，并提供差異化的服務。
　　(2)IPo的認證特點
　　基于用戶物理位置（VLANyVCID標示）的認證和計費，連接網絡時不需輸入用戶名和密碼，對于永遠在線的應用和不愿意輸入用戶名和密碼的用戶非常適合。
　　DHCP+（option60/Option82）對DHCP協(xié)議進行了擴展，增加了安全（防DoS攻擊及地址仿冒）、監(jiān)控、用戶識別等特性。與Radius相結合提供計費功能，便于運營。
　　組播部署靈活，可高效實現(xiàn)組播復制，井把組播復制點下移至小區(qū)交換機、DSLAM等網絡末梢。減輕網絡壓力，節(jié)約接入網的帶寬。
　　門IPoE認證的安全措施
　　IPoE認證沒有像PPPoE認證那樣在網絡層面提供惟一的點到點的通信機制，運營商在部署IPoE認證時，要重點關注安全問題。網絡各層面的設備通過協(xié)同工作，增強網絡的安全性。具體的安全保障措施如下：

• 防地址欺騙

　　DHCP屬于數(shù)據(jù)和認證分離的控制方式，安全性不及PPPoE，為防止用戶靜態(tài)配置IP地址，或者網絡盜用，可以在接入設備或者業(yè)務路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節(jié)點，在偵聽到DHCP Offer消息時，生成IP和MAC的綁定關系，只有源MAC和IP匹配的IPoE幀才可以通過，否則丟棄。這樣只有經過DHCP認證的用戶才可以得到網絡服務，未經認證，或者靜態(tài)配置IP地址的終端不能得到服務。還可以基于OPTION82信息對用戶的線路號進行識別認證來保證安全性。

• 用戶終端數(shù)限制通過系統(tǒng)將每個業(yè)務接入點連接的用戶終端數(shù)量進行限制。

　　在用戶通過認證獲得IP地址之前，設定DHCP數(shù)據(jù)包能夠通過的數(shù)量限制，降低Radius Server的壓力。如對來自同一個DSLAM線路號的Radius請求數(shù)量作控制，比如1s內，最多允許1個請求，如連續(xù)出現(xiàn)多個請求，則認為發(fā)生攻擊，直接丟棄Radius數(shù)據(jù)包。依靠這種機制解決大量的DHCP請求發(fā)送到Radius服務器的風險。

• 其它安全措施
　　禁止用戶端口間直接轉發(fā)的端口隔離；通過VLAN隔離方式進行業(yè)務隔離。

共 3 頁：1 2 3 

泰爾網