1、 概述
隨著城域網寬帶業務的發展,可運營、可管理的網絡建設理念已經深入人心。 市場方面,隨著用戶數量的增多,每用戶帶寬增大,產生ADSL/ADSL2+/FTTH/GPON等高帶寬接入方式,極大提高了用戶網絡使用體驗,電腦成為網絡接入的主要設備。采用動態IP地址,每用戶帶寬控制的PPPoE設備逐漸演變為電信運營商主要的接入方式。隨著IP網絡的迅速發展,人們產生了把所有智能設備聯網的需求。同時互聯網的內容從簡單的網頁推送演進為以流媒體為主,支持VoIP, IPTV等綜合業務。隨著提供業務的多樣化,用戶認證方式作為可運營、可管理的核心,受到包括運營商、制造商的密切關注。目前討論的核心認證技術主要包括IPoE和PPPoE。
PPPoE相關標準則是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明確定義的。2006年,DSL(2008年改名Broadband)工作組綜合各個電信運營商在接入方式上的嘗試,為使新型Voice/Video等實時性業務得到有效的控制與管理,定義了WT-146 用戶會話控制機制(Subscriber Session),設計規劃了以DHCP技術為核心,緊密結合當今PPPoE通用的RADUIS協議,建立了一種基于"IP用戶會話機制 (IP Subscriber Sessions)"、"IP數據流的分級機制(IP Flow Classifiers)"、及"IP會話鑒權和管理機制(IP Session Authentication and Management Means)"的IPoE認證機制。通過擴展信息的加入和識別在網絡邊緣設備上提供用戶Session的接入認證授權計費。IPoE認證方式不需要在用戶終端上安裝任何客戶端程序,不需要輸入用戶名和密碼,非常適合新型網絡設備,如智能手機,數字電視,PSP等很難支持內置的PPPoE撥號程序的終端應用互聯網業務。
目前,IPoE和PPPoE應用都比較成熟,獲得廣大運營商和專家的一致認可,并在當前的網絡建設中獲得大規模商用。下面首先對這兩種認證方式進行全面的分析,然后提出業務承載解決方案及對下一代寬帶網絡業務網關(Broadband network gateway)的需求。
2、 PPPOE認證
(1)PPPoE 認證簡介
PPPoE是利用以太網發送PPP包的傳輸方法和支持在同一以太網上建立多個PPP連接的接入技術。其結合了以太網和PPP連接的綜合屬性。以太網是一種廣播網絡,其缺點是通訊雙方無法相互驗證對方身份,通訊是不安全的。PPP協議提供了通訊雙方身份驗證的功能,但是PPP協議是一種點對點的協議,協議中沒有提供地址信息。如果PPP應用在以太網上,必須使用PPPoE再進行一次封裝,PPPoE協議提供了在以太網廣播鏈路上進行點對點通信的能力。
PPP協議的一個重要的功能是提供了身份驗證功能。PPP協議是一種點到點的鏈路層協議,它提供了點到點的一種封裝、傳遞數據的一種方法。當一臺主機希望啟動一個PPPoE會話,它首先必須完成發現階段,確定對端Server的以太網MAC地址,并建立一個唯一的PPPoE會話號(SESSION_ID)。PPP協議一般包括三個協商階段:LCP(鏈路控制協議)階段,認證階段(比如CHAP/PAP),NCP(網絡層控制協議,比如IPCP)階段。撥號后,用戶計算機和局方的接入服務器在LCP階段協商底層鏈路參數,然后在認證階段進行用戶計算機將用戶名和密碼發送給接入服務器認證,接入服務器可以進行本地認證,可以通過RADIUS協議將用戶名和密碼發送給AAA服務器進行認證。認證通過后,在NCP(IPCP)協商階段,接入服務器給用戶計算機分配網絡層參數如IP地址等。經過PPP的三個協商階段后,用戶就可以發送和接受網絡報文,用戶收發的所有網絡層報文都封裝在PPP報文中。
在PPP協議定義一個端對端關系時,發現階段實際是一個客戶與服務器的關系。在發現階段,主機(客戶端)搜尋并發現一個網絡設備(服務器端)。在網絡拓撲中,主機能與之通信的可能不只一個網絡設備,但只能選擇其中的一個。當發現階段完成后,主機和網絡設備將擁有建立PPPoE的所有信息。
PPPoE一般用面向于廣大普通用戶提供認證、計費服務,也可用于固定用戶申請獨用的一個公網IP地址。現網國內運營商主要是應用BRAS設備作為PPPoE的終結設備。
(2)PPPoE 特點總結
PPPoE認證的主要優點總結如下:
* PPPoE認證的主要特點在于其應用廣泛、成熟;而且標準性、互通性好;
* 與現有主流的PC操作系統可以良好的兼容,無兼容性問題;
* PPPoE通過唯一的Session-ID可以很好的保障用戶的安全性;
* 因此,由于PPP會話的安全性、健壯性等特征,而被廣泛應用于ADSL 接入認證。應用廣泛,具有較好的市場基礎。
PPPoE認證的不足之處在于認證機制比較復雜,對設備處理性能、內存資源需求較高;同時用戶需要一個等待過程;同時隨著多媒體業務發展, BRAS設備對于業務支持的局限性逐漸暴露出來,特別是組播支持方面,由于在PPP協議定義一個端對端關系時,在網絡拓撲中,主機能與之通信的可能不只一個網絡設備,但只能選擇其中的一個,所以采用PPPOE方式認證時,組播復制點只能選擇在BRAS設備上,而BRAS設備性能必將成為業務發展的瓶頸。同時由于傳統BRAS設備在設計理念上不是滿足多業務承載,所以設備在整機處理能力,可擴展性,可靠性等方面都將表現出不足。
3、 IPoE認證
(1)IPoE認證簡介
IPoE系統包括基本的DHCP功能,同時擴展了網絡中各個層面設備的能力。可以說IPoE不是簡單的終端設備上支持DHCP就可以了,需要涉及到用戶端,網絡控制設備,網絡業務系統等。
DHCP( RFC-1541)本身是一種動態主機配置協議,最初主要針對于LAN應用。通過終端上的DHCP客戶端,利用自動發現機制來嘗試聯系網絡中的DHCP服務器。DHCP提供一系列IP配置參數,對用戶端的IP層進行配置。 DHCP協議本身并沒有用來認證的功能,但是DHCP可以配合其他技術實現認證,比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證。所有這些方式都統稱為DHCP+認證。本文討論的主要是DHCP+OPTION擴展字段進行認證,又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發起DHCP請求時攜帶的信息,網絡設備只需要透傳即可。其在應用中的作用是用來識別用戶終端類型,從而識別用戶業務類型,DHCP服務器可以依賴于此分配不同的業務IP地址。而OPTION82信息是由網絡設備插入在終端發出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。
IPoE認證系統各個部分功能如下:
(1)IPoE 客戶端部分
包括各種用戶終端設備,產生DHCP消息,中間設備插入各種DHCP option進行用戶綁定,業務綁定等。
(2)IPoE 寬帶網絡網關控制設備(如BRAS或SR)
寬帶網絡網關控制設備(Broadband network gateway)進行DHCP消息到Radius認證消息的翻譯。與Radius進行認證,授權,計費功能。認證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。
(3)IPoE業務控制系統
包括Radius/DHCP/Diameter/Webportal等業務系統,能夠動態調整每用戶的帶寬和QoS屬性,針對預付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續盈利,提供差異化的用戶服務。
基于TR101定義的網絡架構及WT146定義的IPoE Session 流程,網絡邊緣通過設置寬帶業務網關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,并實施各種用戶策略(如QoS)。
(2)IPoE認證特點總結
IPoE認證的主要特點總結如下:
* 基于上網用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網時無需輸入用戶名和密碼,這對于那些需要永遠在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業網,家庭簡化硬件的配置工作。
* DHCP+ (option 60/option 82)對DHCP 協議進行了擴展,增加了安全,監控,用戶識別等新的特性。
* 網絡接入設備, 業務控制網關, DHCP server, Radius server 配合增強網絡安全性(防DoS 攻擊及地址仿冒)
* DHCP+ Radius 結合提供計費功能,使得DHCP 適合做運營.
* DHCP 是基于IP的在冗余保護方面比較有優勢,能夠實現真正的5個9的保護特性。
* 組播業務支持靈活
(3) IPoE 認證的安全策略
由于IPoE認證本身不像PPPoE認證一樣在網絡層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網絡技術的發展,家庭網關,網絡接入設備(如DSLAM), 寬帶網絡網關必須協同工作,增強網絡安全性。安全保證策略包括如下方面:
(a) 反地址欺騙
用戶是通過DHCP/靜態配置IP與MAC地址方式接入。業務控制網關自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同,但是MAC地址不同,所有的數據包都會被丟棄。
(b)用戶終端數限制
控制每個業務接入點所連接用戶終端的數量。
(c)防DoS攻擊
對于用戶通過發送大量的DHCP請求,模擬不同MAC 地址的Host請求IP地址,攻擊DHCP Server的情況:
解決方式是DHCP 請求需要得到Radius 服務器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP地址和線路號在Radius數據庫種才能獲得許可申請用戶的IP地址。
對于由寬帶網絡網關發送大量的DHCP請求發送到Radius服務器的情況:
解決方式是在用戶認證通過認證獲得IP地址之前,基于每個用戶設置速率限制功能,設定每秒種只有1-2個DHCP數據包能夠通過,降低對Radius Server的壓力。對于Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數量作控制,比方說在1秒內,最多只允許1個Radius請求,如果1分鐘內連續出現多個Radius請求,則認證發生攻擊,直接丟棄Radius數據包。
(d)業務隔離
下行通過VLAN隔離;上行方向除上網業務分配公網地址直接接入外,其它業務(包括網絡管理)一律按業務類別分裝在不同VPN內進行傳送。
(e)非法組播源抑制
一般從DSLAM上行的端口都會將發送到組播組的數據過濾掉。在業務控制網關上與DSLAM 下行連接的端口上不會開啟PIM協議,組播源不會從業務端口接入上來。
(f)端口隔離
設置用戶水平分割組,禁止用戶接入端口間直接轉發。
4、 PPPoE 和IPoE技術討論
下面對上述兩種認證方式,進行一個綜合的比較。
功能 PPPoE DHCP
認證效率
較低 很高
標準化程度
高 (RFC 2516)
高(WT146)
封裝開銷 大 (增加PPPoE 及PPP 封裝)
小(MAC+IP)
客戶端軟件 需要 不需要
用戶認證
通過PAP、CHAP或者EAP觸發 通過DHCP發現包觸發
認證服務器
Radius
Radius
地址分配方式 IPCP,基于用戶名和密碼
DHCP,基于線路號、MAC地址.
Session建立過程
面向連接的Session-ID
無連接,用戶通過IP地址標識
用戶在線檢測 PPP keepalive包實現
UC-ARP方式
或者DHCP-Renew方式
安全性
高
高
防地址仿冒能力 高((唯一Session ID)
高(Anti-spoofing 策略)
控制能力 端口/用戶數/帶寬 端口/用戶數/帶寬
組播支持
組播控制點只能在業務控制層 組播控制點可選擇在業務控制層或接入層
精確計費
支持
支持
所有支持IP協議的設備都支持,不需要安裝第三方撥號軟件,可以廣泛支持各種手持設備,移動設備,視頻設備等。
(2)報文開銷
由于PPPoE報文引入了PPPoE頭(6 bytes)和PPP頭(2 bytes),所以在所有用戶流量里面增加了8個字節的協議開銷,對于高帶寬的應用(4M以上的高清電視等),對于處理能力不高的終端設備,壓力很大。
(3)組播復制
由于PPPoE報文,是在BNG設備和用戶之間建立點對點連接,中間的交換機層次不能很好的理解PPPoE報文格式,只能進行轉發,無法進行針對VLAN等信息的有效的組播復制。所以采用PPPoE進行組播業務的開展,組播復制點只能是BNG設備,而采用IPoE,可以把組播復制點下移到DSLAM,一方面減少了BNG設備的壓力,另一方面也極大的節約了網絡接入層帶寬。
(4)用戶冗余
IPoE,報文轉發中,由于不需要接入PPPoE Session/Cookie信息,非常容易做到跨機箱的用戶Session的保護,當一個機箱斷電時,所有IPoE的狀態信息被動態備份到另外一臺設備,所以不需要用戶進行重新撥號。而PPPoE由于轉發過程中攜帶BNG生成的唯一的Session/Cookie信息,當一臺設備斷電時,另外一臺設備無法獲得全部的PPPoE狀態,所以無法做到有效的跨機箱的用戶冗余保護。
根據上述討論,在終端支持、封裝開銷和組播支持認證效率等方面,IPoE認證具有較明顯的優勢。
5、 業務承載解決方案
根據前面的技術討論, IPoE和PPPoE將在一段時期內并存,滿足不同業務需求。隨運營商向全業務提供商轉型,無論采用那種認證機制,網絡中必須部署業務控制網關來對用戶的接入,認證,會話及QoS等策略進行統一的管理。網絡邊緣業務控制設備從單一支持PPPoE的設備(國內運營商主要為BRAS)向TR101架構定義的寬帶網絡業務網關-BNG設備(同時支持PPPoE和IPoE)演進。對于滿足下一代PPPoE/IPoE用戶接入控制的BNG設備設計,不同廠家有不同的理解。傳統BRAS廠家是為支持PPPoE協議而設計的產品,可以通過添加IPoE功能的支持來演變為BNG設備。同理,傳統的Service Router廠家設備天生支持高帶寬的IPoE用戶控制,可以通過添加PPPoE功能來實現完全的BNG功能。無論是何種演進方式,BNG必須需要具備以下3種設計要素:
(1)強勁的CPU處理能力及內存容量
PPPoE/IPoE用戶session的處理和終結都需要CPU進行輔助。下一代的BNG設備,設計需要承載128K用戶,這樣對設備的CPU處理能力要求很高,一般需要多核CPU,同時支持4G以上內存。
(2)大于40G每槽位的業務處理能力
適應大帶寬的發展,每槽位支持16K用戶,平均每用戶要支持2-4Mbps的帶寬,這樣就要求下一代BNG設備支持40G/slot的高帶寬處理能力。
(3)完善的業務處理板卡,提供面向未來的增值服務
隨著用戶控制的深入發展,需要BNG設備提供DPI(深入包檢測),IPSec安全接入,視頻和LTE移動業務網關的支持。
(4)層次化QoS
城域網的接入部分(特別是最后一公里)是全網的帶寬瓶頸,而通常接入網匯聚設備(以太網交換機)的QoS控制機制比較弱。因此,要求業務網關(BNG)設備上部署H-QoS機制,從而降低對接入網關以下的設備的QoS性能要求,降低了接入網的成本,簡化了QoS管理。
要求BNG最多可達三級調度,實現針對每用戶,每業務,每應用的QoS策略,從而實現網絡帶寬的靈活調度及業務管理。
采用BNG設備作為網絡業務的控制點,先網演進建議按如下三個階段進行:
* 第一階段:原有HSI業務仍然通過PPPoE方式由BRAS承載,綜合業務用戶、包月用戶等通過IPoE方式認證的業務通過BNG承載。新增HSI 業務通過PPPoE方式由BNG設備承載。
* 第二階段:隨HSI業務發展, 現網BRAS設備必將不能滿足大接入帶寬的需求,建議逐步將原有用戶割接至BNG設備。
* 第三階段:網絡形成BNG的單邊緣架構,在業務控制層部署基于每用戶,每業務,每應用的控制策略,部署H-QoS,配和骨干網QoS策略,實現用戶管理,差異化服務和精細運行。
6、 上海貝爾BNG設備
上海貝爾的7750SR是業界第一個50G平臺(IOM3)的BNG設備,兼備傳統意義的SR和BRAS功能,同時能夠支持PPPoE/IPoE/VPN等多種業務,產品主要特點如下:
1) 7750SR能夠支持單板50G線速端口能力、整機500G線速端口能力(40個10GE線速端口,500個GE線速端口)
2) 7750SR整機支持128K并發用戶,單板卡支持40K并發用戶會話,并同時保證線速性能,具備業界領先的業務擴展能力和處理性能;
3) 7750能夠滿足在滿負荷、綜合業務承載下保持高性能線速轉發;
4) 7750支持靈活的不同模式下(每用戶每VLAN,每業務每VLAN等)的多層次用戶QOS控制,能夠支持跨不同VLAN下的層次化QoS,能夠具備豐富的QoS特性為多業務承載提供完善地保證;
5) 7750SR支持IPoE Session雙機熱備技術;
6) 7750支持NSR/NSS和ISSU,可以做到主控引擎切換時,PPPoE/IPOE業務不中斷;
7) 7750SR具備業界最完善的防DOS攻擊體系,主控卡上具備硬件防火墻能力,能夠基于每用戶Session提供防DOS攻擊能力;
8) 7750SR可內置AA-ISA卡,提供基于每個用戶的深度包檢測功能,能夠監測每個用戶的每種internet應用并加以控制,比如P2P,Skype,BT等;
9) 7750SR可內置Video業務應用處理卡,提供頻道快速切換、故障幀快速重傳等增強的IPTV支持技術,和定向廣告插入等IPTV增值服務。
作為BNG設備,7750SR具有業界最為領先業務處理能力,在全球的一線運營商如AT&T都有大量的成功應用案例。
7、 總結
由于IPoE在綜合業務承載方面據有的明顯優勢并適用于綜合業務承載及包月用戶,使其將成為未來的主要認證方式,。而PPPoE具有良好的市場環境,在一段時間內也將被保留下來,作為高速上網業務的主要認證方式。IPoE和PPPoE認證方式均有大量的商用案例,各個運營商根據不同的業務類型,靈活選擇認證方式,運營商可用同一套RADIUS系統支持兩種認證方式。
BNG設備的產生為運營商根據業務需求靈活選擇認證方式提供條件。網絡結構可簡化為單邊緣架構,在同一設備,同一端口下同時接入PPPoE和IPoE,從而實現對用戶資源及QoS策略的統一部署和管理,同時實現對每用戶/每業務的精細化控制和QoS保證,是業務融合的方向。