Ipoe和Pppoe,宽带认证技术

时间:2022-11-18 16:59:39

Pppoe认证

以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。

PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段:

  • LCP(链路控制协议)阶段
  • 认证阶段(比如CHAP/PAP)
  • NCP(网络层控制协议,比如IPCP)阶段。

当一台主机希望启动一个PPPoE会话(拨号?),它首先必须完成发现阶段,确定对端Server的以太网MAC地址,并建立一个唯一的PPPoE会话号(SESSION_ID)。
(1)用户计算机和局方的接入服务器在LCP阶段协商底层链路参数
(2)然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。
(3)认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。

在PPP协议定义一个端对端关系时,发现阶段实际是一个客户与服务器的关系。在发现阶段,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能不只一个网络设备,但只能选择其中的一个。当发现阶段完成后,主机和网络设备将拥有建立PPPoE的所有信息。

PPPoE 特点总结

PPPoE认证的主要优点总结如下:

  • PPPoE认证的主要特点在于其应用广泛、成熟;而且标准性、互通性好;

  • 与现有主流的PC操作系统可以良好的兼容,无兼容性问题;

  • PPPoE通过唯一的Session-ID可以很好的保障用户的安全性;

  • 因此,由于PPP会话的安全性、健壮性等特征,而被广泛应用于ADSL 接入认证。应用广泛,具有较好的市场基础。

PPPoE认证的不足之处

  • 认证机制比较复杂,对设备处理性能、内存资源需求较高;
  • 同时用户需要一个等待过程;同时随着多媒体业务发展, BRAS设备对于业务支持的局限性逐渐暴露出来,特别是组播支持方面,由于在PPP协议定义一个端对端关系时,在网络拓扑中,主机能与之通信的可能不只一个网络设备,但只能选择其中的一个,所以采用PPPOE方式认证时,组播复制点只能选择在BRAS设备上,而BRAS设备性能必将成为业务发展的瓶颈。
  • 同时由于传统BRAS设备在设计理念上不是满足多业务承载,所以设备在整机处理能力,可扩展性,可靠性等方面都将表现出不足。

IPoE认证

IPoE系统包括基本的DHCP功能,同时扩展了网络中各个层面设备的能力。IPoE不是简单的终端设备上支持DHCP就可以了,需要涉及到用户端,网络控制设备,网络业务系统等。

DHCP( RFC-1541)本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数,对用户端的IP层进行配置。 DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP+web方式、DHCP+客户端方式和利用DHCP+OPTION扩展字段进行认证。所有这些方式都统称为DHCP+认证。本文讨论的主要是DHCP+OPTION扩展字段进行认证,又称为IPoE认证方式

用来作为DHCP扩展的OPTION字段主要为OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入。

IPoE认证系统各个部分功能如下:
(1)IPoE 客户端部分

包括各种用户终端设备,产生DHCP消息,中间设备插入各种DHCP option进行用户绑定,业务绑定等。

(2)IPoE 宽带网络网关控制设备(如BRAS或SR)

宽带网络网关控制设备(Broadband network gateway)进行DHCP消息到Radius认证消息的翻译。与Radius进行认证,授权,计费功能。认证通过后,下放Radius返回的每用户QoS,访问控制的列表等功能,同时对通过设备的流量/时长进行计费。

(3)IPoE业务控制系统

包括Radius/DHCP/Diameter/Webportal等业务系统,能够动态调整每用户的带宽和QoS属性,针对预付费,流量,时长等提供多种计费手段。做到客户的可管理控制,可持续盈利,提供差异化的用户服务。

基于TR101定义的网络架构及WT146定义的IPoE Session 流程,网络边缘通过设置宽带业务网关-BNG(Broadband Network Gateway)设备来维护所有用户的 IP Session,通过 IPoE Session 对用户进行感知和控制,并实施各种用户策略(如QoS)。

IPoE认证特点总结

IPoE认证的主要特点总结如下:
基于上网用户的物理位置(通过唯一的VLAN ID/PVC ID标示)对用户进行认证和计费,用户上网时无需输入用户名和密码,这对于那些需要永远在线的用户,以及不愿意输入用户名和密码的特定用户是非常方便的 ,适合于在企业网,家庭简化硬件的配置工作。

  • DHCP+ (option 60/option 82)对DHCP 协议进行了扩展,增加了安全,监控,用户识别等新的特性。

  • 网络接入设备, 业务控制网关, DHCP server, Radius server 配合增强网络安全性(防DoS 攻击及地址仿冒)

  • DHCP+ Radius 结合提供计费功能,使得DHCP 适合做运营.

  • DHCP 是基于IP的在冗余保护方面比较有优势,能够实现真正的5个9的保护特性。

  • 组播业务支持灵活

IPoE 认证的安全策略

由于IPoE认证本身不像PPPoE认证一样在网络层面提供唯一的点到点的通信, 所以运营商在部署时,安全问题是需要考虑的主要问题。随网络技术的发展,家庭网关,网络接入设备(如DSLAM), 宽带网络网关必须协同工作,增强网络安全性。安全保证策略包括如下方面:

(a) 反地址欺骗
用户是通过DHCP/静态配置IP与MAC地址方式接入。业务控制网关自动生成一条IP和MAC地址帮定的Ingress方向的记录. 如果其它用户做防冒, IP地址相同,但是MAC地址不同,所有的数据包都会被丢弃。

(b)用户终端数限制
控制每个业务接入点所连接用户终端的数量。

(c)防DoS攻击
对于用户通过发送大量的DHCP请求,模拟不同MAC 地址的Host请求IP地址,攻击DHCP Server的情况:

解决方式是DHCP 请求需要得到Radius 服务器认证通过才能被送到DHCP Server, Radius 设定了用户的MAC地址和线路号绑定的功能,只有IP地址和线路号在Radius数据库种才能获得许可申请用户的IP地址。

对于由宽带网络网关发送大量的DHCP请求发送到Radius服务器的情况:

解决方式是在用户认证通过认证获得IP地址之前,基于每个用户设置速率限制功能,设定每秒种只有1-2个DHCP数据包能够通过,降低对Radius Server的压力。对于Radius Server,对用户的攻击模式进行判断,对来自同一个DSLAM 线路号的Radius请求数量作控制,比方说在1秒内,最多只允许1个Radius请求,如果1分钟内连续出现多个Radius请求,则认证发生攻击,直接丢弃Radius数据包。

(d)业务隔离
下行通过VLAN隔离;上行方向除上网业务分配公网地址直接接入外,其它业务(包括网络管理)一律按业务类别分装在不同VPN内进行传送。

(e)非法组播源抑制
一般从DSLAM上行的端口都会将发送到组播组的数据过滤掉。在业务控制网关上与DSLAM 下行连接的端口上不会开启PIM协议,组播源不会从业务端口接入上来。

(f)端口隔离
设置用户水平分割组,禁止用户接入端口间直接转发。