ipoe

詞語解釋

IPoE（Internet Protocol over Ethernet），是指在以太網(wǎng)上傳輸Internet協(xié)議數(shù)據(jù)包的一種技術。它是一種新的技術，可以實現(xiàn)以太網(wǎng)上的IP數(shù)據(jù)包的傳輸，可以實現(xiàn)更高的帶寬和更快的傳輸速度。 IPoE技術的應用： 1、IPoE技術可以改善以太網(wǎng)的性能，可以提高以太網(wǎng)的傳輸速度，提高網(wǎng)絡的容量，改善網(wǎng)絡的可靠性和安全性。 2、IPoE技術可以支持多種協(xié)議，可以支持TCP/IP、IPX/SPX、NetBEUI等多種協(xié)議，可以支持多種網(wǎng)絡類型，支持以太網(wǎng)、Token Ring、FDDI等多種網(wǎng)絡類型。 3、IPoE技術可以支持多種應用，可以支持多種應用，如電子郵件、文件傳輸、視頻會議、網(wǎng)絡管理等應用。 4、IPoE技術可以支持多種網(wǎng)絡設備，可以支持路由器、交換機、網(wǎng)關等多種網(wǎng)絡設備，可以支持多種網(wǎng)絡設備的協(xié)議和應用。 5、IPoE技術可以支持多種網(wǎng)絡服務，可以支持DNS、DHCP、NAT等多種網(wǎng)絡服務，可以支持多種網(wǎng)絡服務的配置和管理。 IPoE技術是一種新的技術，可以改善以太網(wǎng)的性能，支持多種協(xié)議、應用和網(wǎng)絡設備，支持多種網(wǎng)絡服務，可以提高以太網(wǎng)的傳輸速度，提高網(wǎng)絡的容量，改善網(wǎng)絡的可靠性和安全性，是一種非常有用的技術。

IPoE認證的主要特點總結如下：基于上網(wǎng)用戶的物理位置（通過唯一的VLAN ID/PVC ID標示）對用戶進行認證和計費，用戶上網(wǎng)時無需輸入用戶名和密碼，這對于那些需要永遠在線的用戶，以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng)，家庭簡化硬件的配置工作。
　　IPoE系統(tǒng)包括基本的DHCP功能，同時擴展了網(wǎng)絡中各個層面設備的能力。可以說IPoE不是簡單的終端設備上支持DHCP就可以了，需要涉及到用戶端，網(wǎng)絡控制設備，網(wǎng)絡業(yè)務系統(tǒng)等。
DHCP（ RFC-1541）本身是一種動態(tài)主機配置協(xié)議，最初主要針對于LAN應用。通過終端上的DHCP客戶端，利用自動發(fā)現(xiàn)機制來嘗試聯(lián)系網(wǎng)絡中的DHCP服務器。DHCP提供一系列IP配置參數(shù)，對用戶端的IP層進行配置。 DHCP協(xié)議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現(xiàn)認證，比如DHCP+web方式、DHCP+客戶端方式和利用DHCP+OPTION擴展字段進行認證。所有這些方式都統(tǒng)稱為DHCP+認證。本文討論的主要是DHCP+OPTION擴展字段進行認證，又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60 （RFC2132）和OPTION82 （RFC3046）。其中OPTION60中帶有Vendor和Service Option信息，是由用戶終端發(fā)起DHCP請求時攜帶的信息，網(wǎng)絡設備只需要透傳即可。其在應用中的作用是用來識別用戶終端類型，從而識別用戶業(yè)務類型，DHCP服務器可以依賴于此分配不同的業(yè)務IP地址。而OPTION82信息是由網(wǎng)絡設備插入在終端發(fā)出的DHCP報文中，主要用來標識用戶終端的接入位置，DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。

IPoE認證系統(tǒng)各個部分功能
　�。�1）IPoE 客戶端部分
　　包括各種用戶終端設備，產(chǎn)生DHCP消息，中間設備插入各種DHCP option進行用戶綁定，業(yè)務綁定等。
　�。�2）IPoE 寬帶網(wǎng)絡網(wǎng)關控制設備（如BRAS或SR）
　　寬帶網(wǎng)絡網(wǎng)關控制設備（Broadband network gateway）進行DHCP消息到Radius認證消息的翻譯。與Radius進行認證，授權，計費功能。認證通過后，下放Radius返回的每用戶QoS，訪問控制的列表等功能，同時對通過設備的流量/時長進行計費。
　�。�3）IPoE業(yè)務控制系統(tǒng)
　　包括Radius/DHCP/Diameter/Webportal等業(yè)務系統(tǒng)，能夠動態(tài)調整每用戶的帶寬和QoS屬性，針對預付費，流量，時長等提供多種計費手段。做到客戶的可管理控制，可持續(xù)盈利，提供差異化的用戶服務。
　　基于TR101定義的網(wǎng)絡架構及WT146定義的IPoE Session 流程，網(wǎng)絡邊緣通過設置寬帶業(yè)務網(wǎng)關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session，通過 IPoE Session 對用戶進行感知和控制，并實施各種用戶策略（如QoS）。
　　（2）IPoE認證特點總結
　　IPoE認證的主要特點總結如下：
　　基于上網(wǎng)用戶的物理位置（通過唯一的VLAN ID/PVC ID標示）對用戶進行認證和計費，用戶上網(wǎng)時無需輸入用戶名和密碼，這對于那些需要永遠在線的用戶，以及不愿意輸入用戶名和密碼的特定用戶是非常方便的 ,適合于在企業(yè)網(wǎng)，家庭簡化硬件的配置工作。
　　DHCP+ （option 60/option 82)對DHCP 協(xié)議進行了擴展，增加了安全，監(jiān)控，用戶識別等新的特性。
　　網(wǎng)絡接入設備, 業(yè)務控制網(wǎng)關, DHCP server, Radius server 配合增強網(wǎng)絡安全性（防DoS 攻擊及地址仿冒）
　　DHCP+ Radius 結合提供計費功能，使得DHCP 適合做運營。
　　DHCP 是基于IP的在冗余保護方面比較有優(yōu)勢，能夠實現(xiàn)真正的5個9的保護特性。
　　組播業(yè)務支持靈活
　　(3) IPoE 認證的安全策略
　　由于IPoE認證本身不像PPPoE認證一樣在網(wǎng)絡層面提供唯一的點到點的通信，所以運營商在部署時，安全問題是需要考慮的主要問題。隨網(wǎng)絡技術的發(fā)展，家庭網(wǎng)關，網(wǎng)絡接入設備（如DSLAM）, 寬帶網(wǎng)絡網(wǎng)關必須協(xié)同工作，增強網(wǎng)絡安全性。安全保證策略包括如下方面：
　　(a) 反地址欺騙
　　用戶是通過DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務控制網(wǎng)關自動生成一條IP和MAC地址幫定的Ingress方向的記錄. 如果其它用戶做防冒, IP地址相同，但是MAC地址不同，所有的數(shù)據(jù)包都會被丟棄。
　　（b）用戶終端數(shù)限制
　　控制每個業(yè)務接入點所連接用戶終端的數(shù)量。
　�。╟）防DoS攻擊
　　對于用戶通過發(fā)送大量的DHCP請求，模擬不同MAC 地址的Host請求IP地址，攻擊DHCP Server的情況：
　　解決方式是DHCP 請求需要得到Radius 服務器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能，只有IP地址和線路號在Radius數(shù)據(jù)庫種才能獲得許可申請用戶的IP地址。
　　對于由寬帶網(wǎng)絡網(wǎng)關發(fā)送大量的DHCP請求發(fā)送到Radius服務器的情況：
　　解決方式是在用戶認證通過認證獲得IP地址之前，基于每個用戶設置速率限制功能，設定每秒種只有1-2個DHCP數(shù)據(jù)包能夠通過，降低對Radius Server的壓力。對于Radius Server，對用戶的攻擊模式進行判斷，對來自同一個DSLAM 線路號的Radius請求數(shù)量作控制，比方說在1秒內，最多只允許1個Radius請求，如果1分鐘內連續(xù)出現(xiàn)多個Radius請求，則認證發(fā)生攻擊，直接丟棄Radius數(shù)據(jù)包。
　�。╠）業(yè)務隔離
　　下行通過VLAN隔離；上行方向除上網(wǎng)業(yè)務分配公網(wǎng)地址直接接入外，其它業(yè)務（包括網(wǎng)絡管理）一律按業(yè)務類別分裝在不同VPN內進行傳送。
　　（e）非法組播源抑制
　　一般從DSLAM上行的端口都會將發(fā)送到組播組的數(shù)據(jù)過濾掉。在業(yè)務控制網(wǎng)關上與DSLAM 下行連接的端口上不會開啟PIM協(xié)議，組播源不會從業(yè)務端口接入上來。
　　（f）端口隔離
　　設置用戶水平分割組，禁止用戶接入端口間直接轉發(fā)。

掃碼付費即可復制

ipoe

ipoe

相關討論貼

相關資料下載

隨機推薦詞語