百科解釋
IPoE認(rèn)證的主要特點(diǎn)總結(jié)如下: 基于上網(wǎng)用戶的物理位置(通過(guò)唯一的VLAN ID/PVC ID標(biāo)示)對(duì)用戶進(jìn)行認(rèn)證和計(jì)費(fèi),用戶上網(wǎng)時(shí)無(wú)需輸入用戶名和密碼,這對(duì)于那些需要永遠(yuǎn)在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng),家庭簡(jiǎn)化硬件的配置工作。 IPoE系統(tǒng)包括基本的DHCP功能,同時(shí)擴(kuò)展了網(wǎng)絡(luò)中各個(gè)層面設(shè)備的能力?梢哉f(shuō)IPoE不是簡(jiǎn)單的終端設(shè)備上支持DHCP就可以了,需要涉及到用戶端,網(wǎng)絡(luò)控制設(shè)備,網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等。 DHCP( RFC-1541)本身是一種動(dòng)態(tài)主機(jī)配置協(xié)議,最初主要針對(duì)于LAN應(yīng)用。通過(guò)終端上的DHCP客戶端,利用自動(dòng)發(fā)現(xiàn)機(jī)制來(lái)嘗試聯(lián)系網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP提供一系列IP配置參數(shù),對(duì)用戶端的IP層進(jìn)行配置。 DHCP協(xié)議本身并沒(méi)有用來(lái)認(rèn)證的功能,但是DHCP可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證,比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證。所有這些方式都統(tǒng)稱為DHCP+認(rèn)證。本文討論的主要是DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證,又稱為IPoE認(rèn)證方式。用來(lái)作為DHCP擴(kuò)展的OPTION字段主要為OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發(fā)起DHCP請(qǐng)求時(shí)攜帶的信息,網(wǎng)絡(luò)設(shè)備只需要透?jìng)骷纯。其在?yīng)用中的作用是用來(lái)識(shí)別用戶終端類型,從而識(shí)別用戶業(yè)務(wù)類型,DHCP服務(wù)器可以依賴于此分配不同的業(yè)務(wù)IP地址。而OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報(bào)文中,主要用來(lái)標(biāo)識(shí)用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設(shè)備進(jìn)行插入。 IPoE認(rèn)證系統(tǒng)各個(gè)部分功能 。1)IPoE 客戶端部分 包括各種用戶終端設(shè)備,產(chǎn)生DHCP消息,中間設(shè)備插入各種DHCP option進(jìn)行用戶綁定,業(yè)務(wù)綁定等。 。2)IPoE 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備(如BRAS或SR) 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備(Broadband network gateway)進(jìn)行DHCP消息到Radius認(rèn)證消息的翻譯。與Radius進(jìn)行認(rèn)證,授權(quán),計(jì)費(fèi)功能。認(rèn)證通過(guò)后,下放Radius返回的每用戶QoS,訪問(wèn)控制的列表等功能,同時(shí)對(duì)通過(guò)設(shè)備的流量/時(shí)長(zhǎng)進(jìn)行計(jì)費(fèi)。 。3)IPoE業(yè)務(wù)控制系統(tǒng) 包括Radius/DHCP/Diameter/Webportal等業(yè)務(wù)系統(tǒng),能夠動(dòng)態(tài)調(diào)整每用戶的帶寬和QoS屬性,針對(duì)預(yù)付費(fèi),流量,時(shí)長(zhǎng)等提供多種計(jì)費(fèi)手段。做到客戶的可管理控制,可持續(xù)盈利,提供差異化的用戶服務(wù)。 基于TR101定義的網(wǎng)絡(luò)架構(gòu)及WT146定義的IPoE Session 流程,網(wǎng)絡(luò)邊緣通過(guò)設(shè)置寬帶業(yè)務(wù)網(wǎng)關(guān)-BNG(Broadband Network Gateway)設(shè)備來(lái)維護(hù)所有用戶的 IP Session,通過(guò) IPoE Session 對(duì)用戶進(jìn)行感知和控制,并實(shí)施各種用戶策略(如QoS)。 。2)IPoE認(rèn)證特點(diǎn)總結(jié) IPoE認(rèn)證的主要特點(diǎn)總結(jié)如下: 基于上網(wǎng)用戶的物理位置(通過(guò)唯一的VLAN ID/PVC ID標(biāo)示)對(duì)用戶進(jìn)行認(rèn)證和計(jì)費(fèi),用戶上網(wǎng)時(shí)無(wú)需輸入用戶名和密碼,這對(duì)于那些需要永遠(yuǎn)在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng),家庭簡(jiǎn)化硬件的配置工作。 DHCP+ (option 60/option 82)對(duì)DHCP 協(xié)議進(jìn)行了擴(kuò)展,增加了安全,監(jiān)控,用戶識(shí)別等新的特性。 網(wǎng)絡(luò)接入設(shè)備, 業(yè)務(wù)控制網(wǎng)關(guān), DHCP server, Radius server 配合增強(qiáng)網(wǎng)絡(luò)安全性(防DoS 攻擊及地址仿冒) DHCP+ Radius 結(jié)合提供計(jì)費(fèi)功能,使得DHCP 適合做運(yùn)營(yíng)。 DHCP 是基于IP的在冗余保護(hù)方面比較有優(yōu)勢(shì),能夠?qū)崿F(xiàn)真正的5個(gè)9的保護(hù)特性。 組播業(yè)務(wù)支持靈活 (3) IPoE 認(rèn)證的安全策略 由于IPoE認(rèn)證本身不像PPPoE認(rèn)證一樣在網(wǎng)絡(luò)層面提供唯一的點(diǎn)到點(diǎn)的通信, 所以運(yùn)營(yíng)商在部署時(shí),安全問(wèn)題是需要考慮的主要問(wèn)題。隨網(wǎng)絡(luò)技術(shù)的發(fā)展,家庭網(wǎng)關(guān),網(wǎng)絡(luò)接入設(shè)備(如DSLAM), 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)必須協(xié)同工作,增強(qiáng)網(wǎng)絡(luò)安全性。安全保證策略包括如下方面: (a) 反地址欺騙 用戶是通過(guò)DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務(wù)控制網(wǎng)關(guān)自動(dòng)生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同,但是MAC地址不同,所有的數(shù)據(jù)包都會(huì)被丟棄。 。╞)用戶終端數(shù)限制 控制每個(gè)業(yè)務(wù)接入點(diǎn)所連接用戶終端的數(shù)量。 (c)防DoS攻擊 對(duì)于用戶通過(guò)發(fā)送大量的DHCP請(qǐng)求,模擬不同MAC 地址的Host請(qǐng)求IP地址,攻擊DHCP Server的情況: 解決方式是DHCP 請(qǐng)求需要得到Radius 服務(wù)器認(rèn)證通過(guò)才能被送到DHCP Server, Radius 設(shè)定了用戶的MAC地址和線路號(hào)綁定的功能,只有IP地址和線路號(hào)在Radius數(shù)據(jù)庫(kù)種才能獲得許可申請(qǐng)用戶的IP地址。 對(duì)于由寬帶網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送大量的DHCP請(qǐng)求發(fā)送到Radius服務(wù)器的情況: 解決方式是在用戶認(rèn)證通過(guò)認(rèn)證獲得IP地址之前,基于每個(gè)用戶設(shè)置速率限制功能,設(shè)定每秒種只有1-2個(gè)DHCP數(shù)據(jù)包能夠通過(guò),降低對(duì)Radius Server的壓力。對(duì)于Radius Server,對(duì)用戶的攻擊模式進(jìn)行判斷,對(duì)來(lái)自同一個(gè)DSLAM 線路號(hào)的Radius請(qǐng)求數(shù)量作控制,比方說(shuō)在1秒內(nèi),最多只允許1個(gè)Radius請(qǐng)求,如果1分鐘內(nèi)連續(xù)出現(xiàn)多個(gè)Radius請(qǐng)求,則認(rèn)證發(fā)生攻擊,直接丟棄Radius數(shù)據(jù)包。 。╠)業(yè)務(wù)隔離 下行通過(guò)VLAN隔離;上行方向除上網(wǎng)業(yè)務(wù)分配公網(wǎng)地址直接接入外,其它業(yè)務(wù)(包括網(wǎng)絡(luò)管理)一律按業(yè)務(wù)類別分裝在不同VPN內(nèi)進(jìn)行傳送。 。╡)非法組播源抑制 一般從DSLAM上行的端口都會(huì)將發(fā)送到組播組的數(shù)據(jù)過(guò)濾掉。在業(yè)務(wù)控制網(wǎng)關(guān)上與DSLAM 下行連接的端口上不會(huì)開(kāi)啟PIM協(xié)議,組播源不會(huì)從業(yè)務(wù)端口接入上來(lái)。 。╢)端口隔離 設(shè)置用戶水平分割組,禁止用戶接入端口間直接轉(zhuǎn)發(fā)。
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助