2.1.4PPPOE+
出于精细化管理的需要,运营商要能对用户进行精确定位,实现可溯源性,便于业务和用户管理。为了实现这个目的,针对PPPOE认证方式的技术手段主要有QINQ、VBAS和PPPOE+等,从目前应用来看,针对上网业务采用QINQ进行用户定位是主流趋势,由于QINQ技术和PPPoE无直接关系,本文中不做重点描述。这里简单介绍一下PPPOE+认证。
PPPoE+方案的原始思路是,DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后,在报文里增加表示用户物理端口号和PVC的PPPoE+ tag。上游BRAS识别出PPPoE+ Tag以后,会把用户的物理位置信息提取出来,用Radius NAS-Port-ID属性发给Radius Server,用来做用户识别和用户管理。
PPPoE+的具体流程如下:
1)用户终端发起PPPOE请求,发送PPPOE PADI报文
2)DSLAM捕捉到PADI报文,送给PPPoE Intermediate Agent处理
3)PPPoE Intermediate Agent按照用户的物理位置,把用户的物理位置信息当作VSA(Vendor Specified Attribute)写入PADI报文里。这个VSA,就是PPPoE+ Tag。
4)BRAS收到PADI+VSA以后,给用户回应PADO报文。
5)终端按照正常流程,发送PADR报文,请求MA5200G接入。
6)DSLAM捕捉PADR报文,把PPPoE+ Tag插入到PADR报文里。
7)BRAS接受到PADR+VSA以后,为这个STB分配一个PPP Session ID,把这个PPPoE+ Tag和PPP Session ID绑定起来。
8)BRAS这时可以正常处理PPP流程。PPP流程完成以后,BRAS通过Radius NAS-Port-ID把PPPoE+ Tag发送给IPTV业务系统和Radius Server。
2.2DHCP+认证
DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数,对用户端的IP层进行配置。
DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP+web方式、DHCP+客户端方式和利用DHCP扩展字段进行认证。所有这些方式都统称为DHCP+认证(DHCP+认证本身没有标准),其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码,更适合IPTV这类业务的应用,下文中提到的DHCP+认证特指这种通过OPTION字段来实现认证的机制,也是下面重点介绍的内容。
用来作为认证用的OPTION字段主要为OPTION60和OPTION82。其中OPTION60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号;
在具体认证过程中,DHCP+认证又可分为两种机制:
n由支持OPTION60和OPTION82的DHCP服务器认证
DHCP服务器上包含有所有合法接入用户的OPTION82信息,当收到一个DHCP请求报文后,直接利用OPTION82信息和数据库中的合法信息进行比对,若一致,则认为用户合法,再根据OPTION60字段分配IP地址。若不一致,则认为用户非法,不分配IP地址。可以看出,DHCP+认证主要是根据用户的物理位置来进行认证的。
n由业务网关设备配合RADIUS服务器和DHCP服务器一起认证
当业务网关(如BRAS)收到DHCP请求报文后,把OPTION信息封装到RADIUS的一个扩展字段中送到RADIUS服务器进行认证,若通过则再利用DHCP服务器分配IP地址,否则不给用户分配IP地址。
DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入,在实际应用中,为了能明确具体用户,通常在接入交换机上利用DHCP SNOOPING实现OPTION82信息的插入。
DHCP服务器还可以根据OPTION82信息制定地址分配策略,如对OPTION82信息相同的DHCP请求只分配一个IP地址,这样可以有效的防范对DHCP请求DoS攻击,防止DHCP服务器地址池枯竭。
2.3PPPoE和DHCP认证的比较
下表是PPPOE和DHCP的对比表:
由表中可以看出,PPPOE认证和DHCP+认证各有优劣势。对于上网这样需要能对用户进行计时计费的业务,显然PPPOE认证更为合适。而对于IPTV这样主要通过包月方式来运营,而且还需要通过组播方式进行开展的业务,DHCP+认证更适合。
(责任编辑:高爽)
