遲克偉石敬東

1.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司牙克石分公司 內(nèi)蒙古 牙克石市 022150 2.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司伊敏河分公司 內(nèi)蒙古 鄂溫克族自治旗 021133

IPoE和PPPoE的原理及在廣電網(wǎng)絡(luò)中的應(yīng)用

遲克偉1石敬東2

1.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司牙克石分公司 內(nèi)蒙古 牙克石市 022150 2.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司伊敏河分公司 內(nèi)蒙古 鄂溫克族自治旗 021133

為滿足網(wǎng)絡(luò)需求，提供多樣化的增值業(yè)務(wù)，必須配套靈活穩(wěn)定的接入方式和認(rèn)證計費(fèi)方式。最常用的兩種方式為PPPoE和IPoE。本文簡要介紹了PPPoE和IPoE原理，PPPoE和IPoE的特點(diǎn)及使用建議。

原理 特點(diǎn) 使用建議

2016年底，以寬帶運(yùn)營商為主導(dǎo)的“寬帶中國”基礎(chǔ)設(shè)施項目建設(shè)取得了快速的發(fā)展，以FTTH為主的“光網(wǎng)城市”已經(jīng)覆蓋我國大部分城鄉(xiāng)，以及部分農(nóng)村集中區(qū)，形成了能夠適應(yīng)我國寬帶市場發(fā)展的特色網(wǎng)絡(luò)。廣電網(wǎng)絡(luò)作為運(yùn)營商之一，業(yè)務(wù)也隨之飛速增長。為滿足網(wǎng)絡(luò)需求，提供多樣化的增值業(yè)務(wù)，必須配套靈活穩(wěn)定的接入方式和認(rèn)證計費(fèi)方式。最常用的兩種方式為PPPoE和IPoE。

1 PPPoE和IPoE原理

網(wǎng)絡(luò)供應(yīng)商提供服務(wù)時需要考慮認(rèn)證和計費(fèi)的問題。隨著低成本的寬帶技術(shù)變得日益流行，數(shù)字用戶線技術(shù)使得許多計算機(jī)在互聯(lián)網(wǎng)上能無限制的通信。服務(wù)提供商希望通過提供相應(yīng)的服務(wù)并獲取收益，因此，PPPoE和IPoE技術(shù)產(chǎn)生。

1.1 PPPoE認(rèn)證方式

PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多個PPP連接的接入技術(shù)，結(jié)合了以太網(wǎng)和PPP連接的綜合屬性。以太網(wǎng)是一種廣播網(wǎng)絡(luò)，其缺點(diǎn)是通訊雙方無法相互驗證對方身份，安全系數(shù)不高。PPP協(xié)議提供了通訊雙方身份驗證的功能，但PPP協(xié)議是一種點(diǎn)對點(diǎn)的協(xié)議，協(xié)議中沒有提供地址信息。如果PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE進(jìn)行封裝，PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對點(diǎn)通信的能力。

PPP協(xié)議的一個重要的功能是提供了身份驗證功能，是一種點(diǎn)到點(diǎn)的鏈路層協(xié)議，它提供了點(diǎn)對點(diǎn)的封裝和傳遞數(shù)據(jù)的方法。當(dāng)一臺主機(jī)希望啟動一個PPPoE會話，首先必須完成發(fā)現(xiàn)階段，確定對端Server的以太網(wǎng)MAC地址，并建立一個唯一的PPPoE會話號（SESSION_ID）。

PPP協(xié)議一般包括三個協(xié)商階段：LCP（鏈路控制協(xié)議）階段，認(rèn)證階段，NCP（網(wǎng)絡(luò)層控制協(xié)議，比如IPCP)階段。撥號后，用戶計算機(jī)和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù)，然后在認(rèn)證階段進(jìn)行用戶計算機(jī)將用戶名和密碼發(fā)送給接入服務(wù)器認(rèn)證，接入服務(wù)器進(jìn)行本地認(rèn)證，通過RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過后，在NCP（IPCP）協(xié)商階段，接入服務(wù)器給用戶計算機(jī)分配網(wǎng)絡(luò)層參數(shù)如IP地址等。經(jīng)過PPP的三個協(xié)商階段后，用戶可以發(fā)送和接受網(wǎng)絡(luò)報文，收發(fā)的所有網(wǎng)絡(luò)層報文都封裝在PPP報文中。在PPP協(xié)議定義一個端對端關(guān)系時，發(fā)現(xiàn)階段實際是一個客戶與服務(wù)器的關(guān)系。在發(fā)現(xiàn)階段，主機(jī)（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與之通信的可能不只一個網(wǎng)絡(luò)設(shè)備，但只能選擇其中的一個。當(dāng)發(fā)現(xiàn)階段完成后，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有建立PPPoE的所有信息。

PPPoE一般用面向于廣大普通用戶提供認(rèn)證和計費(fèi)服務(wù)，也可用于固定用戶申請單獨(dú)使用的一個公網(wǎng)IP地址。國內(nèi)運(yùn)營商主要是應(yīng)用BRAS設(shè)備作為PPPoE的終結(jié)設(shè)備。

1.2 IPoE認(rèn)證方式

IPoE系統(tǒng)包括基本的DHCP功能，同時擴(kuò)展了網(wǎng)絡(luò)中各個層面設(shè)備的能力。IPoE不是簡單的在終端設(shè)備上支持DHCP即可，需要涉及到用戶端、網(wǎng)絡(luò)控制設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等。通過終端上的DHCP客戶端，利用自動發(fā)現(xiàn)機(jī)制來嘗試聯(lián)系網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP提供一系列IP配置參數(shù)，對用戶端的IP層進(jìn)行配置。DHCP協(xié)議本身并沒有認(rèn)證的功能，但是可以配合其他技術(shù)實現(xiàn)認(rèn)證，比如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證，所有這些方式都統(tǒng)稱為DHCP+認(rèn)證。本文討論的主要是DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證，又稱為IPoE認(rèn)證方式。用來作為DHCP擴(kuò)展的OPTION字段主要為OPTION60和OPTION82。其中，OPTION60中帶有Vendor和Service Option信息，是由用戶終端發(fā)起DHCP請求時攜帶的信息，網(wǎng)絡(luò)設(shè)備只需要透傳即可。其在應(yīng)用中的作用是用來識別用戶終端類型，從而識別用戶業(yè)務(wù)類型，DHCP服務(wù)器可以依賴于此分配不同的業(yè)務(wù)IP地址。OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報文中，主要用來標(biāo)識用戶終端的接入位置，DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設(shè)備進(jìn)行插入。

2 PPPoE和IPoE的特點(diǎn)

對PPPoE和IPoE兩種方式各自不同特點(diǎn)的了解，有益于對現(xiàn)有網(wǎng)絡(luò)的規(guī)劃和協(xié)議的選擇。

2.1 PPPoE特點(diǎn)

（1）PPPoE認(rèn)證應(yīng)用廣泛且標(biāo)準(zhǔn)性和互通性較好；

（2）與現(xiàn)有主流的PC操作系統(tǒng)可以良好的兼容，無兼容性問題；

（3）PPPoE通過唯一的Session-ID可以很好的保障用戶的安全；

PPPoE認(rèn)證的不足之處在于認(rèn)證機(jī)制比較復(fù)雜，對設(shè)備處理性能、內(nèi)存資源需求較高，用戶需要一個等待過程。隨著多媒體業(yè)務(wù)發(fā)展，BRAS設(shè)備對于業(yè)務(wù)支持的局限性逐漸暴露出來，特別是組播支持方面。由于在PPP協(xié)議定義一個端對端關(guān)系時，在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與其通信的可能不只一個網(wǎng)絡(luò)設(shè)備，但只能選擇其中的一個，所以采用PPPOE方式認(rèn)證時，組播復(fù)制點(diǎn)只能選擇在BRAS設(shè)備上，而BRAS設(shè)備性能必將成為業(yè)務(wù)發(fā)展的瓶頸。由于傳統(tǒng)BRAS設(shè)備在設(shè)計理念上不能滿足多業(yè)務(wù)承載，因此，設(shè)備在整機(jī)處理能力、可擴(kuò)展性和可靠性等方面表現(xiàn)不足。

2.1 IPoE認(rèn)證特點(diǎn)

（1）基于上網(wǎng)用戶的物理位置（通過唯一的VLAN ID/PVC ID標(biāo)示）對用戶進(jìn)行認(rèn)證和計費(fèi)，用戶上網(wǎng)時無需輸入用戶名和密碼。這對于那些需要永遠(yuǎn)在線的用戶，以及不愿意輸入用戶名和密碼的特定用戶非常方便，適合于在企業(yè)網(wǎng)和家庭簡化硬件的配置工作。

（2）DHCP+（option 60/option 82）對DHCP協(xié)議進(jìn)行了擴(kuò)展，增加了安全、監(jiān)控和用戶識別等新的特性。

（3）網(wǎng)絡(luò)接入設(shè)備，業(yè)務(wù)控制網(wǎng)關(guān)，DHCP server，Radius server配合增強(qiáng)網(wǎng)絡(luò)安全性（防DoS攻擊及地址仿冒）。

（4）DHCP+Radius結(jié)合提供計費(fèi)功能，使得DHCP適合做運(yùn)營。

（5）DHCP在IP冗余保護(hù)方面比較有優(yōu)勢，能夠?qū)崿F(xiàn)真正的5個9的保護(hù)特性。

（6）組播業(yè)務(wù)支持靈活。

由于IPoE認(rèn)證本身不像PPPoE認(rèn)證在網(wǎng)絡(luò)層面提供唯一的點(diǎn)到點(diǎn)的通信，因此，運(yùn)營商在部署時，安全問題是需要考慮的主要問題。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，寬帶網(wǎng)絡(luò)必須增強(qiáng)網(wǎng)絡(luò)安全性。安全保證策略包括：（1）反地址欺騙。用戶通過DHCP/靜態(tài)配置IP與MAC地址方式接入。業(yè)務(wù)控制網(wǎng)關(guān)自動生成一條IP和MAC地址綁定的Ingress方向的記錄，如果其它用戶做仿冒，IP地址相同，但MAC地址不同，所有的數(shù)據(jù)包都會被丟棄。（2）用戶終端數(shù)限制?？刂泼總€業(yè)務(wù)接入點(diǎn)所連接用戶終端的數(shù)量。（3）防DoS攻擊。（4）業(yè)務(wù)隔離。下行通過VLAN隔離，上行方向除上網(wǎng)業(yè)務(wù)分配公網(wǎng)地址直接接入外，其它業(yè)務(wù)（包括網(wǎng)絡(luò)管理）一律按業(yè)務(wù)類別分裝在不同VPN內(nèi)進(jìn)行傳送。（5）非法組播源抑制。一般從上行的端口將發(fā)送到組播組的數(shù)據(jù)過濾掉。在業(yè)務(wù)控制網(wǎng)關(guān)上與下行連接的端口不會開啟PIM協(xié)議，組播源不會從業(yè)務(wù)端口接入。（6）端口隔離。設(shè)置用戶水平分割組，禁止用戶接入端口間直接轉(zhuǎn)發(fā)。

綜上，在終端支持、封裝開銷和組播支持認(rèn)證效率等方面，IPoE認(rèn)證具有較明顯的優(yōu)勢。但由于IPoE比PPPoE簡單，存在安全隱患，比如私建DHCP，地址盜用等。

3 使用建議

不同網(wǎng)絡(luò)規(guī)劃中需求不同，互動點(diǎn)播、寬帶上網(wǎng)、企業(yè)專線、無線城市、平安城市等業(yè)務(wù)，對整網(wǎng)認(rèn)證協(xié)議的選擇不能只限定在PPPoE或IP-oE協(xié)議。

網(wǎng)絡(luò)規(guī)模較小，在OLT設(shè)備上配置簡單的二層透傳。為簡化配置，在ONU上配置相同的Vlan，通過配置QOS中通過EtherTyp中的字段0x8863以及 0x8864，選擇 PPPoE數(shù)據(jù)，通過EtherTyp中的字段0x0800選擇IPoE數(shù)據(jù)。通過這種方式區(qū)分不同業(yè)務(wù)，控制同一Vlan中的不同認(rèn)證方式的數(shù)據(jù)走向。

為了減少廣播風(fēng)暴、隔離網(wǎng)絡(luò)故障和增強(qiáng)網(wǎng)絡(luò)安全性，需要在設(shè)備上做好網(wǎng)絡(luò)Vlan規(guī)劃，單層Vlan透傳、QINQ和QOS等方式將需要不同認(rèn)證的業(yè)務(wù)區(qū)分，滿足現(xiàn)行網(wǎng)絡(luò)的需要。

結(jié)束語

PPPoE和IPoE兩種認(rèn)證方式適應(yīng)不同的網(wǎng)絡(luò)需求，為互動點(diǎn)播、寬帶上網(wǎng)、企業(yè)專線、無線城市、平安城市等提供了適合的認(rèn)證方式。合理的認(rèn)證方式促進(jìn)了廣播電視網(wǎng)絡(luò)上增值業(yè)務(wù)的發(fā)展，有利于新業(yè)務(wù)的開展和新型網(wǎng)絡(luò)的組建。

審稿人：周速飛 內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司 正高級工程師

責(zé)任編輯：王學(xué)敏

TP393.1

B

2096-0751（2017）03-0027-03

遲克偉 內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司牙克石分公司 工程師

石敬東 內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司伊敏河分公司 工程師