三網(wǎng)融合業(yè)務(wù)接入控制方式的研究及實(shí)現(xiàn)

在Radius中將用戶的MAC地址和線路號(hào)綁定。在Radius數(shù)據(jù)庫(kù)中查詢到MAC地址和線路號(hào)，DHCP的請(qǐng)求方可經(jīng)Radius服務(wù)器認(rèn)證通過(guò)后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過(guò)發(fā)送大量的DHCP請(qǐng)求，模擬不同MAC地址的請(qǐng)求，攻擊DHCP Server的風(fēng)險(xiǎn)。

在用戶通過(guò)認(rèn)證獲得IP地址之前，設(shè)定DHCP數(shù)據(jù)包能夠通過(guò)的數(shù)量限制，降低Radius Server的壓力。如對(duì)來(lái)自同一個(gè)DSLAM線路號(hào)的Radius請(qǐng)求數(shù)量作控制，比如1s內(nèi)，最多允許1個(gè)請(qǐng)求，如連續(xù)出現(xiàn)多個(gè)請(qǐng)求，則認(rèn)為發(fā)生攻擊，直接丟棄Radius數(shù)據(jù)包。依靠這種機(jī)制解決大量的DHCP請(qǐng)求發(fā)送到Radius服務(wù)器的風(fēng)險(xiǎn)。

·其它安全措施

禁止用戶端口間直接轉(zhuǎn)發(fā)的端口隔離;通過(guò)VLAN隔離方式進(jìn)行業(yè)務(wù)隔離。

2.3 PPPoE和IPoE對(duì)比分析

引入IPoE系統(tǒng)之后，IPoE可以完成原有PPPoE系統(tǒng)的所有功能，同時(shí)還能提供如下優(yōu)勢(shì)：

(1)終端支持

所有支持IP協(xié)議的設(shè)備都支持，不需要安裝第三方撥號(hào)軟件，可以廣泛支持各種手持設(shè)備、移動(dòng)設(shè)備、視頻設(shè)備等。

(2)報(bào)文開(kāi)銷

由于PPPoE報(bào)文引入了PPPoE頭(6Bytes)和PPP頭(2Bytes)，所以在所有用戶流量里面增加了8個(gè)字節(jié)的協(xié)議開(kāi)銷，對(duì)于高帶寬的應(yīng)用(8M的高清電視等)，處理能力不高的終端設(shè)備壓力很大。

(3)組播復(fù)制

由于PPPoE報(bào)文是在BRAS設(shè)備和用戶之間建立點(diǎn)對(duì)點(diǎn)連接，中間的交換機(jī)層次不能很好地理解PPPoE報(bào)文格式，只能進(jìn)行轉(zhuǎn)發(fā)，無(wú)法進(jìn)行針對(duì)VLAN等信息的有效組播復(fù)制。所以采用PPPoE迸行組播業(yè)務(wù)的開(kāi)展，組播復(fù)制點(diǎn)只能是BRAS設(shè)備，而采用IPoE，可以把組播復(fù)制點(diǎn)下移到DSLAM，一方面減少了BRAS設(shè)備的壓力，另一方面也極大地節(jié)約了網(wǎng)絡(luò)接入層帶寬。

(4)用戶冗余

IPoE方式可以對(duì)接入的用戶數(shù)量進(jìn)行控制，如采用Portal方式，其增值業(yè)務(wù)能力較強(qiáng)。

根據(jù)上述討論，在終端支持、封裝開(kāi)銷和組播支持認(rèn)證效率等方面，IPoE認(rèn)證具有較明顯的優(yōu)勢(shì)。缺點(diǎn)是對(duì)用戶的控制力度不足，在用戶認(rèn)證/策略控制/地址分配/會(huì)話監(jiān)控等方面有待完善。

3 業(yè)務(wù)按入控制技術(shù)實(shí)現(xiàn)

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業(yè)務(wù)承載方面具有的明顯優(yōu)勢(shì)，可能成為未來(lái)的主要認(rèn)證方式。而PPPoE作為目前寬帶業(yè)務(wù)的主要認(rèn)證方式也將長(zhǎng)期存在。根據(jù)不同的業(yè)務(wù)類型，靈活選擇IPoE和PPPoE認(rèn)證方式，可用同一套R(shí)a山us系統(tǒng)支持兩種認(rèn)證方式。通過(guò)部署多邊緣接入架構(gòu)，實(shí)現(xiàn)對(duì)每用戶/每業(yè)務(wù)的精細(xì)化控制和QOS保證，是業(yè)務(wù)融合的方向。

(1)單邊緣接入控制

如圖1所示，單邊緣業(yè)務(wù)接入模式是指用戶的寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)共用相同的接入控制點(diǎn)BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP/專線的方式接入BRAS。當(dāng)使用PPPoE方式時(shí)，可以利用不同的域名或不同的VP/LVACN來(lái)區(qū)分接入是來(lái)自機(jī)頂盒，還是來(lái)自PC;當(dāng)采用DHCP方式時(shí)，可以利用機(jī)頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對(duì)機(jī)頂盒分配地址。寬帶網(wǎng)承載的NGN語(yǔ)音業(yè)務(wù)，可以采用BRAS兼作PE構(gòu)建MPLSVPN。

圖1 單邊緣接入方式

(2)多邊緣接入控制

如圖2所示，多(雙)邊緣接入模式是指寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)分別由專用的業(yè)務(wù)接入控制點(diǎn)提供。寬帶上網(wǎng)業(yè)務(wù)仍由原有的BRAS作為業(yè)務(wù)控制點(diǎn);IPTV業(yè)務(wù)則使用SR作為控制點(diǎn)，STB采用DHCP/專線接入方式;NGN語(yǔ)音業(yè)務(wù)使用另外的SR作為控制點(diǎn)，或者與IPTV業(yè)務(wù)共用SR。不同的業(yè)務(wù)一般由匯聚交換機(jī)根據(jù)VLANID分離后，進(jìn)入相應(yīng)的業(yè)務(wù)控制設(shè)備。

圖2 多邊緣接入方式

(3)業(yè)務(wù)接入控制方案

如采用單邊緣接入，隨著IPTV用戶數(shù)量的增加將會(huì)加重BRAS負(fù)荷，造成端口的帶寬緊張。BRAS如再兼作PE，設(shè)備可能將不堪重負(fù)。在理論上，上網(wǎng)業(yè)務(wù)，IPTV業(yè)務(wù)，NGN語(yǔ)音業(yè)務(wù)可以共用BRAS接入，但實(shí)際應(yīng)用時(shí)需考慮設(shè)備的承載能力，考慮設(shè)備的設(shè)計(jì)定位。

如采用多(雙)邊緣接入控制方式，需從終端起，在二層接入網(wǎng)絡(luò)中為每個(gè)用戶的每種業(yè)務(wù)部署不同的二層虛通道PV(/LVAC)，將增加二層網(wǎng)絡(luò)的復(fù)雜性。為減輕復(fù)雜性，可采用單通道接入，再利用匯聚交換機(jī)具備的業(yè)務(wù)感知能力分離不同的業(yè)務(wù)。這種方式使不同的業(yè)務(wù)接入控制點(diǎn)之問(wèn)，難以進(jìn)行不同業(yè)務(wù)間的流量控制和協(xié)調(diào)。

在建網(wǎng)初期，可以將BRAS作為IPTV業(yè)務(wù)的接入網(wǎng)關(guān)，但隨著用戶數(shù)的增長(zhǎng)，BRAS承載壓力加大。所以可以單設(shè)SR作為IPTV業(yè)務(wù)業(yè)務(wù)接入控制點(diǎn)(見(jiàn)表1)。

表1　接入控制方式的選擇

如果城域網(wǎng)的POP點(diǎn)用戶規(guī)模偏大，建議采用雙邊緣/多邊緣方式，部分業(yè)務(wù)量偏少，業(yè)務(wù)發(fā)展?jié)摿Σ淮蟮目h級(jí)POP點(diǎn)采用單邊緣方式。在同一城域網(wǎng)內(nèi)盡可能地使用一種方案。如IPTV業(yè)務(wù)由BRAS作為業(yè)務(wù)控制點(diǎn)，則通常采用PPPoE的方式提供，Radius認(rèn)證。如果由SR作為業(yè)務(wù)控制點(diǎn)，通常采用IPoE方式提供，DHCP認(rèn)證。

3.2寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)

從前面的技術(shù)分析看出，IPoE和PPPoE將在一段時(shí)期內(nèi)并存，滿足不同業(yè)務(wù)需求。無(wú)論采用何種認(rèn)證機(jī)制，都需要部署業(yè)務(wù)接入控制網(wǎng)關(guān)來(lái)對(duì)用戶的接入。認(rèn)證、會(huì)話及QOS等策略進(jìn)行管理。網(wǎng)絡(luò)邊緣業(yè)務(wù)控制設(shè)備從僅支持PPPoE的設(shè)備(如BRAS)向TR101架構(gòu)定義的寬帶網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)關(guān)(BNG同時(shí)支持PPPoE和IPoE)演進(jìn)。傳統(tǒng)的BRAS是為支持PPPoE協(xié)議而設(shè)計(jì)的設(shè)備，通過(guò)增加IPoE功能演變?yōu)锽NG設(shè)備。傳統(tǒng)的業(yè)務(wù)路由器支持高帶寬的IPoE用戶控制，通過(guò)增加PPPoE功能而演進(jìn)為BNG設(shè)備。