IPoE

IPoE

DHCP( RFC-1541)本身是一種動態主機配置協定,最初主要針對於LAN套用。DHCP協定本身並沒有用來認證的功能,但是DHCP可以配合其他技術實現認證,所有這些擴展方式都統稱為DHCP+認證。DHCP+OPTION擴展欄位進行認證,又可稱為IPoE認證方式。IPoE認證基於上網用戶的物理位置(通過唯一的VLAN ID/PVC ID標示)對用戶進行認證和計費,用戶上網時無需輸入用戶名和密碼。IPoE系統包括基本的DHCP功能,同時擴展了網路控制設備,網路中各個層面設備的能力。IPoE不是簡單的終端設備上支持DHCP就可以了,需要涉及到用戶端,網路業務系統等。

認證簡介

OPTION欄位有OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發起DHCP請求時攜帶的信息,網路設備只需要透傳即可。其在套用中的作用是用來識別用戶終端類型,從而識別用戶業務類型,DHCP伺服器可以依賴於此分配不同的業務IP位址。而OPTION82信息是由網路設備插入在終端發出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。

組成部分

(1)IPoE 客戶端部分

包括各種用戶終端設備,產生DHCP訊息,中間設備插入各種DHCP option進行用戶綁定,業務綁定等。

(2)IPoE 寬頻網路網關控制設備(如BRAS或SR)

寬頻網路網關控制設備(Broadband network gateway)進行DHCP訊息到Radius認證訊息的翻譯。與Radius進行認證,授權,計費功能。認證通過後,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。

(3)IPoE業務控制系統

包括Radius/DHCP/Diameter/Webportal等業務系統,能夠動態調整每用戶的頻寬和QoS屬性,針對預付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續盈利,提供差異化的用戶服務。

基於TR101定義的網路架構及WT146定義的IPoE Session 流程,網路邊緣通過設定寬頻業務網關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,並實施各種用戶策略(如QoS)。

安全策略

由於IPoE認證本身不像PPPoE認證一樣在網路層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網路技術的發展,家庭網關,網路接入設備(如DSLAM), 寬頻網路網關必須協同工作,增強網路安全性。安全保證策略包括如下方面:

(a) 反地址欺騙

用戶是通過DHCP/靜態配置IP與MAC地址方式接入。業務控制網關自動生成一條IP和MAC地址綁定的Ingress方向的記錄. 如果其它用戶做防冒, IP位址相同,但是MAC地址不同,所有的數據包都會被丟棄。

(b)用戶終端數限制

控制每個業務接入點所連線用戶終端的數量。

(c)防DoS攻擊

對於用戶通過傳送大量的DHCP請求,模擬不同MAC 地址的Host請求IP位址,攻擊DHCP Server的情況:

解決方式是DHCP 請求需要得到Radius 伺服器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP位址和線路號在Radius資料庫中才能獲得許可申請用戶的IP位址。

對於由寬頻網路網關傳送大量的DHCP請求傳送到Radius伺服器的情況:

解決方式是在用戶認證通過認證獲得IP位址之前,基於每個用戶設定速率限制功能,設定每秒鐘只有1-2個DHCP數據包能夠通過,降低對Radius Server的壓力。對於Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數量作控制,比方說在1秒內,最多只允許1個Radius請求,如果1分鐘內連續出現多個Radius請求,則認證發生攻擊,直接丟棄Radius數據包。

(d)業務隔離

下行通過VLAN隔離;上行方向除上網業務分配公網地址直接接入外,其它業務(包括網路管理)一律按業務類別分裝在不同VPN內進行傳送。

(e)非法組播源抑制

一般從DSLAM上行的連線埠都會將傳送到組播組的數據過濾掉。在業務控制網關上與DSLAM 下行連線的連線埠上不會開啟PIM協定,組播源不會從業務連線埠接入上來。

(f)連線埠隔離

設定用戶水平分割組,禁止用戶接入連線埠間直接轉發。

相關詞條

相關搜尋

熱門詞條

聯絡我們