詞語解釋
IPoE認證的主要特點總結如下: 基于上網用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網時無需輸入用戶名和密碼,這對于那些需要永遠在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網,家庭簡化硬件的配置工作。
IPoE系統(tǒng)包括基本的DHCP功能,同時擴展了網絡中各個層面設備的能力。可以說IPoE不是簡單的終端設備上支持DHCP就可以了,需要涉及到用戶端,網絡控制設備,網絡業(yè)務系統(tǒng)等。
DHCP( RFC-1541)本身是一種動態(tài)主機配置協(xié)議,最初主要針對于LAN應用。通過終端上的DHCP客戶端,利用自動發(fā)現(xiàn)機制來嘗試聯(lián)系網絡中的DHCP服務器。DHCP提供一系列IP配置參數(shù),對用戶端的IP層進行配置。 DHCP協(xié)議本身并沒有用來認證的功能,但是DHCP可以配合其他技術實現(xiàn)認證,比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證。所有這些方式都統(tǒng)稱為DHCP+認證。本文討論的主要是DHCP+OPTION擴展字段進行認證,又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發(fā)起DHCP請求時攜帶的信息,網絡設備只需要透傳即可。其在應用中的作用是用來識別用戶終端類型,從而識別用戶業(yè)務類型,DHCP服務器可以依賴于此分配不同的業(yè)務IP地址。而OPTION82信息是由網絡設備插入在終端發(fā)出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。
IPoE認證系統(tǒng)各個部分功能
。1)IPoE 客戶端部分
包括各種用戶終端設備,產生DHCP消息,中間設備插入各種DHCP option進行用戶綁定,業(yè)務綁定等。
。2)IPoE 寬帶網絡網關控制設備(如BRAS或SR)
寬帶網絡網關控制設備(Broadband network gateway)進行DHCP消息到Radius認證消息的翻譯。與Radius進行認證,授權,計費功能。認證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。
(3)IPoE業(yè)務控制系統(tǒng)
包括Radius/DHCP/Diameter/Webportal等業(yè)務系統(tǒng),能夠動態(tài)調整每用戶的帶寬和QoS屬性,針對預付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續(xù)盈利,提供差異化的用戶服務。
基于TR101定義的網絡架構及WT146定義的IPoE Session 流程,網絡邊緣通過設置寬帶業(yè)務網關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,并實施各種用戶策略(如QoS)。
。2)IPoE認證特點總結
IPoE認證的主要特點總結如下:
基于上網用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網時無需輸入用戶名和密碼,這對于那些需要永遠在線的用戶,以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網,家庭簡化硬件的配置工作。
DHCP+ (option 60/option 82)對DHCP 協(xié)議進行了擴展,增加了安全,監(jiān)控,用戶識別等新的特性。
網絡接入設備, 業(yè)務控制網關, DHCP server, Radius server 配合增強網絡安全性(防DoS 攻擊及地址仿冒)
DHCP+ Radius 結合提供計費功能,使得DHCP 適合做運營。
DHCP 是基于IP的在冗余保護方面比較有優(yōu)勢,能夠實現(xiàn)真正的5個9的保護特性。
組播業(yè)務支持靈活
(3) IPoE 認證的安全策略
由于IPoE認證本身不像PPPoE認證一樣在網絡層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網絡技術的發(fā)展,家庭網關,網絡接入設備(如DSLAM), 寬帶網絡網關必須協(xié)同工作,增強網絡安全性。安全保證策略包括如下方面:
(a) 反地址欺騙
用戶是通過DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務控制網關自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同,但是MAC地址不同,所有的數(shù)據包都會被丟棄。
。╞)用戶終端數(shù)限制
控制每個業(yè)務接入點所連接用戶終端的數(shù)量。
。╟)防DoS攻擊
對于用戶通過發(fā)送大量的DHCP請求,模擬不同MAC 地址的Host請求IP地址,攻擊DHCP Server的情況:
解決方式是DHCP 請求需要得到Radius 服務器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP地址和線路號在Radius數(shù)據庫種才能獲得許可申請用戶的IP地址。
對于由寬帶網絡網關發(fā)送大量的DHCP請求發(fā)送到Radius服務器的情況:
解決方式是在用戶認證通過認證獲得IP地址之前,基于每個用戶設置速率限制功能,設定每秒種只有1-2個DHCP數(shù)據包能夠通過,降低對Radius Server的壓力。對于Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數(shù)量作控制,比方說在1秒內,最多只允許1個Radius請求,如果1分鐘內連續(xù)出現(xiàn)多個Radius請求,則認證發(fā)生攻擊,直接丟棄Radius數(shù)據包。
(d)業(yè)務隔離
下行通過VLAN隔離;上行方向除上網業(yè)務分配公網地址直接接入外,其它業(yè)務(包括網絡管理)一律按業(yè)務類別分裝在不同VPN內進行傳送。
。╡)非法組播源抑制
一般從DSLAM上行的端口都會將發(fā)送到組播組的數(shù)據過濾掉。在業(yè)務控制網關上與DSLAM 下行連接的端口上不會開啟PIM協(xié)議,組播源不會從業(yè)務端口接入上來。
(f)端口隔離
設置用戶水平分割組,禁止用戶接入端口間直接轉發(fā)。
掃碼付費即可復制
X