我們已進(jìn)入寬帶時(shí)代,寬帶網(wǎng)的認(rèn)證和計(jì)費(fèi)至關(guān)重要,也是一個(gè)頗有爭議的問題。寬帶網(wǎng)應(yīng)該如何進(jìn)行認(rèn)證計(jì)費(fèi)呢?
應(yīng)該說,認(rèn)證和計(jì)費(fèi)是電信網(wǎng)的兩個(gè)有關(guān)聯(lián)的環(huán)節(jié), 除了采用包月制計(jì)費(fèi)方式、不依賴于認(rèn)證外,一般來說,其它計(jì)費(fèi)方式都和認(rèn)證有關(guān),也就是說,只有正確可靠地把用戶識別出來,正確無誤的計(jì)費(fèi)才能得到保證。這就要求,認(rèn)證應(yīng)當(dāng)具有不可更改性和不可抵賴性。
1 寬帶網(wǎng)和電話網(wǎng)有何不同?
我們首先看一看寬帶網(wǎng)和窄帶網(wǎng)有何不同。窄帶網(wǎng)包含了窄帶撥號網(wǎng)和窄帶專線網(wǎng),寬帶網(wǎng)無論使用ADSL或LAN進(jìn)行接入,本質(zhì)上都是專線網(wǎng),也就是說,每個(gè)用戶都占用局方的一個(gè)端口,這端口歸該用戶使用,該用戶不用,其它用戶也無法使用。因此專線網(wǎng)中按時(shí)長計(jì)費(fèi)是不合理的。
可以設(shè)想一下,如果因?yàn)槟撤N原因某些用戶安裝了寬帶卻不使用(目前我們撥號用戶中的零次用戶高達(dá)50%~60%),那么我們巨大的寬帶網(wǎng)的投資何時(shí)能收回呢?
這一點(diǎn)和電話撥號網(wǎng)有本質(zhì)的不同。電話撥號網(wǎng)通常按10~15比1(電話用戶/撥號服務(wù)器端口)的比例配備撥號服務(wù)器,某一用戶占用了撥號服務(wù)器的端口,其它用戶就無法使用。同時(shí)電話網(wǎng)是基于電路交換的網(wǎng)絡(luò),一旦某一用戶上了網(wǎng),即便沒有流量(如該用戶在寫E-mail),他也占用了電話中繼和電話交換機(jī)的資源,因此電話撥號網(wǎng)按時(shí)長計(jì)費(fèi)是合理的。但寬帶IP網(wǎng)不是這樣,從用戶端開始就是基于分組交換,當(dāng)用戶無流量時(shí),他不占用IP交換機(jī)的資源,除已永久分配給他的端口之外。
2 寬帶網(wǎng)應(yīng)該如何計(jì)費(fèi)?
一般說來,寬帶用戶費(fèi)中包括兩部分比較合理, 即端口月租費(fèi)和實(shí)際的流量費(fèi)。實(shí)際的流量在某種程度上反映了對網(wǎng)絡(luò)資源的占用。 但遺憾的是,在目前的技術(shù)條件下,很難在IP公網(wǎng)上把某一個(gè)用戶真正使用的實(shí)際流量精確地計(jì)算出來。
這是由于以下原因:用戶接入端口的流量包含網(wǎng)絡(luò)上的廣播流量;由于TCP/IP的特性所致,當(dāng)網(wǎng)絡(luò)上出現(xiàn)擁塞、丟包等,TCP/IP就會自動(dòng)地把文件重發(fā),這樣用戶就會感到,他們傳送的文件大小并沒有發(fā)生變化,但實(shí)測出來的流量會大于他們的文件的大小,并且會隨著網(wǎng)絡(luò)情況的不同而不同。實(shí)際上我們經(jīng)常碰到用戶這樣的投訴:我們每月傳送的數(shù)據(jù)沒有大的變化,但為什么資費(fèi)會不一樣呢?
為了減少不必要的資費(fèi)糾紛,浙江省大部分用專線接入163網(wǎng)的用戶已改為包月制。
由于上述原因,在目前的技術(shù)條件下,不宜采用流量計(jì)費(fèi)的方法。
3 寬帶網(wǎng)需要認(rèn)證什么?
由于電話網(wǎng)中只要用戶一撥號,交換機(jī)就記錄下用戶的電話號碼,通過電話號碼就能確定用戶在何處上的網(wǎng)。RADIUS認(rèn)證用戶的password,軟件把用戶名、口令和電話號碼及上網(wǎng)時(shí)長記錄下來,即可作為收費(fèi)的法律依據(jù)。這是因?yàn)殡娫捥柎a一經(jīng)確定,用戶不能更改,也無法抵賴,也就具有了法律效力。一旦發(fā)生話費(fèi)糾紛,這一法律依據(jù)是極為重要的。
在寬帶網(wǎng)中,特別是LAN這種接入方式中,沒有了電話號碼這種用戶不能更改、也無法抵賴的依據(jù)。因此如果要在寬帶網(wǎng)上做認(rèn)證的話,那么一定要對某種用戶不能更改,也無法抵賴的特征做認(rèn)證。如果僅僅對用戶名和口令做認(rèn)證,是不夠的。
根據(jù)以往用戶和電信局發(fā)生的資費(fèi)糾紛來看,大致有幾種情況:有戶使用了,但自己感覺沒用那么多;別人盜用;電信局的計(jì)費(fèi)系統(tǒng)有缺陷。無論何種情況,都需要我們有確實(shí)的證據(jù),證明用戶何時(shí)在何處上的網(wǎng)。但是,目前流行的PPPoE方法,大多數(shù)廠家的軟件產(chǎn)品都僅對用戶名和口令進(jìn)行認(rèn)證,而無法確定用戶在何處上的網(wǎng)。
目前有的廠商利用DHCP+SERVER,對用戶的VLAN ID及IP地址、MAC地址等進(jìn)行綁定,從而能確定用戶在何處上的網(wǎng)。
DHCP+ 的認(rèn)證過程如下:DHCP 用戶通過廣播找到DHCP服務(wù)器,從回應(yīng)的多個(gè)DHCP服務(wù)器中選一個(gè)提出申請,該服務(wù)器接受之后,通過認(rèn)證用戶的有關(guān)信息,確認(rèn)是合法用戶之后,就把相關(guān)參數(shù),如IP地址、DNS服務(wù)器、子網(wǎng)掩碼、網(wǎng)關(guān)的地址等傳送給用戶。用戶得到這些參數(shù)之后,就能直接進(jìn)入Internet網(wǎng)進(jìn)行通信,而所有的通信流無需經(jīng)過DHCP服務(wù)器。
在這種方式下,用戶的流量可以分散到許多條路徑,互相進(jìn)行交換或流向Internet網(wǎng),不存在瓶頸。而PPPoE的方式下,用戶的流量必須經(jīng)過寬帶接入服務(wù)器,數(shù)千甚至數(shù)萬用戶的流量全通過一個(gè)設(shè)備(即寬帶接入服務(wù)器)進(jìn)行交換,或通向Internet網(wǎng)。當(dāng)流量很大時(shí)寬帶接入服務(wù)器很容易成為瓶頸,因?yàn)閷拵Ы尤敕⻊?wù)器除了要完成普通路由器和交換機(jī)的功能外,還要做很多的工作,如對每個(gè)用戶(不是每個(gè)端口,一個(gè)端上有很多的用戶)流量進(jìn)行監(jiān)控,有些工作還必須由軟件完成,如對用戶的認(rèn)證。
4 兩種認(rèn)證技術(shù)的主要區(qū)別
PPPoE接入設(shè)備要同Host(主機(jī))在同一個(gè)二層內(nèi),以便Host通過廣播發(fā)現(xiàn)PPPoE接入設(shè)備。通過中繼代理,DHCP可以跨三層。
PPPoE接入設(shè)備是通信必經(jīng)的Next Hop,即使是在PPPoE撥號認(rèn)證成功后。DHCP+ Server只是在獲得IP配置信息階段起作用,以后的通信完全不經(jīng)過它。這是很根本的一個(gè)區(qū)別,下面的許多差異都是由此產(chǎn)生的。
PPPoE接入設(shè)備如果性能不好,負(fù)擔(dān)又沉重,則很可能成為接入的瓶頸。DHCP+ Server由于只用于配置信息獲取階段,所以基本上不會成為瓶頸。
在計(jì)費(fèi)上,PPPoE既可以計(jì)時(shí),也可以計(jì)流量。DHCP+只能計(jì)時(shí)(如需計(jì)流量則必須在用戶接入處配備能計(jì)流量的交換機(jī))。
PPPoE可以對用戶通信進(jìn)行速率限制(Rate-Limit),且很多設(shè)備可做到上、下行不對稱。DHCP+不能提供此功能。
有些PPPoE設(shè)備不支持VLAN,這會對某些應(yīng)用構(gòu)成一定的限制。DHCP+不存在這個(gè)問題。
PPPoE可方便地提供動(dòng)態(tài)業(yè)務(wù)選擇特性(嚴(yán)格地說,這和PPPoE本身并沒有什么關(guān)系,但多和PPPoE同時(shí)應(yīng)用)。
PPPoE設(shè)備可針對特定用戶設(shè)置ACL(訪問列表)過濾或防火墻功能。DHCP+不能做到。PPPoE可以防止地址沖突和地址盜用。DHCP+不能解決這個(gè)問題。
在運(yùn)行Multicast(多播)應(yīng)用時(shí),由于PPPoE的點(diǎn)對點(diǎn)特性,即使幾個(gè)Host同屬于一個(gè)多播組,也要為每個(gè)Host單獨(dú)復(fù)制一份數(shù)據(jù)流。DHCP+不存在此問題。
值得一提的是,目前技術(shù)發(fā)展很快,如基于DHCP的Web認(rèn)證方式免去了在用戶終端上安裝軟件,從而大大減少了安裝和維護(hù)的工作量。
5 接入認(rèn)證能代替應(yīng)用認(rèn)證嗎?
寬帶網(wǎng)上今后肯定會有很多的應(yīng)用, 中國電信作為一個(gè)ISP, 在用戶接入Internet時(shí),所做的認(rèn)證能取代Internet網(wǎng)上的各個(gè)應(yīng)用的認(rèn)證嗎? 答案顯然是否定的,這是因?yàn)?
(1) 作為一個(gè)應(yīng)用,當(dāng)它期望通過收費(fèi)獲得收益,必然要面向廣大的群眾,當(dāng)它連結(jié)在Internet網(wǎng)上時(shí),用戶可以各種方式,通過各個(gè)不同的ISP進(jìn)入Internet,因此各種應(yīng)用勢必需要在它自己的網(wǎng)頁入口處進(jìn)行認(rèn)證才行,僅僅依靠中國電信的某省(中國電信的Internet認(rèn)證以省為單位)的接入處所做的認(rèn)證顯然是不夠的,就像一個(gè)公園有很多的入口,僅對某一個(gè)入口的游客進(jìn)行認(rèn)證和計(jì)費(fèi),顯然是不合理的。
(2) 各種應(yīng)用本身有各種不同的需求,作為一個(gè)ISP的接入認(rèn)證是很難滿足這些千差萬別的要求的,例如,我們和某高校討論建立高教網(wǎng)站時(shí),他們提出,他們的網(wǎng)絡(luò)遠(yuǎn)程教育包括學(xué)位教育、非學(xué)位教育、普通培訓(xùn)等,各種教育中分不同的專業(yè)、不同的課程其收費(fèi)標(biāo)準(zhǔn)均不相同,這么復(fù)雜的應(yīng)用, 作為一個(gè)ISP的接入認(rèn)證根本就無法滿足他們的要求。
6 小結(jié)
寬帶IP城域網(wǎng)的建設(shè)正在我國興起,如何進(jìn)行計(jì)費(fèi)和認(rèn)證是大家所關(guān)注的焦點(diǎn)。由于寬帶IP城域網(wǎng)的建設(shè)剛剛起步,計(jì)費(fèi)和認(rèn)證的協(xié)議,硬件和軟件都不太成熟。 在我們建設(shè)的初期,采用包月制或許是比較合適的方法。
來源:bjx.com.cn