网络生活

用网络记录生活!

« juniper ERX 日常维护E1400配置 »

几种宽带认证技术

前言
  随着基于IP技术的网络建设的日渐普及,以及用户业务类型的不断丰富,运营商需要增强对用户业务数据进行更加精细和灵活的控制能力。目前IP
DSLAM已作为DSL的主要接入设备,其上游的BAS无法或者难以从以太网数据包中获取用户端口信息,从而不能对用户端口进行统一的认证管理,不能有效地防范用户账号被盗用。
  中兴通讯新一代综合业务接入平台(FSAP)提供了多样化的技术解决方案,在不同场景下均良好地解决用户端口定位这一目前宽带接入的棘手问题。
  关键词】 VBAS VMAC PPPoE DHCP
  1 FSAP解决技术方案介绍
  1.1 VBAS
  VBAS(即Virtual BAS 虚拟宽带接入服务器),通过本协议机制,将IP DSLAM和BRAS进行
耦合,看成是一个设备。目前在CCSA(中国通信标准化协会)上正在制定行业标准。实现原理如下:
  在BAS上配置VLAN所对应的DSLAM(实际配置为DSLAM的MAC地址,采用二层单播发送,避免广播洪泛);在PPPoE呼叫过程中,
发起VBAS协议,即根据用户带上的VLAN,映射到对应的DSLAM,BAS主动向该DSLAM发起用户线路标识查询,由DSLAM给BAS响应用户线路标识。其实现有一定要求BAS上必须实现一个VLAN和一个DSLAM的一一对应关系。
图1 VBAS协议交互图
  主要特点分析:
  1. 在IP DSLAM和BAS设备的控制平面实现;
  2. 对PPPOE呼叫流程进行扩展修改;
  3.
在用户与BAS呼叫中插入BAS与IP DSLAM的交互消息,获取用户的端口信息;
  4.
采用DSLAM的MAC地址配置策略,实现单播发送;
  5. 协议有一定的可扩展性;
  6.
组网和应用受限制,必须统一规划VLAN,并且一个用户VLAN对应一个DSLAM;
  7. 配置繁琐,每一个用户一个VLAN情况下,配置工作量大。
  1.2 Stacked VLAN
  Stacked VLAN也称QinQ 或Double VLAN。标准出自IEEE 802.1ad,目前该标准仍处于草案阶段。其实现为在
802.1q协议标签前再次封装802.1q协议 标签,其中一层标识用户系统网络(customer network),一层标识网络运营网络(service
provider network),将其扩展实现用户线路标识。目前部分交换机可以支持Stacked VLAN功能。Stacked VLAN
允许运营商为每个用户分配最大到4K的第二个VLAN
ID。运营商VLAN标记在IPDSLAM网络侧插入,在用户侧删除。BAS通过识别用户的第二个VLAN确定用户线路标识。Stacked
VLAN也较好地解决了VLAN(最大4k) 数量不足问题。
  主要特点分析:
  1. 没有协议交互过程,不需要任何配置;
  2. 与业务不关联,对DSLAM无影响;
  3. 扩展了4k
VLAN;
  4. 二层VLAN统一规划,同时要求运营商二层网络必须支持二层VLAN tag,对设备要求比较高。
  5.
报文有效载荷降低,同时造成可能分片、重组;
  6. 协议扩展性不强,不支持用户其他控制属性。
  1.3 DHCP Option 82
  DHCP Option 82 是DHCP agent 的一个具体应用。DHCP agent 已经由RFC 3046定义实现,本方案即利用option
82字段填充用户端口信息。为解决两类接入用户线路标识问题而进行了扩展,其中,其实现原理:
  在DHCP应用场景,IPDSLAM在每一个DHCP discover和DHCP
request包新的TAG(82)中插入DSL线路ID(即用户接入线路标识)。传给DHCP或RADIUS 服务器进行认证、鉴权、计费等处理;
  根据RFC 3046要求,IP DSLAM需实现DHCP agent功能,将用户线路标识等填充到sub option中,BAS实现DHCP
server功能,获取DSL线路ID信息。

图 DHCP Option
82协议交互图
  主要特点分析:
  1. 原有协议扩充,无额外的协议交换过程,方便理解和实现;
  2. 实现效率高,对用户业务没有影响;
  3.
不需要配置;
  4. DSLAM需要解析修改DHCP报文;
  5. 对用户其他管理和控制属性扩展性较差。
  1.4 PPPoE+
  PPPoE+是PPPoE Intermediate agent的简称。该方案最早是在DSL FORM论坛上提出,仿照RFC
3046的用户线路标识属性字段来定义。其实现原理与上DHCP Option82 方案非常相似。
其协议交互过程如下:

图2 PPPoE
Intermediate agent协议交换过程
  其中:一般要求DSLAM实现PPPoE Intermediate
agent,实现对PPPoE协议报文的修改,BAS实现LAC功能,获取DSL线路ID信息。
  主要特点分析:
  1. 原有协议扩充,无额外的协议交换过程,方便理解和实现;
  2. 实现效率高,对用户业务没有影响;
  3.
不需要配置;
  4. DSLAM需要解析修改PPPoE发现阶段报文;
  5. 对用户其他管理和控制属性扩展性较差。
  1.5 VMAC
  VMAC是中兴通讯在业界提出的一种技术解决方案。
  其主要原理:利用以太网数据包中的MAC地址,将它转换虚拟MAC,通过特定的规则,利用虚拟MAC地址在DSLAM和上联设备之间交换用户信息。虚拟MAC地址仅仅存在于DSLAM和上联用户管理设备之间,对全局MAC地址和原有控制面二层协议和组播协议的使用没有影响。

  整个MAC地址由48个位组成;
  bit0用来表示地址的单播或者组播属性,取值为1时,表示该地址为组播地址;取值为0时,表示该地址为单播地址;
  bit1用了表示地址属性,属于通用地址还是局部使用地址;取值为1时,表示该地址是局部地址,取值为0,表示该地址为全球通用地址;目前网卡设备制造商发布的MAC地址是IEEE分配的全球通用地址,在Internet网络中,一般不会出现局部地址;
  bit2至bit23为设备所属制造公司的识别号,由IEEE统一分配;
  bit24至bit47为各设备制造商内部号码
  vMAC协议对用户上行MAC帧中的源地址进行转换和映射,使其变为带有端口信息的虚拟地址供BAS和RADIUS认证使用。反之,在下行的MAC帧中,协议将虚拟的目的MAC地址转换回用户原有的MAC地址。
映射规则如下:
  Bit0——单播/组播标识域:不作任何更改,保持原值不变;?Bit1——通用/局部标识域:使用局部标识,更改该位可以避免和所有IEEE分配的通用MAC地址冲突;?Bit2~Bit31——用于对DSLAM
Vendor ID、NODE
ID以及设备端口号进行编址,此编址空间较大,实现中可以考虑预留一些比特位位保留位,供将来其他应用使用(如携带用户端口同步速率等级等等);    Bit32~Bit37——冲突编址空间;共6bit,可容纳64个冲突。无冲突时使用全0值;
  Bit38~Bit47——用户MAC空间,共10bit,任何情况下,保持用户最后10位bit值不变,当出现冲突时,即当从同一个端口上来的不同MAC地址原值最后10bit值相同的话,则使用冲突域顺序编址。
  主要特点分析:
  1. 没有协议交互过程,不需要任何配置;
  2.
对报文有效载荷没有影响,快速获取用户线路标识,简单;
  3. 用户业务层面实现,协议相关性较大;
  4.
MAC地址修改涉及到设备硬件修改;
  5. 本协议可以用于防止MAC地址仿冒问题。
  1.6 技术方案对比表

 

  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

日历

最新评论及回复

最近发表

Powered By Z-Blog 1.8 Arwen Build 90619 Code detection by Codefense  theme by BokeZhuti

Copyright;2009-2009 blog.hit.edu.cn All Rights Reserved 哈工大网络与信息中心