三網(wǎng)融合業(yè)務(wù)接入控制方式的研究及實(shí)現(xiàn)

目前，電信運(yùn)營商發(fā)展寬帶接入業(yè)務(wù)主要采用的是PPPoE接入控制，Radius認(rèn)證的方式管理用戶。這種方式采用動(dòng)態(tài)分配IP地址，對(duì)每用戶帶寬進(jìn)行控制，很好地支持了寬帶業(yè)務(wù)的發(fā)展。由于寬帶應(yīng)用業(yè)務(wù)呈現(xiàn)多樣化的發(fā)展趨勢(shì)，特別是三網(wǎng)融合試點(diǎn)工作的啟動(dòng)，IPTV等流媒體業(yè)務(wù)和智能設(shè)備接入應(yīng)用業(yè)務(wù)不同于一般的網(wǎng)頁內(nèi)容推送寬帶業(yè)務(wù)，PPPoE接入方式已不能滿足發(fā)展要求。IPoE接入控制方式不需要安裝客戶端程序，不需要輸入用戶名和密碼，屬于零配置部署，非常適合新型的網(wǎng)絡(luò)終端設(shè)備，如IPTV機(jī)頂盒，WLAN，手持IP終端，視頻監(jiān)控，VoIP等零配置需求的終端。在三網(wǎng)融合的大背景下，IPoE方式提供規(guī)模發(fā)展IPTV業(yè)務(wù)的接入控制解決方案尤其有深遠(yuǎn)意義。目前，主流的接入認(rèn)證控制技術(shù)主要包括PPPoE和IPoE。


PPPoE(PolntoPoilltProtocaloverEtherne）指在以太網(wǎng)上承載PPP協(xié)議，利用以太網(wǎng)將大量的主機(jī)組成網(wǎng)絡(luò)，接入因特網(wǎng)，并對(duì)接入的每一個(gè)主機(jī)實(shí)現(xiàn)控制。PPPoE是在以太網(wǎng)上對(duì)PPP的封裝，提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對(duì)點(diǎn)通信的能力。PPP協(xié)議通過3個(gè)協(xié)議協(xié)商階段：鏈路控制協(xié)議LCP，認(rèn)證協(xié)議（PAP，CHAP)，網(wǎng)絡(luò)控制協(xié)議NCP，解決了鏈路建立、維護(hù)、拆除、上層協(xié)議協(xié)商、認(rèn)證等問題。撥號(hào)后，用戶計(jì)算機(jī)和局端接入服務(wù)器（BRAS）在LCP階段協(xié)商底層鏈路參數(shù)；在認(rèn)證階段將用戶名和密碼發(fā)送給接入服務(wù)器認(rèn)證，接入服務(wù)器可以進(jìn)行本地認(rèn)證，可以通過RadiSS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過后，在NCP(IPCP）協(xié)商階段，接入服務(wù)器給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù)（如IP地址等）。經(jīng)過PPP的3個(gè)協(xié)商階段成功后，用戶就可以發(fā)送和接受網(wǎng)絡(luò)報(bào)文，用戶收發(fā)的所有網(wǎng)絡(luò)層報(bào)文都封裝在PPP報(bào)文中。PPP協(xié)議具備的身份驗(yàn)證功能很好地解決了以太網(wǎng)上的用戶安全管理問題。

PPPoE認(rèn)證因其標(biāo)準(zhǔn)性、互通性好的特點(diǎn)而被廣泛應(yīng)用，商用成熟；PPPoE認(rèn)證撥號(hào)軟件與主流的PC操作系統(tǒng)可以良好地兼容，或已經(jīng)內(nèi)置于操作系統(tǒng)中；PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性，被廣泛應(yīng)用于寬帶接入認(rèn)證。

PPPoE的認(rèn)證機(jī)制相對(duì)復(fù)雜，對(duì)設(shè)備處理性能。內(nèi)存資源要求較高，而且用戶需要一個(gè)認(rèn)證的等待過程。因PPPoE終結(jié)于BRAS，BRAS與主機(jī)之問通過PPP建立起來的大量點(diǎn)到點(diǎn)的連接，所經(jīng)過的交換機(jī)不能識(shí)別PPPoE報(bào)文格式，只能迸行轉(zhuǎn)發(fā)，無法迸行針對(duì)VLAN等信息的組播復(fù)制，使組播復(fù)制點(diǎn)只能選擇在BRAS設(shè)備上。BRAS設(shè)備暴露出的局限性無法滿足寬帶多媒體業(yè)務(wù)迅速發(fā)展的需求。


IPoE利用DHCPOPTION信息實(shí)現(xiàn)了業(yè)務(wù)終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實(shí)現(xiàn)認(rèn)證和自動(dòng)配置，也可以通過DHCP+Web方式實(shí)現(xiàn)基于用戶名和密碼的認(rèn)證。

DHCP是指動(dòng)態(tài)主機(jī)配置協(xié)議，通過DHCP客戶端，利用自動(dòng)發(fā)現(xiàn)機(jī)制嘗試與DHCP服務(wù)器建立通信。DHCP提供IP配置參數(shù)，對(duì)用戶端的IP層進(jìn)行配置。DHCP協(xié)議沒有認(rèn)證的功能，但可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證，比如DHCP+Web方式，DHCP＋客戶端方式和利用DHCP+OPTION擴(kuò)展宇段進(jìn)行認(rèn)證。這些方式都統(tǒng)稱為DHCP＋認(rèn)證?，F(xiàn)討論的主要是DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證，又稱為IPoE認(rèn)證方式。用作DHCP擴(kuò)展的OPTION字段主要為OPTION60(RFC2132）和OPTION82(RFC3046）。其中，OPTION60中帶有Vendor和Service Option信息，是用戶終端發(fā)起DHCP請(qǐng)求時(shí)攜帶的信息，網(wǎng)絡(luò)設(shè)備只需透?jìng)骷纯伞Ｆ渥饔檬怯脕碜R(shí)別用戶終端類型，進(jìn)而識(shí)別用戶業(yè)務(wù)類型，DHCP服務(wù)器可以據(jù)此分配不同的業(yè)務(wù)IP地址。OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報(bào)文中，主要用來標(biāo)識(shí)用戶終端的接入位置，實(shí)現(xiàn)用戶和線路的精確綁定，保證了DHCP接入的安全性和真實(shí)性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設(shè)備進(jìn)行插入。

作為IPoE客戶端的用戶終端設(shè)備，產(chǎn)生DHCP消息，中間設(shè)備插入各種DHCP Option進(jìn)行用戶綁定，業(yè)務(wù)綁定等。BRAS或SR等寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備（Broadband Network Gatewny）負(fù)責(zé)DHCP消息到Radius認(rèn)證消息的翻譯。與Radius進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)功能。認(rèn)證通過后，下放Radius返回的每用戶QoS，訪問控制的列表等功能，同時(shí)對(duì)通過設(shè)備的流量/時(shí)長進(jìn)行計(jì)費(fèi)。Radius等IPoE業(yè)務(wù)控制系統(tǒng)，能夠動(dòng)態(tài)調(diào)整每用戶的帶寬和QoS屬性，提供基于預(yù)付費(fèi)、流量、時(shí)長等多種計(jì)費(fèi)手段。對(duì)用戶管理控制，并提供差異化的服務(wù)。

·基于用戶物理位置（VLANyVCID標(biāo)示）的認(rèn)證和計(jì)費(fèi)，連接網(wǎng)絡(luò)時(shí)不需輸入用戶名和密碼，對(duì)于永遠(yuǎn)在線的應(yīng)用和不愿意輸入用戶名和密碼的用戶非常適合。

·DHCP+（option60/Option82）對(duì)DHCP協(xié)議進(jìn)行了擴(kuò)展，增加了安全（防DoS攻擊及地址仿冒）、監(jiān)控、用戶識(shí)別等特性。與Radius相結(jié)合提供計(jì)費(fèi)功能，便于運(yùn)營。

·組播部署靈活，可高效實(shí)現(xiàn)組播復(fù)制，井把組播復(fù)制點(diǎn)下移至小區(qū)交換機(jī)、DSLAM等網(wǎng)絡(luò)末梢。減輕網(wǎng)絡(luò)壓力，節(jié)約接入網(wǎng)的帶寬。
門IPoE認(rèn)證的安全措施

IPoE認(rèn)證沒有像PPPoE認(rèn)證那樣在網(wǎng)絡(luò)層面提供惟一的點(diǎn)到點(diǎn)的通信機(jī)制，運(yùn)營商在部署IPoE認(rèn)證時(shí)，要重點(diǎn)關(guān)注安全問題。網(wǎng)絡(luò)各層面的設(shè)備通過協(xié)同工作，增強(qiáng)網(wǎng)絡(luò)的安全性。具體的安全保障措施如下：

·防地址欺騙

DHCP屬于數(shù)據(jù)和認(rèn)證分離的控制方式，安全性不及PPPoE，為防止用戶靜態(tài)配置IP地址，或者網(wǎng)絡(luò)盜用，可以在接入設(shè)備或者業(yè)務(wù)路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節(jié)點(diǎn)，在偵聽到DHCP Offer消息時(shí)，生成IP和MAC的綁定關(guān)系，只有源MAC和IP匹配的IPoE幀才可以通過，否則丟棄。這樣只有經(jīng)過DHCP認(rèn)證的用戶才可以得到網(wǎng)絡(luò)服務(wù)，未經(jīng)認(rèn)證，或者靜態(tài)配置IP地址的終端不能得到服務(wù)。還可以基于OPTION82信息對(duì)用戶的線路號(hào)進(jìn)行識(shí)別認(rèn)證來保證安全性。

·用戶終端數(shù)限制通過系統(tǒng)將每個(gè)業(yè)務(wù)接入點(diǎn)連接的用戶終端數(shù)量進(jìn)行限制。

·防DOS攻擊

在Radius中將用戶的MAC地址和線路號(hào)綁定。在Radius數(shù)據(jù)庫中查詢到MAC地址和線路號(hào)，DHCP的請(qǐng)求方可經(jīng)Radius服務(wù)器認(rèn)證通過后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過發(fā)送大量的DHCP請(qǐng)求，模擬不同MAC地址的請(qǐng)求，攻擊DHCP Server的風(fēng)險(xiǎn)。

在用戶通過認(rèn)證獲得IP地址之前，設(shè)定DHCP數(shù)據(jù)包能夠通過的數(shù)量限制，降低Radius Server的壓力。如對(duì)來自同一個(gè)DSLAM線路號(hào)的Radius請(qǐng)求數(shù)量作控制，比如1s內(nèi)，最多允許1個(gè)請(qǐng)求，如連續(xù)出現(xiàn)多個(gè)請(qǐng)求，則認(rèn)為發(fā)生攻擊，直接丟棄Radius數(shù)據(jù)包。依靠這種機(jī)制解決大量的DHCP請(qǐng)求發(fā)送到Radius服務(wù)器的風(fēng)險(xiǎn)。

·其它安全措施

禁止用戶端口間直接轉(zhuǎn)發(fā)的端口隔離；通過VLAN隔離方式進(jìn)行業(yè)務(wù)隔離。

2.3 PPPoE和IPoE對(duì)比分析

引入IPoE系統(tǒng)之后，IPoE可以完成原有PPPoE系統(tǒng)的所有功能，同時(shí)還能提供如下優(yōu)勢(shì)：

（1）終端支持

所有支持IP協(xié)議的設(shè)備都支持，不需要安裝第三方撥號(hào)軟件，可以廣泛支持各種手持設(shè)備、移動(dòng)設(shè)備、視頻設(shè)備等。

（2）報(bào)文開銷

由于PPPoE報(bào)文引入了PPPoE頭（6Bytes）和PPP頭(2Bytes），所以在所有用戶流量里面增加了8個(gè)字節(jié)的協(xié)議開銷，對(duì)于高帶寬的應(yīng)用（8M的高清電視等），處理能力不高的終端設(shè)備壓力很大。

（3）組播復(fù)制

由于PPPoE報(bào)文是在BRAS設(shè)備和用戶之間建立點(diǎn)對(duì)點(diǎn)連接，中間的交換機(jī)層次不能很好地理解PPPoE報(bào)文格式，只能進(jìn)行轉(zhuǎn)發(fā)，無法進(jìn)行針對(duì)VLAN等信息的有效組播復(fù)制。所以采用PPPoE迸行組播業(yè)務(wù)的開展，組播復(fù)制點(diǎn)只能是BRAS設(shè)備，而采用IPoE，可以把組播復(fù)制點(diǎn)下移到DSLAM，一方面減少了BRAS設(shè)備的壓力，另一方面也極大地節(jié)約了網(wǎng)絡(luò)接入層帶寬。

（4）用戶冗余

IPoE方式可以對(duì)接入的用戶數(shù)量進(jìn)行控制，如采用Portal方式，其增值業(yè)務(wù)能力較強(qiáng)。

根據(jù)上述討論，在終端支持、封裝開銷和組播支持認(rèn)證效率等方面，IPoE認(rèn)證具有較明顯的優(yōu)勢(shì)。缺點(diǎn)是對(duì)用戶的控制力度不足，在用戶認(rèn)證／策略控制／地址分配／會(huì)話監(jiān)控等方面有待完善。

3 業(yè)務(wù)按入控制技術(shù)實(shí)現(xiàn)

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業(yè)務(wù)承載方面具有的明顯優(yōu)勢(shì)，可能成為未來的主要認(rèn)證方式。而PPPoE作為目前寬帶業(yè)務(wù)的主要認(rèn)證方式也將長期存在。根據(jù)不同的業(yè)務(wù)類型，靈活選擇IPoE和PPPoE認(rèn)證方式，可用同一套R(shí)a山us系統(tǒng)支持兩種認(rèn)證方式。通過部署多邊緣接入架構(gòu)，實(shí)現(xiàn)對(duì)每用戶／每業(yè)務(wù)的精細(xì)化控制和QOS保證，是業(yè)務(wù)融合的方向。

(1）單邊緣接入控制

如圖1所示，單邊緣業(yè)務(wù)接入模式是指用戶的寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)共用相同的接入控制點(diǎn)BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP／專線的方式接入BRAS。當(dāng)使用PPPoE方式時(shí)，可以利用不同的域名或不同的VP/LVACN來區(qū)分接入是來自機(jī)頂盒，還是來自PC；當(dāng)采用DHCP方式時(shí)，可以利用機(jī)頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對(duì)機(jī)頂盒分配地址。寬帶網(wǎng)承載的NGN語音業(yè)務(wù)，可以采用BRAS兼作PE構(gòu)建MPLSVPN。

圖1 單邊緣接入方式

（2）多邊緣接入控制

如圖2所示，多（雙）邊緣接入模式是指寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)分別由專用的業(yè)務(wù)接入控制點(diǎn)提供。寬帶上網(wǎng)業(yè)務(wù)仍由原有的BRAS作為業(yè)務(wù)控制點(diǎn)；IPTV業(yè)務(wù)則使用SR作為控制點(diǎn)，STB采用DHCP／專線接入方式；NGN語音業(yè)務(wù)使用另外的SR作為控制點(diǎn)，或者與IPTV業(yè)務(wù)共用SR。不同的業(yè)務(wù)一般由匯聚交換機(jī)根據(jù)VLANID分離后，進(jìn)入相應(yīng)的業(yè)務(wù)控制設(shè)備。

圖2 多邊緣接入方式

（3）業(yè)務(wù)接入控制方案

如采用單邊緣接入，隨著IPTV用戶數(shù)量的增加將會(huì)加重BRAS負(fù)荷，造成端口的帶寬緊張。BRAS如再兼作PE，設(shè)備可能將不堪重負(fù)。在理論上，上網(wǎng)業(yè)務(wù)，IPTV業(yè)務(wù)，NGN語音業(yè)務(wù)可以共用BRAS接入，但實(shí)際應(yīng)用時(shí)需考慮設(shè)備的承載能力，考慮設(shè)備的設(shè)計(jì)定位。

如采用多（雙）邊緣接入控制方式，需從終端起，在二層接入網(wǎng)絡(luò)中為每個(gè)用戶的每種業(yè)務(wù)部署不同的二層虛通道PV(/LVAC)，將增加二層網(wǎng)絡(luò)的復(fù)雜性。為減輕復(fù)雜性，可采用單通道接入，再利用匯聚交換機(jī)具備的業(yè)務(wù)感知能力分離不同的業(yè)務(wù)。這種方式使不同的業(yè)務(wù)接入控制點(diǎn)之問，難以進(jìn)行不同業(yè)務(wù)間的流量控制和協(xié)調(diào)。

在建網(wǎng)初期，可以將BRAS作為IPTV業(yè)務(wù)的接入網(wǎng)關(guān)，但隨著用戶數(shù)的增長，BRAS承載壓力加大。所以可以單設(shè)SR作為IPTV業(yè)務(wù)業(yè)務(wù)接入控制點(diǎn)（見表1）。

表1　接入控制方式的選擇

如果城域網(wǎng)的POP點(diǎn)用戶規(guī)模偏大，建議采用雙邊緣／多邊緣方式，部分業(yè)務(wù)量偏少，業(yè)務(wù)發(fā)展?jié)摿Σ淮蟮目h級(jí)POP點(diǎn)采用單邊緣方式。在同一城域網(wǎng)內(nèi)盡可能地使用一種方案。如IPTV業(yè)務(wù)由BRAS作為業(yè)務(wù)控制點(diǎn)，則通常采用PPPoE的方式提供，Radius認(rèn)證。如果由SR作為業(yè)務(wù)控制點(diǎn)，通常采用IPoE方式提供，DHCP認(rèn)證。

3.2寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)

從前面的技術(shù)分析看出，IPoE和PPPoE將在一段時(shí)期內(nèi)并存，滿足不同業(yè)務(wù)需求。無論采用何種認(rèn)證機(jī)制，都需要部署業(yè)務(wù)接入控制網(wǎng)關(guān)來對(duì)用戶的接入。認(rèn)證、會(huì)話及QOS等策略進(jìn)行管理。網(wǎng)絡(luò)邊緣業(yè)務(wù)控制設(shè)備從僅支持PPPoE的設(shè)備（如BRAS）向TR101架構(gòu)定義的寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)（BNG同時(shí)支持PPPoE和IPoE）演進(jìn)。傳統(tǒng)的BRAS是為支持PPPoE協(xié)議而設(shè)計(jì)的設(shè)備，通過增加IPoE功能演變?yōu)锽NG設(shè)備。傳統(tǒng)的業(yè)務(wù)路由器支持高帶寬的IPoE用戶控制，通過增加PPPoE功能而演進(jìn)為BNG設(shè)備。

接入網(wǎng)是城域網(wǎng)的帶寬瓶頸，小區(qū)以太網(wǎng)交換機(jī)的QOS控制機(jī)制弱。需在網(wǎng)關(guān)設(shè)備上部署H-QOS機(jī)制，以降低接入網(wǎng)設(shè)備的QOS性能要求，簡(jiǎn)化QOS管理。要求BNG最多可達(dá)三級(jí)調(diào)度，實(shí)現(xiàn)針對(duì)每用戶、每業(yè)務(wù)、每應(yīng)用的QoS策略，從而實(shí)現(xiàn)帶寬的靈活調(diào)度及業(yè)務(wù)管理。

3.3 IPoE部署方案

IPoE分為非Session級(jí)和Session級(jí)出RAS集中控制用戶會(huì)話，先認(rèn)證后分配地址）兩種方式。若采用多邊緣方式提供IPTV業(yè)務(wù)，對(duì)Session級(jí)控制無需求，可采用非Session級(jí)方式，否則，采用Session級(jí)方式。Session級(jí)IPoE更適合現(xiàn)在和未來業(yè)務(wù)的部署，實(shí)現(xiàn)多業(yè)務(wù)承載和業(yè)務(wù)精細(xì)化運(yùn)營。

(1)IPoE的部署基于BRAS的IPoE部署

·現(xiàn)網(wǎng)可支持IPoE的大容量BRAS，通過軟件升級(jí)、硬件板卡擴(kuò)容等方式進(jìn)行部署，實(shí)現(xiàn)綜合業(yè)務(wù)承載的單邊緣架構(gòu)。

·現(xiàn)網(wǎng)無法支持IPoE的小容量BRAS，應(yīng)保持現(xiàn)狀以承載PPPoE為主。同時(shí)在其位置新部署大容量BRAS設(shè)備，承載IPoE業(yè)務(wù)，即PPoE+IPoE的雙邊緣架構(gòu)。待小容量BRAS逐步退網(wǎng)后，大容量BRAS實(shí)現(xiàn)綜合業(yè)務(wù)承載的單邊緣架構(gòu)。

(2)IPoE的部署基于BRAS,SR分散承載的IPoE部署

結(jié)合現(xiàn)有設(shè)備的部署現(xiàn)狀，也可以部署SR專門承載IPTV等視頻業(yè)務(wù)，使BRAS,SR分散承載業(yè)務(wù)，負(fù)荷分擔(dān)。
　　
(3)DHCPServer系統(tǒng)的部署

在IPTV業(yè)務(wù)中，建議IPTV業(yè)務(wù)的地址統(tǒng)一管理，集中部署DHCP Serve系統(tǒng)（實(shí)際上包括DHCPServer，認(rèn)證服務(wù)器和數(shù)據(jù)庫三部分），為IPTV終端分配P地址，業(yè)務(wù)路由器（SR）啟用DHCP Relay功能，而不是內(nèi)置的DHCP Server。DHCP Server系統(tǒng)是IPoE業(yè)務(wù)網(wǎng)絡(luò)迸人認(rèn)證的核心，負(fù)責(zé)用戶的認(rèn)證和地址分配。集中部署DHCP Server便于部署統(tǒng)一的地址分配策略，這些地址分配策略與其它網(wǎng)絡(luò)控制、管理策略相結(jié)合，可以提供差異化服務(wù)，從而衍生出一系列的增值產(chǎn)品，如VIP客戶的地址池與網(wǎng)絡(luò)QoS相結(jié)合，可以保證VIP客戶的IPTV業(yè)務(wù)體驗(yàn)。