三網(wǎng)融合業(yè)務(wù)接入控制方式的研究及實(shí)現

在Radius中將用戶(hù)的MAC地址和線(xiàn)路號綁定。在Radius數據庫中查詢(xún)到MAC地址和線(xiàn)路號，DHCP的請求方可經(jīng)Radius服務(wù)器認證通過(guò)后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過(guò)發(fā)送大量的DHCP請求，模擬不同MAC地址的請求，攻擊DHCP Server的風(fēng)險。

在用戶(hù)通過(guò)認證獲得IP地址之前，設定DHCP數據包能夠通過(guò)的數量限制，降低Radius Server的壓力。如對來(lái)自同一個(gè)DSLAM線(xiàn)路號的Radius請求數量作控制，比如1s內，最多允許1個(gè)請求，如連續出現多個(gè)請求，則認為發(fā)生攻擊，直接丟棄Radius數據包。依靠這種機制解決大量的DHCP請求發(fā)送到Radius服務(wù)器的風(fēng)險。

·其它安全措施

禁止用戶(hù)端口間直接轉發(fā)的端口隔離;通過(guò)VLAN隔離方式進(jìn)行業(yè)務(wù)隔離。

2.3 PPPoE和IPoE對比分析

引入IPoE系統之后，IPoE可以完成原有PPPoE系統的所有功能，同時(shí)還能提供如下優(yōu)勢：

(1)終端支持

所有支持IP協(xié)議的設備都支持，不需要安裝第三方撥號軟件，可以廣泛支持各種手持設備、移動(dòng)設備、視頻設備等。

(2)報文開(kāi)銷(xiāo)

由于PPPoE報文引入了PPPoE頭(6Bytes)和PPP頭(2Bytes)，所以在所有用戶(hù)流量里面增加了8個(gè)字節的協(xié)議開(kāi)銷(xiāo)，對于高帶寬的應用(8M的高清電視等)，處理能力不高的終端設備壓力很大。

(3)組播復制

由于PPPoE報文是在BRAS設備和用戶(hù)之間建立點(diǎn)對點(diǎn)連接，中間的交換機層次不能很好地理解PPPoE報文格式，只能進(jìn)行轉發(fā)，無(wú)法進(jìn)行針對VLAN等信息的有效組播復制。所以采用PPPoE迸行組播業(yè)務(wù)的開(kāi)展，組播復制點(diǎn)只能是BRAS設備，而采用IPoE，可以把組播復制點(diǎn)下移到DSLAM，一方面減少了BRAS設備的壓力，另一方面也極大地節約了網(wǎng)絡(luò )接入層帶寬。

(4)用戶(hù)冗余

IPoE方式可以對接入的用戶(hù)數量進(jìn)行控制，如采用Portal方式，其增值業(yè)務(wù)能力較強。

根據上述討論，在終端支持、封裝開(kāi)銷(xiāo)和組播支持認證效率等方面，IPoE認證具有較明顯的優(yōu)勢。缺點(diǎn)是對用戶(hù)的控制力度不足，在用戶(hù)認證/策略控制/地址分配/會(huì )話(huà)監控等方面有待完善。

3 業(yè)務(wù)按入控制技術(shù)實(shí)現

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業(yè)務(wù)承載方面具有的明顯優(yōu)勢，可能成為未來(lái)的主要認證方式。而PPPoE作為目前寬帶業(yè)務(wù)的主要認證方式也將長(cháng)期存在。根據不同的業(yè)務(wù)類(lèi)型，靈活選擇IPoE和PPPoE認證方式，可用同一套Ra山us系統支持兩種認證方式。通過(guò)部署多邊緣接入架構，實(shí)現對每用戶(hù)/每業(yè)務(wù)的精細化控制和QOS保證，是業(yè)務(wù)融合的方向。

(1)單邊緣接入控制

如圖1所示，單邊緣業(yè)務(wù)接入模式是指用戶(hù)的寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)共用相同的接入控制點(diǎn)BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP/專(zhuān)線(xiàn)的方式接入BRAS。當使用PPPoE方式時(shí)，可以利用不同的域名或不同的VP/LVACN來(lái)區分接入是來(lái)自機頂盒，還是來(lái)自PC;當采用DHCP方式時(shí)，可以利用機頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對機頂盒分配地址。寬帶網(wǎng)承載的NGN語(yǔ)音業(yè)務(wù)，可以采用BRAS兼作PE構建MPLSVPN。

圖1 單邊緣接入方式

(2)多邊緣接入控制

如圖2所示，多(雙)邊緣接入模式是指寬帶上網(wǎng)業(yè)務(wù)和IPTV業(yè)務(wù)分別由專(zhuān)用的業(yè)務(wù)接入控制點(diǎn)提供。寬帶上網(wǎng)業(yè)務(wù)仍由原有的BRAS作為業(yè)務(wù)控制點(diǎn);IPTV業(yè)務(wù)則使用SR作為控制點(diǎn)，STB采用DHCP/專(zhuān)線(xiàn)接入方式;NGN語(yǔ)音業(yè)務(wù)使用另外的SR作為控制點(diǎn)，或者與IPTV業(yè)務(wù)共用SR。不同的業(yè)務(wù)一般由匯聚交換機根據VLANID分離后，進(jìn)入相應的業(yè)務(wù)控制設備。

圖2 多邊緣接入方式

(3)業(yè)務(wù)接入控制方案

如采用單邊緣接入，隨著(zhù)IPTV用戶(hù)數量的增加將會(huì )加重BRAS負荷，造成端口的帶寬緊張。BRAS如再兼作PE，設備可能將不堪重負。在理論上，上網(wǎng)業(yè)務(wù)，IPTV業(yè)務(wù)，NGN語(yǔ)音業(yè)務(wù)可以共用BRAS接入，但實(shí)際應用時(shí)需考慮設備的承載能力，考慮設備的設計定位。

如采用多(雙)邊緣接入控制方式，需從終端起，在二層接入網(wǎng)絡(luò )中為每個(gè)用戶(hù)的每種業(yè)務(wù)部署不同的二層虛通道PV(/LVAC)，將增加二層網(wǎng)絡(luò )的復雜性。為減輕復雜性，可采用單通道接入，再利用匯聚交換機具備的業(yè)務(wù)感知能力分離不同的業(yè)務(wù)。這種方式使不同的業(yè)務(wù)接入控制點(diǎn)之問(wèn)，難以進(jìn)行不同業(yè)務(wù)間的流量控制和協(xié)調。

在建網(wǎng)初期，可以將BRAS作為IPTV業(yè)務(wù)的接入網(wǎng)關(guān)，但隨著(zhù)用戶(hù)數的增長(cháng)，BRAS承載壓力加大。所以可以單設SR作為IPTV業(yè)務(wù)業(yè)務(wù)接入控制點(diǎn)(見(jiàn)表1)。

表1　接入控制方式的選擇

如果城域網(wǎng)的POP點(diǎn)用戶(hù)規模偏大，建議采用雙邊緣/多邊緣方式，部分業(yè)務(wù)量偏少，業(yè)務(wù)發(fā)展潛力不大的縣級POP點(diǎn)采用單邊緣方式。在同一城域網(wǎng)內盡可能地使用一種方案。如IPTV業(yè)務(wù)由BRAS作為業(yè)務(wù)控制點(diǎn)，則通常采用PPPoE的方式提供，Radius認證。如果由SR作為業(yè)務(wù)控制點(diǎn)，通常采用IPoE方式提供，DHCP認證。

3.2寬帶網(wǎng)絡(luò )業(yè)務(wù)網(wǎng)關(guān)

從前面的技術(shù)分析看出，IPoE和PPPoE將在一段時(shí)期內并存，滿(mǎn)足不同業(yè)務(wù)需求。無(wú)論采用何種認證機制，都需要部署業(yè)務(wù)接入控制網(wǎng)關(guān)來(lái)對用戶(hù)的接入。認證、會(huì )話(huà)及QOS等策略進(jìn)行管理。網(wǎng)絡(luò )邊緣業(yè)務(wù)控制設備從僅支持PPPoE的設備(如BRAS)向TR101架構定義的寬帶網(wǎng)絡(luò )業(yè)務(wù)網(wǎng)關(guān)(BNG同時(shí)支持PPPoE和IPoE)演進(jìn)。傳統的BRAS是為支持PPPoE協(xié)議而設計的設備，通過(guò)增加IPoE功能演變?yōu)锽NG設備。傳統的業(yè)務(wù)路由器支持高帶寬的IPoE用戶(hù)控制，通過(guò)增加PPPoE功能而演進(jìn)為BNG設備。