1、 概述
随着城域网宽带业务的发展,可运营、可管理的网络建设理念已经深入人心。 市场方面,随着用户数量的增多,每用户带宽增大,产生ADSL/ADSL2+/FTTH/GPON等高带宽接入方式,极大提高了用户网络使用体验,电脑成为网络接入的主要设备。采用动态IP地址,每用户带宽控制的PPPoE设备逐渐演变为电信运营商主要的接入方式。随着IP网络的迅速发展,人们产生了把所有智能设备联网的需求。同时互联网的内容从简单的网页推送演进为以流媒体为主,支持VoIP, IPTV等综合业务。随着提供业务的多样化,用户认证方式作为可运营、可管理的核心,受到包括运营商、制造商的密切关注。目前讨论的核心认证技术主要包括IPoE和PPPoE。
PPPoE相关标准则是在1999年的RFC2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)中明确定义的。2006年,DSL(2008年改名Broadband)工作组综合各个电信运营商在接入方式上的尝试,为使新型Voice/Video等实时性业务得到有效的控制与管理,定义了WT-146 用户会话控制机制(Subscriber Session),设计规划了以DHCP技术为核心,紧密结合当今PPPoE通用的RADUIS协议,建立了一种基于"IP用户会话机制 (IP Subscriber Sessions)"、"IP数据流的分级机制(IP Flow Classifiers)"、及"IP会话鉴权和管理机制(IP Session Authentication and Management Means)"的IPoE认证机制。通过扩展信息的加入和识别在网络边缘设备上提供用户Session的接入认证授权计费。IPoE认证方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码,非常适合新型网络设备,如智能手机,数字电视,PSP等很难支持内置的PPPoE拨号程序的终端应用互联网业务。
目前,IPoE和PPPoE应用都比较成熟,获得广大运营商和专家的一致认可,并在当前的网络建设中获得大规模商用。下面首先对这两种认证方式进行全面的分析,然后提出业务承载解决方案及对下一代宽带网络业务网关(Broadband network gateway)的需求。
2、 PPPOE认证
(1)PPPoE 认证简介
PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通信的能力。
PPP协议的一个重要的功能是提供了身份验证功能。PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。当一台主机希望启动一个PPPoE会话,它首先必须完成发现阶段,确定对端Server的以太网MAC地址,并建立一个唯一的PPPoE会话号(SESSION_ID)。PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NCP(网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。
在PPP协议定义一个端对端关系时,发现阶段实际是一个客户与服务器的关系。在发现阶段,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能不只一个网络设备,但只能选择其中的一个。当发现阶段完成后,主机和网络设备将拥有建立PPPoE的所有信息。
PPPoE一般用面向于广大普通用户提供认证、计费服务,也可用于固定用户申请独用的一个公网IP地址。现网国内运营商主要是应用BRAS设备作为PPPoE的终结设备。
(2)PPPoE 特点总结
PPPoE认证的主要优点总结如下:
* PPPoE认证的主要特点在于其应用广泛、成熟;而且标准性、互通性好;
* 与现有主流的PC操作系统可以良好的兼容,无兼容性问题;
* PPPoE通过唯一的Session-ID可以很好的保障用户的安全性;
* 因此,由于PPP会话的安全性、健壮性等特征,而被广泛应用于ADSL 接入认证。应用广泛,具有较好的市场基础。
PPPoE认证的不足之处在于认证机制比较复杂,对设备处理性能、内存资源需求较高;同时用户需要一个等待过程;同时随着多媒体业务发展, BRAS设备对于业务支持的局限性逐渐暴露出来,特别是组播支持方面,由于在PPP协议定义一个端对端关系时,在网络拓扑中,主机能与之通信的可能不只一个网络设备,但只能选择其中的一个,所以采用PPPOE方式认证时,组播复制点只能选择在BRAS设备上,而BRAS设备性能必将成为业务发展的瓶颈。同时由于传统BRAS设备在设计理念上不是满足多业务承载,所以设备在整机处理能力,可扩展性,可靠性等方面都将表现出不足。
3、 IPoE认证
(1)IPoE认证简介
IPoE系统包括基本的DHCP功能,同时扩展了网络中各个层面设备的能力。可以说IPoE不是简单的终端设备上支持DHCP就可以了,需要涉及到用户端,网络控制设备,网络业务系统等。
DHCP( RFC-1541)本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数,对用户端的IP层进行配置。 DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP+web方式、DHCP+客户端方式和利用DHCP+OPTION扩展字段进行认证。所有这些方式都统称为DHCP+认证。本文讨论的主要是DHCP+OPTION扩展字段进行认证,又称为IPoE认证方式。用来作为DHCP扩展的OPTION字段主要为OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入。
IPoE认证系统各个部分功能如下:
(1)IPoE 客户端部分
包括各种用户终端设备,产生DHCP消息,中间设备插入各种DHCP option进行用户绑定,业务绑定等。
(2)IPoE 宽带网络网关控制设备(如BRAS或SR)
宽带网络网关控制设备(Broadband network gateway)进行DHCP消息到Radius认证消息的翻译。与Radius进行认证,授权,计费功能。认证通过后,下放Radius返回的每用户QoS,访问控制的列表等功能,同时对通过设备的流量/时长进行计费。
(3)IPoE业务控制系统
包括Radius/DHCP/Diameter/Webportal等业务系统,能够动态调整每用户的带宽和QoS属性,针对预付费,流量,时长等提供多种计费手段。做到客户的可管理控制,可持续盈利,提供差异化的用户服务。
基于TR101定义的网络架构及WT146定义的IPoE Session 流程,网络边缘通过设置宽带业务网关-BNG(Broadband Network Gateway)设备来维护所有用户的 IP Session,通过 IPoE Session 对用户进行感知和控制,并实施各种用户策略(如QoS)。
(2)IPoE认证特点总结
IPoE认证的主要特点总结如下:
* 基于上网用户的物理位置(通过唯一的VLAN ID/PVC ID标示)对用户进行认证和计费,用户上网时无需输入用户名和密码,这对于那些需要永远在线的用户,以及不愿意输入用户名和密码的特定用户是非常方便的 ,适合于在企业网,家庭简化硬件的配置工作。
* DHCP+ (option 60/option 82)对DHCP 协议进行了扩展,增加了安全,监控,用户识别等新的特性。
* 网络接入设备, 业务控制网关, DHCP server, Radius server 配合增强网络安全性(防DoS 攻击及地址仿冒)
* DHCP+ Radius 结合提供计费功能,使得DHCP 适合做运营.
* DHCP 是基于IP的在冗余保护方面比较有优势,能够实现真正的5个9的保护特性。
* 组播业务支持灵活
(3) IPoE 认证的安全策略
由于IPoE认证本身不像PPPoE认证一样在网络层面提供唯一的点到点的通信, 所以运营商在部署时,安全问题是需要考虑的主要问题。随网络技术的发展,家庭网关,网络接入设备(如DSLAM), 宽带网络网关必须协同工作,增强网络安全性。安全保证策略包括如下方面:
(a) 反地址欺骗
用户是通过DHCP/静态配置IP与MAC地址方式接入。业务控制网关自动生成一条IP和MAC地址帮定的Ingress方向的记录. 如果其它用户做防冒, IP地址相同,但是MAC地址不同,所有的数据包都会被丢弃。
(b)用户终端数限制
控制每个业务接入点所连接用户终端的数量。
(c)防DoS攻击
对于用户通过发送大量的DHCP请求,模拟不同MAC 地址的Host请求IP地址,攻击DHCP Server的情况:
解决方式是DHCP 请求需要得到Radius 服务器认证通过才能被送到DHCP Server, Radius 设定了用户的MAC地址和线路号绑定的功能,只有IP地址和线路号在Radius数据库种才能获得许可申请用户的IP地址。
对于由宽带网络网关发送大量的DHCP请求发送到Radius服务器的情况:
解决方式是在用户认证通过认证获得IP地址之前,基于每个用户设置速率限制功能,设定每秒种只有1-2个DHCP数据包能够通过,降低对Radius Server的压力。对于Radius Server,对用户的攻击模式进行判断,对来自同一个DSLAM 线路号的Radius请求数量作控制,比方说在1秒内,最多只允许1个Radius请求,如果1分钟内连续出现多个Radius请求,则认证发生攻击,直接丢弃Radius数据包。
(d)业务隔离
下行通过VLAN隔离;上行方向除上网业务分配公网地址直接接入外,其它业务(包括网络管理)一律按业务类别分装在不同VPN内进行传送。
(e)非法组播源抑制
一般从DSLAM上行的端口都会将发送到组播组的数据过滤掉。在业务控制网关上与DSLAM 下行连接的端口上不会开启PIM协议,组播源不会从业务端口接入上来。
(f)端口隔离
设置用户水平分割组,禁止用户接入端口间直接转发。
4、 PPPoE 和IPoE技术讨论
下面对上述两种认证方式,进行一个综合的比较。
功能 PPPoE DHCP
认证效率
较低 很高
标准化程度
高 (RFC 2516)
高(WT146)
封装开销 大 (增加PPPoE 及PPP 封装)
小(MAC+IP)
客户端软件 需要 不需要
用户认证
通过PAP、CHAP或者EAP触发 通过DHCP发现包触发
认证服务器
Radius
Radius
地址分配方式 IPCP,基于用户名和密码
DHCP,基于线路号、MAC地址.
Session建立过程
面向连接的Session-ID
无连接,用户通过IP地址标识
用户在线检测 PPP keepalive包实现
UC-ARP方式
或者DHCP-Renew方式
安全性
高
高
防地址仿冒能力 高((唯一Session ID)
高(Anti-spoofing 策略)
控制能力 端口/用户数/带宽 端口/用户数/带宽
组播支持
组播控制点只能在业务控制层 组播控制点可选择在业务控制层或接入层
精确计费
支持
支持
所有支持IP协议的设备都支持,不需要安装第三方拨号软件,可以广泛支持各种手持设备,移动设备,视频设备等。
(2)报文开销
由于PPPoE报文引入了PPPoE头(6 bytes)和PPP头(2 bytes),所以在所有用户流量里面增加了8个字节的协议开销,对于高带宽的应用(4M以上的高清电视等),对于处理能力不高的终端设备,压力很大。
(3)组播复制
由于PPPoE报文,是在BNG设备和用户之间建立点对点连接,中间的交换机层次不能很好的理解PPPoE报文格式,只能进行转发,无法进行针对VLAN等信息的有效的组播复制。所以采用PPPoE进行组播业务的开展,组播复制点只能是BNG设备,而采用IPoE,可以把组播复制点下移到DSLAM,一方面减少了BNG设备的压力,另一方面也极大的节约了网络接入层带宽。
(4)用户冗余
IPoE,报文转发中,由于不需要接入PPPoE Session/Cookie信息,非常容易做到跨机箱的用户Session的保护,当一个机箱断电时,所有IPoE的状态信息被动态备份到另外一台设备,所以不需要用户进行重新拨号。而PPPoE由于转发过程中携带BNG生成的唯一的Session/Cookie信息,当一台设备断电时,另外一台设备无法获得全部的PPPoE状态,所以无法做到有效的跨机箱的用户冗余保护。
根据上述讨论,在终端支持、封装开销和组播支持认证效率等方面,IPoE认证具有较明显的优势。
5、 业务承载解决方案
根据前面的技术讨论, IPoE和PPPoE将在一段时期内并存,满足不同业务需求。随运营商向全业务提供商转型,无论采用那种认证机制,网络中必须部署业务控制网关来对用户的接入,认证,会话及QoS等策略进行统一的管理。网络边缘业务控制设备从单一支持PPPoE的设备(国内运营商主要为BRAS)向TR101架构定义的宽带网络业务网关-BNG设备(同时支持PPPoE和IPoE)演进。对于满足下一代PPPoE/IPoE用户接入控制的BNG设备设计,不同厂家有不同的理解。传统BRAS厂家是为支持PPPoE协议而设计的产品,可以通过添加IPoE功能的支持来演变为BNG设备。同理,传统的Service Router厂家设备天生支持高带宽的IPoE用户控制,可以通过添加PPPoE功能来实现完全的BNG功能。无论是何种演进方式,BNG必须需要具备以下3种设计要素:
(1)强劲的CPU处理能力及内存容量
PPPoE/IPoE用户session的处理和终结都需要CPU进行辅助。下一代的BNG设备,设计需要承载128K用户,这样对设备的CPU处理能力要求很高,一般需要多核CPU,同时支持4G以上内存。
(2)大于40G每槽位的业务处理能力
适应大带宽的发展,每槽位支持16K用户,平均每用户要支持2-4Mbps的带宽,这样就要求下一代BNG设备支持40G/slot的高带宽处理能力。
(3)完善的业务处理板卡,提供面向未来的增值服务
随着用户控制的深入发展,需要BNG设备提供DPI(深入包检测),IPSec安全接入,视频和LTE移动业务网关的支持。
(4)层次化QoS
城域网的接入部分(特别是最后一公里)是全网的带宽瓶颈,而通常接入网汇聚设备(以太网交换机)的QoS控制机制比较弱。因此,要求业务网关(BNG)设备上部署H-QoS机制,从而降低对接入网关以下的设备的QoS性能要求,降低了接入网的成本,简化了QoS管理。
要求BNG最多可达三级调度,实现针对每用户,每业务,每应用的QoS策略,从而实现网络带宽的灵活调度及业务管理。
采用BNG设备作为网络业务的控制点,先网演进建议按如下三个阶段进行:
* 第一阶段:原有HSI业务仍然通过PPPoE方式由BRAS承载,综合业务用户、包月用户等通过IPoE方式认证的业务通过BNG承载。新增HSI 业务通过PPPoE方式由BNG设备承载。
* 第二阶段:随HSI业务发展, 现网BRAS设备必将不能满足大接入带宽的需求,建议逐步将原有用户割接至BNG设备。
* 第三阶段:网络形成BNG的单边缘架构,在业务控制层部署基于每用户,每业务,每应用的控制策略,部署H-QoS,配和骨干网QoS策略,实现用户管理,差异化服务和精细运行。
6、 上海贝尔BNG设备
上海贝尔的7750SR是业界第一个50G平台(IOM3)的BNG设备,兼备传统意义的SR和BRAS功能,同时能够支持PPPoE/IPoE/VPN等多种业务,产品主要特点如下:
1) 7750SR能够支持单板50G线速端口能力、整机500G线速端口能力(40个10GE线速端口,500个GE线速端口)
2) 7750SR整机支持128K并发用户,单板卡支持40K并发用户会话,并同时保证线速性能,具备业界领先的业务扩展能力和处理性能;
3) 7750能够满足在满负荷、综合业务承载下保持高性能线速转发;
4) 7750支持灵活的不同模式下(每用户每VLAN,每业务每VLAN等)的多层次用户QOS控制,能够支持跨不同VLAN下的层次化QoS,能够具备丰富的QoS特性为多业务承载提供完善地保证;
5) 7750SR支持IPoE Session双机热备技术;
6) 7750支持NSR/NSS和ISSU,可以做到主控引擎切换时,PPPoE/IPOE业务不中断;
7) 7750SR具备业界最完善的防DOS攻击体系,主控卡上具备硬件防火墙能力,能够基于每用户Session提供防DOS攻击能力;
8) 7750SR可内置AA-ISA卡,提供基于每个用户的深度包检测功能,能够监测每个用户的每种internet应用并加以控制,比如P2P,Skype,BT等;
9) 7750SR可内置Video业务应用处理卡,提供频道快速切换、故障帧快速重传等增强的IPTV支持技术,和定向广告插入等IPTV增值服务。
作为BNG设备,7750SR具有业界最为领先业务处理能力,在全球的一线运营商如AT&T都有大量的成功应用案例。
7、 总结
由于IPoE在综合业务承载方面据有的明显优势并适用于综合业务承载及包月用户,使其将成为未来的主要认证方式,。而PPPoE具有良好的市场环境,在一段时间内也将被保留下来,作为高速上网业务的主要认证方式。IPoE和PPPoE认证方式均有大量的商用案例,各个运营商根据不同的业务类型,灵活选择认证方式,运营商可用同一套RADIUS系统支持两种认证方式。
BNG设备的产生为运营商根据业务需求灵活选择认证方式提供条件。网络结构可简化为单边缘架构,在同一设备,同一端口下同时接入PPPoE和IPoE,从而实现对用户资源及QoS策略的统一部署和管理,同时实现对每用户/每业务的精细化控制和QoS保证,是业务融合的方向。