摘 要:本文从介绍DHCP身份认证方式开始,详细论述的IPoE接入方式在IP城域网中的应用,比较的 传统的PPPoE接入方式和IPoE接入方式各自所具有的特点。并给出了Alcatel-Lucent的IPoE接入方案的设计,最后,也论述了IPoE宽带接入系统所面临的安全威胁,并提出相应的应对策略。
关键词:DHCP IPoE PPPoE 宽带接入
1基于DHCP协议的身份认证
DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器.DHCP提供一系列IP配置参数,对用户端的IP层进行配置.
DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP
web方式、DHCP 客户端方式和利用DHCP扩展字段进行认证。所有这些方式都统称为DHCP 认证(DHCP 认证本身没有标准),其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码,更适合IPTV这类业务的应用,下文中提到的DHCP 认证特指这种通过OPTION字段来实现认证的机制,也是下面重点介绍的内容.
用来作为认证用的OPTION字段主要为Option60和Option82。其中Option60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而Option82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号;
在具体认证过程中,DHCP 认证又可分为两种机制:
立冬是几月几日20221)由支持O中国最大的商业银行是ption60和Option82的DHCP服务器认证
DHCP服务器上包含有所有合法接入用户的Option四级英语考试分值分布82信息,当收到一个DHCP请求报文后,
直接利用Option82信息和数据库中的合法信息进行比对,若一致,则认为用户合法,再根据Option60字段分配IP地址.若不一致,则认为用户非法,不分配IP地址。可以看出,DHCP 认证主要是根据用户的物理位置来进行认证的.
2)由业务网关设备配合RADIUS服务器和DHCP服务器一起认证
当业务网关(如BRAS)收到DHCP请求报文后,把OPTION信息封装到RADIUS的一个扩展字段中送到RADIUS服务器进行认证,若通过则再利用DHCP服务器分配IP地址,否则不给用户分配IP地址。
DHCP Option82信息可以由DHCP Snooping或DHCP Relay设备进行插入,在实际应用中,为了能明确具体用户,通常在接入交换机上利用DHCP Snooping实现Option82信息的插入.
DHCP服务器还可以根据Option82信息制定地址分配策略,如对Option82信息相同的DHCP请求只分配一个IP地址,这样可以有效的防范对DHCP请求DoS攻击,防止DHCP服务器地址池枯竭.
表1是PPPoE认证方式和DHCP认证方式特性比较:
认证方式 | PPPoE认证 | DHCP认证 |
接入控制粒度 | PPP连接 | DHCP Option82+DHCP Option60 |
客户端支持 | 支持 | 目前STB支持DHCP Option60的相对较少 |
组播支持 | 不支持 | 支持 |
业务流封装开销 | 单播VoD为PPP封装,组播为以太网封装 | 以太网封装 |
IP地址分配方式 | IPCP | DHCP |
IP地址分配流程 | 先认证后分配IP | 通过DHCP Option82&60进行认证 |
协议标准 | 标准协议 | 非标准协议 |
与RADIUS Server配合 | 标准协议 | 非标准协议 |
附加设备 | RADIUS Server | DHCP Server |
用户异常离线检测时间 | 快 | 较慢 |
表1 PPPoE认证方式和DHCP认证方式对应比较表
由表中可以看出,PPPoE认证和DHCP 认证各有优劣势.对于上网这样需要能对用户进行计时计费的业务,显然PPPoE认证更为合适.而对于IPTV这样主要通过包月方式来运营,而且还需要通过组播方式进行开展的业务,DHCP认证更适合。
2IPoE协议介绍
2.1IPoE定义
IPoE技术是由DSL论坛WT—146推荐的一种新形式的接入认证方式,它是基于DHCP协议转换为RADIUS认证报文来实现用户接入认证与控制。为获取用户MAC地址和接入设备端口等信息,在接入设备中插入DHCP Option82选项,取代了嵌入在用户终端内的PPPoE拨号软件,将获取所需的接入信息机制前移到网络接入设备中,从而使用户终端继续保持其原有的通用性和灵活性,为IP网络向多业务承载的演进,提供必要保障。
IPoE实际上是直接通过以太网传送宽带业务流量,而不采用PPP封装。这种新的会话管理方式主要依靠DHCP为用户终端分配IP地址,原本并不支持链路建立、用户认证和链路监控等功能。利用DHCP扩展以及其它协议(例如EAP),这种方法可以提供类似于PPPoE的功能。
DSL论坛WT-146规范定义了标准的会话建立控制过程,解决了IPoE没有标准认证问题。IPoE实现了从PPPoE向IPoE的平滑过渡,PPPoE Session和IPoE Session的对应关系如表2所示:
会话类别 | PPPoE | IPoE | |
用户管理 | 用户识别 | 用户名/密码 | DHCP Auth、Portal |
用户隔离 | 支持 | QinQ、MAC+IP | |
线路/电路 | 线路ID | DHCP Option82、VLAN | |
地址管理 | 本地分配 | IPCP | DHCP |
客户端 | 专用客户端 | DHCP Auth、Portal | 明道老婆王婷萱|
业务管理 | 文员的职责业务选择 | Service Selection | Portal |
会话开始 | Start Session | Start: DHCP | |
会话结束 | Stop Session | Keepalive (ICMP、ARP、BFD) DHCP lease | |
会话标识 | Session识别 | Port+MAC+IP | |
数据包 | 数据包转发 | PPPoX包头 | IP/Ethernet |
表2 PPPoE Session和IPoE Session对照表
与采用PPPoE方式传送组播数据流相比,由于没有PPPoE封装,组播数据可以在用户到IPTV数据中心的端到端路径,以及在接入侧所途径的全部二层交换机上做常规的组播复制。大量的组播数据流在最靠近用户的设备上进行复制,高效地利用了组播技术的优点。
IPoE技术的特点:支持用户会话保护,满足运营商对个人宽带业务认证、计费需求;高效的组播传播,适合IPTV业务,长接在线,适合语音及视频电话业务;减少多余开销,提高传输效率。
2.2IPoE定位
在宽带网络中提供的主要业务可以归纳为两类,一类是为用户提供高速上网服务的公众业务,另一类是为用户提供IPTV、NGN电话、宽视界等增值服务的精品业务。
发布评论