IPoE技术实现IP城域网宽带接入.docx

《IPoE技术实现IP城域网宽带接入.docx》由会员分享，可在线阅读，更多相关《IPoE技术实现IP城域网宽带接入.docx（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、IPoE技术实现IP城域网宽带接入摘 要：本文从介绍DHCP身份认证方式开始，详细论述的IPoE接入方式在IP城域网中的应用，比较的 传统的PPPoE接入方式和IPoE接入方式各自所具有的特点。并给出了Alcatel-Lucent的IPoE接入方案的设计，最后，也论述了IPoE宽带接入系统所面临的安全威胁，并提出相应的应对策略。关键词：DHCP IPoE PPPoE 宽带接入目 录1基于DHCP协议的身份认证- 3 -2IPoE协议介绍- 5 -2.1IPoE定义- 5 -2.2IPoE定位- 6 -3Alcatel-Lucent IPoE宽带接入系统实现- 7 -3.1系统组成- 7 -3.

2、2IPoE典型业务流程- 9 -3.3DSLAM改造识别用户- 9 -3.4RADIUS Server的改造- 11 -3.5采用DHCP Server实现身份认证- 11 -3.6部署建议- 12 -4IPOE需要解决的问题- 13 -4.1DHCP溢出攻击和应对策略- 13 -4.2ARP溢出攻击和应对策略- 14 -4.3Session终结管理- 14 -5参考文档- 15 -1 基于DHCP协议的身份认证DHCP本身是一种动态主机配置协议，最初主要针对于LAN应用。通过终端上的DHCP客户端，利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数，对用户端的I

3、P层进行配置。DHCP协议本身并没有用来认证的功能，但是DHCP可以配合其他技术实现认证，比如DHCP web方式、DHCP 客户端方式和利用DHCP扩展字段进行认证。所有这些方式都统称为DHCP 认证（DHCP 认证本身没有标准），其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序，不需要输入用户名和密码，更适合IPTV这类业务的应用，下文中提到的DHCP 认证特指这种通过OPTION字段来实现认证的机制，也是下面重点介绍的内容。用来作为认证用的OPTION字段主要为Option60和Option82。其中Option60中带有Vendor和Service Option信息，是

4、由用户终端发起DHCP请求时携带的信息，网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型，从而识别用户业务类型，DHCP服务器可以依赖于此分配不同的业务IP地址。而Option82信息是由网络设备插入在终端发出的DHCP报文中，主要用来标识用户终端的接入位置，比如对于交换机而言，通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号；在具体认证过程中，DHCP 认证又可分为两种机制： 1） 由支持Option60和Option82的DHCP服务器认证 DHCP服务器上包含有所有合法接入用户的Option82信息，当收到一个DHCP请求报文后，直接利用Opti

5、on82信息和数据库中的合法信息进行比对，若一致，则认为用户合法，再根据Option60字段分配IP地址。若不一致，则认为用户非法，不分配IP地址。可以看出，DHCP 认证主要是根据用户的物理位置来进行认证的。 2） 由业务网关设备配合RADIUS服务器和DHCP服务器一起认证 当业务网关（如BRAS）收到DHCP请求报文后，把OPTION信息封装到RADIUS的一个扩展字段中送到RADIUS服务器进行认证，若通过则再利用DHCP服务器分配IP地址，否则不给用户分配IP地址。 DHCP Option82信息可以由DHCP Snooping或DHCP Relay设备进行插入，在实际应用中，为了能

6、明确具体用户，通常在接入交换机上利用DHCP Snooping实现Option82信息的插入。 DHCP服务器还可以根据Option82信息制定地址分配策略，如对Option82信息相同的DHCP请求只分配一个IP地址，这样可以有效的防范对DHCP请求DoS攻击，防止DHCP服务器地址池枯竭。 表1是PPPoE认证方式和DHCP认证方式特性比较： 认证方式PPPoE认证DHCP认证接入控制粒度PPP连接DHCP Option82+DHCP Option60客户端支持支持目前STB支持DHCP Option60的相对较少组播支持不支持支持业务流封装开销单播VoD为PPP封装，组播为以太网封装以太

7、网封装IP地址分配方式IPCPDHCPIP地址分配流程先认证后分配IP通过DHCP Option82&60进行认证协议标准标准协议非标准协议与RADIUS Server配合标准协议非标准协议附加设备RADIUS ServerDHCP Server用户异常离线检测时间快较慢表1 PPPoE认证方式和DHCP认证方式对应比较表由表中可以看出，PPPoE认证和DHCP 认证各有优劣势。对于上网这样需要能对用户进行计时计费的业务，显然PPPoE认证更为合适。而对于IPTV这样主要通过包月方式来运营，而且还需要通过组播方式进行开展的业务，DHCP认证更适合。2 IPoE协议介绍2.1 IPoE定义IPo

8、E技术是由DSL论坛WT-146推荐的一种新形式的接入认证方式，它是基于DHCP协议转换为RADIUS认证报文来实现用户接入认证与控制。为获取用户MAC地址和接入设备端口等信息，在接入设备中插入DHCP Option82选项，取代了嵌入在用户终端内的PPPoE拨号软件，将获取所需的接入信息机制前移到网络接入设备中，从而使用户终端继续保持其原有的通用性和灵活性，为IP网络向多业务承载的演进，提供必要保障。IPoE实际上是直接通过以太网传送宽带业务流量，而不采用PPP封装。这种新的会话管理方式主要依靠DHCP为用户终端分配IP地址，原本并不支持链路建立、用户认证和链路监控等功能。利用DHCP扩展以

9、及其它协议（例如EAP），这种方法可以提供类似于PPPoE的功能。DSL论坛WT-146规范定义了标准的会话建立控制过程，解决了IPoE没有标准认证问题。IPoE实现了从PPPoE向IPoE的平滑过渡，PPPoE Session和IPoE Session的对应关系如表2所示：会话类别PPPoEIPoE用户管理用户识别用户名/密码DHCP Auth、Portal用户隔离支持QinQ、MAC+IP线路/电路线路IDDHCP Option82、VLAN地址管理本地分配IPCPDHCP客户端专用客户端DHCP Auth、Portal业务管理业务选择Service SelectionPortal会话开始

10、Start SessionStart: DHCP会话结束Stop SessionKeepalive (ICMP、ARP、BFD) DHCP lease会话标识Session识别Port+MAC+IP数据包数据包转发PPPoX包头IP/Ethernet表2 PPPoE Session和IPoE Session对照表与采用PPPoE方式传送组播数据流相比，由于没有PPPoE封装，组播数据可以在用户到IPTV数据中心的端到端路径，以及在接入侧所途径的全部二层交换机上做常规的组播复制。大量的组播数据流在最靠近用户的设备上进行复制，高效地利用了组播技术的优点。IPoE技术的特点：支持用户会话保护，满足运

11、营商对个人宽带业务认证、计费需求；高效的组播传播，适合IPTV业务，长接在线，适合语音及视频电话业务；减少多余开销，提高传输效率。2.2 IPoE定位在宽带网络中提供的主要业务可以归纳为两类，一类是为用户提供高速上网服务的公众业务，另一类是为用户提供IPTV、NGN电话、宽视界等增值服务的精品业务。目前，前一类业务一般都通过PPPoE接入方式为用户提供服务，而且当前宽带网络上部署的绝大多数接入设备也都是提供PPPoE接入方式；对于后一类业务，开业务开展得初期，为了尽量减少对现有网络的改造，通常也采用PPPoE的接入方式。但是，与公众业务一般只注重QoS的带宽属性不同，精品业务通常对链路的抖动、

12、延迟等参数具有特殊要求，因此在QoS控制上需要更为精细，同时，一些精品业务（例如IPTV）还要求接入网络具备高效的组播功能。虽然当前普遍使用的PPPoE接入方式能够在QoS控制方面达到精品业务的要求，但是在提供高效的组播能力方面却是先天不足。而IPoE则在这两个方面都可以提供满足业务要求的特性。IPoE具有同时支持公众业务和精品业务的能力，从技术上讲可以采用IPoE来支持现有的各种宽带业务。但是，从宽带网络的部署和业务现状来看，为了保证网络和业务的平滑过渡，同时避免公众业务影响精品业务的提供，公众业务仍然通过PPPoE接入方式以及现有的宽带接入设备（BRAS）网络基础设施提供，而精品业务则通过

13、IPoE接入方式以及正在部署的业务路由器（SR）网络基础设施提供。在未来IP承载网络部署和宽带业务发展成熟的情况下，可以考虑将目前公众业务和精品业务分别采用PPPoE和IPoE两种接入方式在独立网络平台承载的模式逐步过渡为采用统一网络平台承载的模式；而接入方式也可以由过渡为在业务路由器单一网络平台上同时支持PPPoE和IPoE，分别支持公众业务和精品业务，继而发展为完全通过IPoE支持所有的业务。3 Alcatel-Lucent IPoE宽带接入系统实现3.1 系统组成对于一个IPoE宽带接入系统，主要进行用户DHCP过程和认证过程。Alcatel IPoE宽带接入系统包含以下三个部分，如图1

14、所示。图1 IPoE宽带接入系统组成1） IPoE客户端包括DHCP消息的交互，DHCP Option60的加入等。Option60中一般由PC客户端程序或者STB添加，通过DSLAM，7450和7750透明的传送到DHCP Server进行用户的认证和识别。目前，由于大多数现网设备不支持Option60中的用户名和密码信息转换到RADIUS进行认证。所以我们不建议采用专门的客户端程序或者STB进行基于DHCP Option60的用户认证，而是建议采用下面介绍的Option82方式结合用户的MAC地址进行用户的认证和计费等。2） IPoE业务控制系统IPoE业务控制系统包括RADIUS AAA

15、服务器，DHCP Server等。其中RADIUS Server主要承担用户的认证，每用户的QoS，准入策略的下发。计费功能等。DHCP Server除了能提供客户IP地址的分发，还能根据DHCP消息的Option60/82的选项进行用户的接入认证，下发每用户策略的功能。为保持跟现有PPPoE业务流程一致，建议采用RADIUS Server进行用户认证和计费功能，DHCP Server仅仅进行IP地址的分发。RADIUS Server可以选择现有的基于Free Radius的软件进行升级。对于DHCP Server可以选择QIP产品。如果项目中不准备引入RADIUS Server，也可以采用D

16、HCP进行认证。7450使用Python脚本解析Option82的信息，进行用户定位和用户QoS策略的下发。3） IPoE用户控制设备DSLAM，7450和7750都可以进行DHCP Option82的插入和更改，进行用户定位和认证消息的携带。同时用户控制设备中7450和7750可以进行DHCP消息和RADIUS消息的转换，统一IPoE和PPPoE采用相同的认证计费流程，有利于新业务的在就有OSS/BSS平台开展。对于DHCP Option82的加入，建议在DSLAM设备上针对每个IPoE Session，截获DHCP消息后，在DHCP消息中添加Option82消息，进行用户的精确定位和用户认

17、证。在7450上把DHCP Discovery消息转换为RADIUS消息，到RADIUS进行统一的用户认证。用户名采用Option82格式。并且在认证通过后，在7450上自动生成每IPoE Session的IP+MAC地址绑定，防止用户信息仿冒。4） 典型的认证接入流程在IPoE接入方式下，用户可以通过DSLAM或PON接入，在通过认证并获得业务授权之后，可以访问相应的业务。总体业务使用流程描述如下： （1）用户的业务终端（例如NGN电话机或IPTV机顶盒）上电或开机后发出DHCP Discover消息，该消息通过二层接入设备中继至业务路由器（SR），在此过程中，二层接入设备可以根据要求在DH

18、CP Discover中插入Option82，提供用户的线路信息； （2）SR首先保持住用户的DHCP Discover，提取相关信息（例如MAC、Option82），并利用RADIUS协议与RADIUS服务器进行交互，对用户进行认证，获取用户的业务控制以及QoS策略；RADIUS服务器基于用户的MAC地址或线路信息对用户进行认证，确定用户的业务类型，并下发相关的业务授权及QoS策略给SR； （3）认证过程完成后，SR将DHCP Discover转发给DHCP服务器；（4）DHCP服务器与用户终端进行交互，完成动态IP地址分配过程，用户终端获得IP地址，SR将用户的业务控制和QoS策略与该IP

19、地址绑定； （5）用户终端可以访问相应的业务系统使用相应的业务，例如NGN电话机可以使用NGN话音业务，IPTV终端可以使用IPTV业务。3.2 IPoE典型业务流程Alcatel-Lucent实现IPoE宽带接入业务流程如下：图2 IPoE宽带接入系统业务流程（0） 用户到营业厅申请IPTV等IPoE业务。（1） BSS系统通知RADIUS Server，手工添加文本文件到现有的用户文件后面。（2） BSS系统确定DSLAM的端口号，得到线路号码。DSLAM添加Option82，送到RADIUS Server或者DHCP Server认证。（3） RADIUS Server改造之后，7450

20、转DHCP消息到RADISU Server，完成认证。如不采用RADISU Server，7450直接转接消息到DHCP Server。需要7450采用Python脚本解释DHCP Option 82消息。3.3 DSLAM改造识别用户根据RFC 3046规定，Option82采用TLV格式，通常包括两个子选项，Circuit-ID和Remote-ID。1） circuit-id: system-name | service-id | sap-id | dot1p | vlan-id.2） remote-id: MAC 地址或者是QoS属性图3 DHCP Relay 的Option82配置同时

21、，在将DHCP消息转变成RADIUS认证消息的时候，RADIUS消息的username可以选择以下三种：1） MAC地址2） circuit-id3） circuit-id和vlan的tuple如采用DSLAM添加的circuit-id，能够唯一识别客户的PVC，不用采集客户的主机MAC地址，大大减少运维人员的工作量。同时，从DSLAM规划能够得知，不同的circuit-id对应IPTV，VoIP，Data等不同的流量类型。也就是能够把此circuit-id的remote-id信息添加上。可以将remote-id添加为QoS Profile属性：l basic#data, basic#voic

22、e, basic#videol advanced#data, advabced#voice, advanced#videoRADIUS Server收到此option82转换过来的信息，会转换为sub-identify，sub-profile，sla-profile。并且发送到7450进行用户的QoS策略控制。当然，如果现网DSLAM不具备option82的部署能力，相应的option82的插入可以由7450完成。3.4 RADIUS Server的改造作为IPoE系统中的重要组成部分，RADISU服务器提供以下功能：l 认证 确认用户是否可以接入到系统中l 授权 将某用户主机与连接特性或属性

23、进行管理l 计费/统计- 跟踪某用户的业务使用情况大部分现网使用的RADISU是基于Free Radius http:/www.freeradius.org/开源计划的。内核基本相同，可以通过简单的改造支持Alcatel-Lucent设备。1）添加Alcatel-lucent的IP产品的厂家字典。只要把Alcatel-lucent字典放到现网RADISU服务器的相应目录，就可以支持7450ESS设备的RADISU功能。图4 Radius Server 导入厂家字典2）添加IPoE用户按照上述格式，修改文本文件Users，添加每一个IPoE用户。现网RADIUS Server接入PPPoE也是修

24、改这个文件。同样的流程。3.5 采用DHCP Server实现身份认证当采用DHCP Server进行身份认证，授权。需要7450监听DHCP ACK消息，采用内置Python脚本，解析Option82信息，确定一个用户（subscriber）的三个重要信息，创建IPoE Session。计费采用专用计费服务器。在这种认证方式中，不需要RADIUS Server参与。7450配置用户认证策略，采用Python脚本去解析DHCP Option82的信息。subscriber-mgmt sub-ident-policy SpeedyGonzales create primary script-ur

25、l ftp:/user:password10.1.1.1/./SpeedyGonzales.py no shutdown exit exitexit 图5 Python脚本应用策略配置7450上采用远程服务器上的Python脚本,解析DHCP option82信息识别用户。因此，采用DHCP Server作为认证服务器，进行用户的身份认证，需要在7450上进行每用户数据的创建，工作量较大。3.6 部署建议统计现网DSLAM状况，能否支持DHCP Option82的插入，如果现网DSLAM不能提供DHCP Option82的插入，需要在7450上进行插入option82.采用现网的RADIUS

26、Server，需要在RADIUS Server上添加Alcatel-Lucent字典。并且在RADIUS Server上添加IPoE客户。进行模拟现网测试，确保RADIUS Server经过简单的改造，能够满足现网用户使用要求。采用DHCP Server QIP，现网只有1万用户的License，需要升级DHCP Server系统。4 IPOE需要解决的问题传统的二层网络并没有太多地考虑安全保护功能，很多协议在开发时，包括桥、ARP、DHCP等这些协议，网络的使用者仅限于一些科研、教育领域等可以认定为好人的用户，几乎没有任何安全措施，很容易被攻击。4.1 DHCP溢出攻击和应对策略DHCP在I

27、PoE实施环境中非常重要，是用户身份认证和获取IP地址的关键服务。但是DHCP协议本身没有PPPoE健壮，一个恶意的用户可以非常容易和迅速发起对DHCP服务器的DOS攻击。因此必须解决DHCP协议在安全方面的缺陷，才能建造一个安全的网络，继而进行规模商业应用。DHCP服务器易受到的攻击主要有：1） 伪造MAC地址大量申请IP以不同的伪造MAC地址向DHCP服务器发出DHCP Request造成IP地址池的耗尽，或者在短时间内向DHCP服务器发出大量的请求，是DHCP服务器服务停顿，使得合法的用户得不到IP地址而造成网络无法使用。2） 伪DHCP服务器攻击机器首先将其所在的网络的地址段耗尽，然后

28、对所有的DHCP请求进行响应。它所响应的地址实际上是“偷”来的合法地址，而且将缺省网关设置成自己。这样，客户看似正常地从服务器获取了地址配置，并将这台非法的DHCP服务器设置成缺省网关。所有进出的数据包都流经这台伪服务器，从而导致保密信息被窃取。应对策略是：通过MAC地址和端口绑定功能限制端口学习的MAC地址数，防止无限制的DHCP地址申请，然后通过DHCP Snooping特性，手工设定正常的DHCP服务器连接的端口为信任的DHCP服务器端口；并且根据嗅探到的DHCP Relay信息建立绑定关系，当DHCP租用过期时，清空表项记录，防止虚假的DHCP服务器进入网络内部。4.2 ARP溢出攻击

29、和应对策略ARP用于主机建立IP地址和MAC地址映射，是一种本省就不安全的网络服务。ARP协议有一个ARP特性，称作为免费ARP（Gratuitous ARP），即主机主动发送ARP回应广播，从而刷新其他主机上的ARP表，接受到免费ARP的主机并不检查其是不是该IP地址的合法使用者。本来，改变了硬件地址的主机可以通过发送免费的ARP来更新其他主机上的ARP表项。但是，很不幸的是，这个特性可以被恶意使用，即发送包含了假冒的IP地址的免费ARP，通常叫做“ARP欺骗”。攻击者通过“ARP欺骗”向局域网上的其他设备发送一个包含默认网关IP地址的免费ARP假冒缺省网关，同时通过同样的方法向缺省网关假冒

30、用户，实际上攻击者就成了“中间人”。动态ARP侦测功能可以利用DHCP Snooping功能建立的IP/MAC地址对应表，动态地侦测ARP数据包，利用DHCP Snooping的绑定信息表对不匹配的IP/MAC地址对进行控制和丢弃，有效地防止ARP欺骗类攻击行为。4.3 Session终结管理根据DHCP协议的特性，当Session终结时，用户的IP地址并不能自动及时释放和回收。根据DSL论坛WT-146规范要求，IPoE的Session终结时，必须支持Logout、Force、ARP Ping或BFD方式以实现IP地址的及时释放。5 参考文档1. RFC2131 Dynamic Host Configuration Protocol2. RFC2131 Dynamic Host Configuration Protocol3. RFC3046 DHCP Relay Agent Information Option4. RFC3315 Vendor-IdentifyingVendorOptionsforDynamicHostConfigurationProtocol5. DSL Forum WT-164 Draft Version 2.4 Subscriber Session 6. 中国电信IPoE接入认证规范