DHCP+

IP 宽带接入网中的几种认证技术：

PPPoE技术
PPPoE（PPP over Ethernet）为IETF RFC2516标准协议，是从基于ATM的窄带网引入到宽带以太网的，实现在Ethernet上传输封装PPP报文，由于IP包和PPP报文不兼容，必须有专门的设备终结PPP报文并转换为IP报文，这种设备就是BRAS。用户与BRAS设备之间PPPoE通信过程包含两个阶段：PPPoE发现阶段和PPP会话阶段，发现阶段是无状态的Client/Server模式，目的是获得PPPoE终结端的以太网MAC地址，并建立一个唯一的PPPoE SESSION_ID。发现阶段结束后，就进入标准的PPP会话阶段。一旦PPPoE会话开始，PPP数据就可以像其它的PPP封装形式一样发送。

802.1X技术
802.1X为IEEE Std 802.1X-2001基于端口的访问控制协议，可以克服PPPoE方式带来的诸多问题，并避免引入宽带接入服务器所带来的巨大投资。802.1X协议限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

DHCP+技术

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

DHCP+接入认证技术是一种基于DHCP协议通过控制终端用户的IP地址分配实现控制用户接入的认证鉴权技术，DHCP+目前尚处于发展初期阶段，尚未推出正式的标准。常见于PPPoE接入认证方式受限的场合，例如BTV业务应用场合。

DHCP协议是DHCP+接入认证技术的基础，它是RFC组织定义的一种标准，采用客户机－服务器工作机制，实现客户机向服务器请求分配IP地址的流程。 为了解决对用户进行有效的接入认证控制问题和提高接入网络的安全性，DHCP+接入认证技术在网络安全、网络监控以及用户控制和终端识别等方面对DHCP 协议进行了扩展。

网络安全方面，在报文入接口通过对报文匹配DHCP Snooping绑定表项，防止了IP盗用、用户私接、DHCP Server仿冒、IP/MAC Spoofing攻击、DoS（Deny of Service）攻击，规避了DHCP协议的安全缺陷。

网络监控方面，通过对丢弃的非法报文分别计数，在网管系统的配合下，实现针对各种攻击的阀值告警分别输出，提高运维部门的故障定位和解决效率，以降低运营成本。

用户控制方面，DHCP PS（DHCP Policy Server）通过建立基于用户物理位置信息的本地数据库，对用户进行认证控制。所谓用户物理位置信息就是标识用户所在的设备、端口以及QinQ双层标签 信息，当然，所谓用户是用一个或多个MAC地址来识别的。用这种方法限制了私拉盗接和用户串用等问题，从而减轻了运维压力，保护了合法用户的权益，为营运 增收提供可能。

此外，可在DHCP+报文中引入多个灵活的Option字段，满足不同场合的用户需求。例如对于存在多个终端同时使用DHCP的场合，在DHCP +报文中引入Option60以区分终端类型。DHCP PS通过识别Option60选项实现对不同的终端分配不同的地址空间功能。

图-1显示了DHCP+用于城域网接入认证的应用场景。在此解决方案中，Internet业务以原有PPPoE方式通过BRAS设备接入， VoIP、VoD、BTV等业务以DHCP+认证方式接入用户。我们以BTV业务为例，分析一下DHCP+接入认证技术是如何实现在认证和安全方面的上述 功能的。

基于DHCP+接入认证技术的BTV组播接入过程

首先我们了解一下城域网中针对BTV业务的配置情况，自家庭网关传送到DSLAM上的BTV组播业务的PVC，在DSLAM设备上全部映射到组播VLAN 中，在UPE上终结IGMP报文，然后在UPE和NPE以及核心层部署组播路由协议PIM-SSM或者PIM-SM/DM。在UPE设备上配置DHCP Relay功能、DHCP Snooping功能、Option82功能以及相应的报文检查功能，在DSLAM设备上如果功能支持也可以配置DHCP Snooping功能、Option82功能。

客户享受组播服务之前，STB通过两次握手，向DHCP PS申请IP地址的过程：

1、客户端广播DHCP Discover报文，以发现DHCP PS，UPE依据DHCP Snooping功能捕获此报文，并插入Option82，然后把报文中继到DHCP PS。Option82是DHCP报文中的一个选项字段，它携带了DHCP请求报文入端口信息、QinQ双层标签以及UPE设备名称等信息，此选项内容因 生产厂家而略异。如果DSLAM设备配置上述功能，Option82在DSLAM设备插入，则在UPE上通过配置可以重新插入自己的Option82信 息，也可以直接透传DSLAM设备上的Option82信息。

2、DHCP PS收到报文后，通过读取Option82信息分离出其中的设备端口信息、QinQ双层标签等标识用户物理位置的信息，然后将此信息与DHCP PS上的用户数据库相应信息比较。不一致，则DHCP PS不做任何响应；一致，则DHCP PS回送一个DHCP Offer报文。其中含有一个IP地址和携带原有Option82信息，其中的数据库信息是运营商开户时根据用户所在设备端口、QinQ双层标签信息录入 的，供DHCP PS认证用户的数据。

3、此报文通过UPE时，被剥离Option82，从相应的Vlan和端口送出，STB收到后，广播DHCP Request报文，以通知其它未选中的DHCP PS和询问被选中的DHCP PS其它的配置选项，如DNS、网关地址等。

4、此报文在UPE上同样做Option82插入处理并向DHCP PS中继，DHCP PS收到此报文后，将回送一个DHCP ACK报文，其中包括用户IP、网关、DNS等配置信息以及IP租约信息，并携带Option82信息。

5、UPE收到此报文，剥离Option82信息后向STB转发此报文，同时根据报文内容和Option82完成建立DHCP+ Snooping绑定表项。STB收到DHCP ACK报文后，广播一个免费ARP报文，确认自己使用的IP地址没有与其它用户冲突后，开始使用此IP地址，与此同时在DHCP PS上根据配置决定是否将该用户的MAC地址和其用户数据库信息绑定，作为用户再次接入的认证条件。

至此用户与DHCP PS的报文交互完成，客户终端开始发送IGMP请求报文，申请加入组播组，加入成功后，组播业务流开始接入到BTV客户终端。

另外，DHCP+接入认证技术也可以用于运营商的园区网和大客户接入场合，组网模式如图-2所示，其中核心设备可以是三层或者二层交换机，接入过程和原理 与上述相同。用户认证接入之后通过防火墙NAT功能访问Internet和享受其它服务，用于满足小区宽带业务经营者需求、集团用户的个性化需求，也给用 户接入和安全互访带来便利。

DHCP PS对接入用户的控制

DHCP PS在收到自客户终端的DHCP Discover报文后，将依据报文中Option82描述的UPE设备、所在端口、QinQ双层标签信息与开户时录入的用户物理位置数据库信息对照，根 据结果进行下一动作，用户再次认证上线时，DHCP PS将根据用户MAC和录入的用户物理位置数据库信息唯一标识用户。DHCP PS用这种方法对用户做接入权限认证，防止用户私接盗用问题，增强用户控制。如图-1中红色箭头所示，同一个用户从UPE/DSLAM/LAN设备的不同 Vlan接口接入被拒绝分配IP地址，不同的用户从相同UPE/DSLAM/LAN设备Vlan接口接入也被拒绝分配IP地址。

在UPE/LAN上建立DHCP+ Snooping绑定表项内容如表-1所示（各厂家内容略有不同）。其中接口信息正是分析DHCP+ ACK报文中Option82获取的。

Mac addr	IP addr	Lense（s）	Type	Outside-Vlan	Inside-Vlan	Interface
00:02:98:F4:D2:C1	10.110.98.75	060820-1050	STATIC	100	1100	Ethernet4/0/0

表-1 DHCP+ Snooping绑定表

DHCP+接入认证技术应对攻击策略

在采用传统DHCP协议时，用户和服务器可能面临各种各样的攻击和仿冒，DHCP+接入认证技术根据不同攻击类型，提供不同应对策略，见表-2。

攻击类型	DHCP+接入认证技术防攻击策略
DHCP Server仿冒者攻击	端口上设置信任(Trusted)和不信任(Untrusted)工作模式
中间人攻击	通过DHCP Snooping绑定表对攻击报文匹配过滤
IP/MAC Spoofing攻击	通过DHCP Snooping绑定表对攻击报文匹配过滤
改变CHADDR值的DoS攻击	检查DHCP报文的CHADDR字段

表-2 攻击类型与防攻击策略对应表

所谓DHCP Server仿冒攻击，就是DHCP Server仿冒者通过UPE的其它业务端口发送DHCP Responses （offer、ack、nak）报文给DHCP Client，使其获取错误的IP、网关地址等，达到DoS（Deny of Service）的目的。DHCP+接入认证技术通过仅在接到DHCP PS方向的接口上设置DHCP Snooping“信任”模式，对于“不信任”端口上收到的DHCP Responses报文将直接丢弃，以此达到隔离DHCP Server仿冒者的目的。

中间人攻击是指中间人向客户端发带有自己MAC和服务器IP的报文，又同时向服务器发带有自己MAC和客户端IP的报文，最终使客户端和服务器分别学到自 己的IP和MAC，使服务器发到客户端的报文都会经过中间人。IP/MAC Spoofing攻击是指攻击者向服务器发送带有合法用户IP和MAC的报文，使服务器误以为已经学到这个合法用户的IP和MAC，但真正的合法用户不能 从服务器获得服务。为隔离中间人攻击与IP/MAC Spoofing攻击，DHCP+接入认证技术使用UPE设备上生成的DHCP Snooping绑定表对接口收到的报文进行检查。如果接口收到ARP或者IP报文，就用报文中的“源IP+源MAC”去匹配DHCP Snooping绑定表，如果绑定表中没有匹配项就丢弃该报文，否则正常转发，通过这样匹配方式，不仅可以防止上述攻击，也防止了设置静态IP的用户和 IP盗用者。

对于DHCP饿死攻击（所谓饿死攻击是指攻击者通过不断变换用户物理地址，尝试申请DHCP域中所有的IP地址，以耗尽DHCP Server地址池资源，导致其他正常用户无法获得地址，达到DoS的目的。），我们可以在DSLAM/LAN端口上设置MAC Limit数量来限制此类攻击。但攻击者倘若改变的不是数据帧头部的源MAC，而是改变DHCP报文中的CHADDR（Client Hardware Address）值来不断申请IP地址。那么“MAC地址限制”方案显然是行不通的。为保证业务的安全性，DHCP+接入认证技术检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配，便转发报文；否则，丢弃报文，有效阻止这类攻击。

DHCP+接入认证技术的客观局限性

DHCP+接入认证技术优势主要体现在其组播支持方面。众所周知，组播复制点越接近用户越能节省带宽，而组播复制点一般部署在二层和三层网络的分界线。这 就意味着DHCP+接入认证技术组播优势要充分体现，城域网络必须是三层路由到边缘的组网模式。倘若将来视频分发以P2P技术为主，其组播优势便无用武之 地。

DHCP+接入认证技术尚处于其发展初期阶段，协议相关标准还没有最终制定，厂家之间的实现标准尚不统一，使其进一步发展完善受限。DHCP+接入认证技 术目前仅仅适用于包月制收费方式，很难做到根据流量和时长进行计费，从而对用户的不可控因素较多，Internet业务的Wholesale销售模式也难 以进行，这些都是任何运营商所不愿看到的。而且由于其开放性特点，其接入的安全性尚需接受更多的验证和考验。

因而这种接入方式有很大局限性，目前阶段仅适用于小规模部署的部分业务，例如利用傻终端接入的BTV业务，并不能取代PPPoE实现其它业务类型的接入管理。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

DHCP+ 解决了PPPoE认证中的PPP包封装和隧道问题，适应IPTV等流媒体业务组播复制的需要。

组播复制问题实际上是组播复制点的选择问题。组播复制点即用户IGMP请求的终结点。在组播复制点，网络设备根据端口是否有IGMP请求向端口 复制组播流。组播复制点越接近用户越能节省网络带宽。由于传统的PPPoE的接入方式，使得组播复制点最低只能在BRAS设备上，在某些地市的城域网中， BRAS往往在汇聚层的层次位置，并下联了几千数量级的用户，这样高层次的组播复制点必然带来大量的重复流量，这本身是与组播协议的初衷相悖的。同时，虽 然BRAS经过多年的发展，性能上已经得到了长足的进步，但是如果需要BRAS设备能够支持到上千组播流的复制还是一个重大的挑战。因此，目前各运营商和 厂商均不推荐PPPoE+BRAS，这种方式已经不适合在IPTV承载网络上作为接入认证技术；而在IPTV的应用场景下以DHCP为基础扩展为接入认证 方式在IPTV的承载网络上显示出了蓬勃的生命力，并越来越被运营商普遍认可和接受。