寬帶接入認(rèn)證技術(shù)比較與評估

——用戶認(rèn)證對寬帶接入的意義
　　BRAS(寬帶接入服務(wù)器)是借鑒窄帶接入的成熟運作模式，在數(shù)據(jù)網(wǎng)絡(luò)由窄帶向?qū)拵а葸M(jìn)的趨勢下，使寬帶網(wǎng)絡(luò)可以像窄帶接入一樣運營管理。不像窄帶網(wǎng)絡(luò)尚需要提供PSTN的接入，寬帶網(wǎng)絡(luò)通常已具備完整的接入網(wǎng)絡(luò)(ADSL、Ethernet、HFC)，因此BRAS的主要功能是結(jié)合路由器或交換機等網(wǎng)絡(luò)設(shè)備，完成對寬帶用戶的3A接入控制如下：



(1)認(rèn)證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。



(2)授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶



(3)計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)



　　如果沒有實現(xiàn)合理的3A接入控制，寬帶網(wǎng)絡(luò)只能提供基于端口、包月制的資費方案，如果沒有基于用戶身份的認(rèn)證，也很難建立增值服務(wù)的發(fā)展空間。因此隨著業(yè)務(wù)競爭越趨激烈，3A接入控制已成為寬帶運營商的首要之務(wù)。



寬帶接入的實現(xiàn)過程



寬帶用戶3A接入控制的實現(xiàn)過程如下：



　　用戶端設(shè)備-BRAS(AAA Client)-AAA Server(Radius)-Billing System



　　一般來講，從BRAS到AAA Server之間的實現(xiàn)方法都是大同小異，通常采用RADIUS協(xié)議，而AAA Server和Billing系統(tǒng)一般采用集中建制，以支持用戶漫游和減少建制成本。而目前最困擾運營商的是如何有效實現(xiàn)從用戶端設(shè)備到BRAS之間的有效連接，目前主要的實現(xiàn)方式有：MAC/VLAN、PPPoE、PPTP/L2TP、802.1x、WEB/VLAN、WEB/IP。



　　關(guān)于這幾種認(rèn)證方法都有各自的特點，其優(yōu)缺點在業(yè)界也是一個討論的熱點，本文將針對這些技術(shù)對它們從實現(xiàn)原理上進(jìn)行一些探討。



MAC/VLAN技術(shù)評估



　　MAC/VLAN是通過用戶的MAC地址或VLAN ID來確認(rèn)用戶身份，屬于最早期的寬帶認(rèn)證技術(shù)。MAC/VLAN的認(rèn)證不需要客戶端軟件，也不需要用戶輸入口令及代號，對用戶非常友好。但是由于MAC/VLAN不存在用戶登錄的認(rèn)證過程，因此無法計算時長，只能支持包月制的資費方案，同時在推動增值服務(wù)時也存在著很大的計費爭議，因此本文中不再討論。



PPPoE技術(shù)評估



　　PPPoE通常與ATM Router結(jié)合成為Broadband RAS，后來開始有廠家在BRAS上提供GB或FE的端口，以支持基于以太網(wǎng)絡(luò)的寬帶接入。PPPoE要求在客戶端設(shè)置PPPoE客戶端軟件，從接入認(rèn)證角度來看，PPPoE與大家熟悉的窄帶撥入相同，都是在客戶端起一個PPP聯(lián)機，以撥號方式撥入PPPoE服務(wù)器。



　　雖然PPPoE技術(shù)普遍應(yīng)用在ADSL接入認(rèn)證，但是在以太網(wǎng)絡(luò)上卻面臨了許多問題：



網(wǎng)絡(luò)規(guī)劃問題



　　在客戶端進(jìn)行撥號時，首先會發(fā)出廣播包以找尋PPPoE服務(wù)器，待收到響應(yīng)后即建立PPP連接，因此PPPoE服務(wù)器與客戶端必須存在一個二層網(wǎng)絡(luò)。這在ADSL不成問題，因為每個客戶端與PPPoE服務(wù)器間都存在一個單獨的PVC電路。但是在以太網(wǎng)路上，PPPoE服務(wù)器卻需要與成千上萬名客戶端在同一個二層網(wǎng)絡(luò)，而二層網(wǎng)絡(luò)越大管理越困難，問題也越多。如果每個小區(qū)甚至樓宇就使用一個三層網(wǎng)絡(luò)，卻又存在PPPoE服務(wù)器的成本與管理問題。



封包分割問題



　　通常路由器或客戶端的MTU都是設(shè)定成1500Byte，由于PPPoE在將IP封包封裝在一個Ethernet Frame內(nèi)，因此封包的Payload就只剩下1492Byte，碰上大小為1500Byte的封包時，就必需將封包分割。根據(jù)實際應(yīng)用的數(shù)據(jù)顯示，封包分割會對路由器及客戶端的IP封包傳輸造成50%以上的額外壓力。



客戶端CPU負(fù)載問題



　　由于PPPoE對每一個IP封包都要封裝在Ethernet Frame內(nèi)，因此網(wǎng)絡(luò)流量越大，耗用客戶端的CPU效能就越多。因此對需要高帶寬的多媒體應(yīng)用非常不利。



客戶支持問題



　　PPPoE技術(shù)的另一個問題是客戶端必需要有專用軟件，不論在安裝、設(shè)定及升級上都比較復(fù)雜，客服成本非常昂貴。雖然這不算一個技術(shù)上的問題，但是在實施上卻有可能造成很大的困擾。具體案例是某家擁有70萬ADSL用戶的電信運營商在客戶端使用EnterNet撥號軟件。當(dāng)EnterNet升級時，該運營商在網(wǎng)站上提供免費下載。結(jié)果有大約5%的用戶在升級時遇到困難，該運營商的客服中心足足忙了幾個月才接完電話。
PPTP/L2TP技術(shù)評估



　　隨著VPN技術(shù)的發(fā)展，開始有運營商考慮使用PPTP/L2TP等技術(shù)提供用戶接入服務(wù)。由于PPTP/L2TP可通過三層網(wǎng)絡(luò)提供用戶接入，因此可以有效解決PPPoE網(wǎng)絡(luò)規(guī)劃的困難。同時由于Windows 2000已經(jīng)內(nèi)置VPN撥號功能，因此客服成本較低。



　　采用VPN來提供寬帶接入的確是一個非常有創(chuàng)意的方式，目前大家在觀察的是一個本來是企業(yè)級的技術(shù)方案，當(dāng)應(yīng)用在電信服務(wù)上是否會有一些無法預(yù)見的問題。到目前為止，已發(fā)現(xiàn)的問題大致跟PPPoE類似：



封包分割問題



　　PPTP是將IP封包封裝在GRE封包內(nèi)，L2TP是將IP封包封裝在UDP封包內(nèi)。跟PPPoE類似，當(dāng)碰上大小為1500Byte的封包時都需要分割，對路由器及客戶端的IP封包傳輸造成50%以上的額外壓力。



客戶端CPU負(fù)載問題



　　PPTP與L2TP跟PPPoE類似，都要占用客戶端的CPU以進(jìn)行封裝的動作。尤其是如果進(jìn)行加密傳輸(如IPSec)時，CPU壓力更大。對企業(yè)VPN來說，保密性高于性能考慮，但是對于寬帶運營商來說，是否能夠支持多媒體應(yīng)用是一個很重要的考慮因素。



客戶支持問題



　　雖然Windows 2000已經(jīng)內(nèi)建PPTP/L2TP客戶端軟件，但是對VPN撥號功能的設(shè)定對沒有IT支持的普通用戶來說仍然是一個比較復(fù)雜的問題，因此對用戶的支持最終往往還是落到運營商身上，對客服來說仍然有較大的壓力。



802.1x技術(shù)評估



　　不像有線網(wǎng)路通過固定線路連接組建，無線網(wǎng)路的網(wǎng)絡(luò)空間具有開放性和終端可移動性，因此很難通過固定線路來界定網(wǎng)絡(luò)。而802.1x協(xié)議起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1x協(xié)議的主要目的是通過認(rèn)證和加密來防止非法接入企業(yè)無線網(wǎng)絡(luò)。



　　類似PPTP/L2TP，目前大家在觀察的是802.1x本來是企業(yè)級的技術(shù)方案，當(dāng)應(yīng)用在電信服務(wù)上是否會有一些無法預(yù)見的問題。目前已發(fā)現(xiàn)的問題如下：



客戶端CPU負(fù)載問題


　　802.1x為了解決無線網(wǎng)絡(luò)在空中傳送的安全性問題，采用了高度的加密規(guī)范，需要占用客戶端大量的CPU效能以進(jìn)行加解密。針對這個問題，目前業(yè)界的看法是未來802.1x的加解密必需在網(wǎng)卡上通過硬件實現(xiàn)，802.1x才能支持寬帶應(yīng)用與服務(wù)。


標(biāo)準(zhǔn)規(guī)范問題



　　目前802.1x的規(guī)范有70%以上都尚未確認(rèn)，因此目前所有宣稱支持802.1x的廠家都是基于猜測來設(shè)計產(chǎn)品，運營商部署802.1x的風(fēng)險仍然很高。此外雖然許多交換機廠商都承諾未來可通過軟件升級來支持802.1x，但是大多數(shù)交換機的CPU 性能比客戶端的Pentium還差，因此業(yè)界的看法是未來支持802.1x的交換機必需具備硬件加解密，才具備寬帶運營的實用性。



網(wǎng)絡(luò)規(guī)劃問題



　　根據(jù)目前已確認(rèn)的規(guī)范，802.1x認(rèn)證技術(shù)的操作粒度為端口，合法用戶接入端口之后端口處于打開狀態(tài)，因此其它同一端口的用戶不需認(rèn)證即可接入網(wǎng)絡(luò)。因此在實施上，必需在樓宇層交換機支持802.1x協(xié)議。在實施上，這些低價、不具備硬件加解密功能的樓宇層交換機未來是否能夠升級支持802.1x，或者升級后能否提供足夠的網(wǎng)絡(luò)性能都是個問題。



客戶支持問題


　　跟PPPoE、PPTP/L2TP類似，802.1x必需安裝特定的客戶端軟件或是使用Windows XP，對沒有IT支持的普通用戶來說仍然是一個比較復(fù)雜的問題，因此運營商仍然存在相當(dāng)?shù)目蛻糁С謮毫Α?
WEB/VLAN技術(shù)評估



　　WEB/VLAN技術(shù)是從MAC/VLAN改良而來的接入控制技術(shù)。當(dāng)用戶尚未完成認(rèn)證時，用戶的VLAN只能到達(dá)交換機內(nèi)置或外接的WEB認(rèn)證模塊。當(dāng)用戶通過認(rèn)證后，WEB認(rèn)證模塊再命令交換機將用戶的 VLAN ID打開。WEB/VLAN技術(shù)提供了基于用戶身份的認(rèn)證，在客戶端也不需要配置特別的客戶端軟件。但是WEB/VLAN仍然存在著下述的問題：



實施條件問題



　　WEB/VLAN的授權(quán)是通過VLAN的開關(guān)實施，因此實施的基本條件是每個用戶都必需要有一個單獨的VLAN，而且要終結(jié)在WEB/VLAN交換機上。當(dāng)已部署的樓宇層交換機不支持VLAN Trunk功能時，就無法實施基于WEB/VLAN的用戶認(rèn)證。



網(wǎng)絡(luò)規(guī)劃問題



　　WEB/VLAN跟PPPoE類似，要求在客戶端與WEB/VLAN服務(wù)器存在一個二層網(wǎng)絡(luò)，二層網(wǎng)絡(luò)越大管理越困難，問題也越多。如果每個小區(qū)甚至樓宇就使用一個WEB/VLAN交換機，卻又存在部署成本與管理問題。



開機爆量問題



　　這個問題出現(xiàn)在較早期的WEB/VLAN交換機上，主要是因為早期的WEB/VLAN交換機采用外置的WEB認(rèn)證模塊，當(dāng)用戶完成認(rèn)證后，WEB認(rèn)證模塊必需通過Telnet Script或SNMP Set命令將用戶的VLAN打開。由于開機瞬間會有大量用戶同時進(jìn)行認(rèn)證，造成交換機無法承受大量的命令而產(chǎn)生死機現(xiàn)象。



WEB/IP技術(shù)評估



　　WEB/IP跟WEB/VLAN技術(shù)非常類似，當(dāng)用戶尚未完成認(rèn)證時，用戶的IP只能到達(dá)路由器內(nèi)置的WEB認(rèn)證模塊。當(dāng)用戶通過認(rèn)證后，WEB認(rèn)證模塊再將用戶的IP地址加入WEB/IP路由器的授權(quán)表。跟其它技術(shù)相比，WEB/IP技術(shù)具備了以下的特點：



工程實施



　　WEB/IP技術(shù)的授權(quán)粒度為IP，跟以太駐地網(wǎng)的DHCP架構(gòu)可以進(jìn)行無縫連接，因此實施迅速。另外由于采用三層結(jié)構(gòu)，可以將WEB/IP路由器部署在POP點以匯聚多個小區(qū)的認(rèn)證需求，對初期開通率低的城域網(wǎng)可以有效節(jié)省建置成本。



客戶支持



　　WEB/IP不需要特定的客戶端軟件，客服的工作量大大減少。



網(wǎng)絡(luò)性能



　　WEB/IP沒有PPPoE/PPTP/L2TP的封包封裝問題，對客戶端CPU沒有負(fù)擔(dān)，可以有效支持VOD等寬帶應(yīng)用。



封包分割



　　WEB/IP沒有PPPoE/PPTP/L2TP的封包封裝問題，自然也沒有因為MTU改變產(chǎn)生的封包分割問題，不會增加路由器或客戶端的負(fù)擔(dān)。



　　在WEB/IP技術(shù)發(fā)展的初期，存在一些如對用戶上網(wǎng)時間計算不精確、對用戶私接無法控制等情況，目前這些問題在一些公司設(shè)計的接入控制器上都得到了很好的解決。


摘自《賽迪網(wǎng)》