出于精细化管理的需要,运营商要能对用户进行精确定位,实现可溯源性,便于业务和用户管理。为了实现这个目的,针对PPPOE认证方式的技术手段主要有QINQ、VBAS和PPPOE+等,从目前应用来看,针对上网业务采用QINQ进行用户定位是主流趋势,由于QINQ技术和PPPoE无直接关系,本文中不做重点描述。这里简单介绍一下PPPOE+认证。
PPPoE+方案的原始思路是,DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后,在报文里增加表示用户物理端口号和PVC的PPPoE+ tag。上游BRAS识别出PPPoE+ Tag以后,会把用户的物理位置信息提取出来,用Radius NAS-Port-ID属性发给Radius Server,用来做用户识别和用户管理。
1292925.jpg
PPPoE+的具体流程如下:
1)用户终端发起PPPOE请求,发送PPPOE PADI报文
2)DSLAM捕捉到PADI报文,送给PPPoE Intermediate Agent处理
3)PPPoE Intermediate Agent按照用户的物理位置,把用户的物理位置信息当作VSA(Vendor Specified Attribute)写入PADI报文里。这个VSA,就是PPPoE+ Tag。
4)BRAS收到PADI+VSA以后,给用户回应PADO报文。
5)终端按照正常流程,发送PADR报文,请求MA5200G接入。
6)DSLAM捕捉PADR报文,把PPPoE+ Tag插入到PADR报文里。
7)BRAS接受到PADR+VSA以后,为这个STB分配一个PPP Session ID,把这个PPPoE+ Tag和PPP Session ID绑定起来。
8)BRAS这时可以正常处理PPP流程。PPP流程完成以后,BRAS通过Radius NAS-Port-ID把PPPoE+ Tag发送给IPTV业务系统和Radius Server。
2.2DHCP+认证
DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数,对用户端的IP层进行配置。
DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP+web方式、DHCP+客户端方式和利用DHCP扩展字段进行认证。所有这些方式都统称为DHCP+认证(DHCP+认证本身没有标准),其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码,更适合IPTV这类业务的应用,下文中提到的DHCP+认证特指这种通过OPTION字段来实现认证的机制,也是下面重点介绍的内容。
用来作为认证用的OPTION字段主要为OPTION60和OPTION82。其中OPTION60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号;
1292927.jpg
在具体认证过程中,DHCP+认证又可分为两种机制:
n由支持OPTION60和OPTION82的DHCP服务器认证
DHCP服务器上包含有所有合法接入用户的OPTION82信息,当收到一个DHCP请求报文后,直接利用OPTION82信息和数据库中的合法信息进行比对,若一致,则认为用户合法,再根据OPTION60字段分配IP地址。若不一致,则认为用户非法,不分配IP地址。可以看出,DHCP+认证主要是根据用户的物理位置来进行认证的。
n由业务网关设备配合RADIUS服务器和DHCP服务器一起认证
当业务网关(如BRAS)收到DHCP请求报文后,把OPTION信息封装到RADIUS的一个扩展字段中送到RADIUS服务器进行认证,若通过则再利用DHCP服务器分配IP地址,否则不给用户分配IP地址。
DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入,在实际应用中,为了能明确具体用户,通常在接入交换机上利用DHCP SNOOPING实现OPTION82信息的插入。
DHCP服务器还可以根据OPTION82信息制定地址分配策略,如对OPTION82信息相同的DHCP请求只分配一个IP地址,这样可以有效的防范对DHCP请求DoS***,防止DHCP服务器地址池枯竭。
2.3PPPoE和DHCP认证的比较
下表是PPPOE和DHCP的对比表:
1292929.jpg
由表中可以看出,PPPOE认证和DHCP+认证各有优劣势。对于上网这样需要能对用户进行计时计费的业务,显然PPPOE认证更为合适。而对于IPTV这样主要通过包月方式来运营,而且还需要通过组播方式进行开展的业务,DHCP+认证更适合。
职场 休闲 tcp/ip

0

收藏

上一篇:交换机DHCP服务器中继代理配置... 下一篇:解决方案 多业务接入认证技术白皮...
noavatar_middle.gif
cherishzzz

174篇文章,37W+人气,1粉丝

noavatar_middle.gif

Ctrl+Enter 发布

发布

取消

推荐专栏更多

5366d1f50328a62facbf5db1d91c319a.png
VMware vSAN中小企业应用案例

掌握VMware超融合技术

共41章 | 王春海
¥51.00 346人订阅
订   阅
9d82eccb4e3c371eaeac41193bbef757.png
基于Kubernetes企业级容器云平台落地与实践

容器私有云平台实践之路

共15章 | 李振良OK
¥51.00 595人订阅
订   阅
45862f289339dc922ffda669fd74ad9b.jpg
网工2.0晋级攻略 ——零基础入门Python/Ansible

网络工程师2.0进阶指南

共30章 | 姜汁啤酒
¥51.00 1557人订阅
订   阅
629650e188ddde78b213e564c2e9ebff.jpg
负载均衡高手炼成记

高并发架构之路

共15章 | sery
¥51.00 506人订阅
订   阅
dc6736c5fd50474b5df8b76b040e3d03.jpg
带你玩转高可用

前百度高级工程师的架构高可用实战

共15章 | 曹林华
¥51.00 461人订阅
订   阅

猜你喜欢

我的友情链接 windows 7 安装vmware Java线程:线程的调度-休眠 我们不得不面对的中年职场危机 职场终极密籍--记我的职业生涯 用光影魔术手制作一寸照片(8张一寸) 我的IT职场生涯: 毕业4年,月薪过万 Linux关闭休眠和屏保模式 年薪从0到10万-我的IT职场经验总结 Windows7删除休眠文件hiberfil.sys节省大量C盘空间 致IT同仁 — IT人士常犯的17个职场错误 “跳槽加薪”现象,无奈的职场规则 简述centOS 7系统用户和组的管理及配置 解析DELL R710服务器迁移操作内容 开学季出大事:某教育局丢失3台虚拟机 EVA4400存储虚拟机+数据库数据恢复成功案例 服务器数据恢复通用方法+服务器分区丢失恢复案例 在CentOS7上部署squid缓存服务器及代理功能 EMC 5400服务器raid阵列瘫痪数据恢复成功案例 服务器数据恢复案例 / raid5阵列多块硬盘离线处理方法
f92360e227f9d91cdff7ea95120630ef.png
left-qr.jpg

扫一扫,领取大礼包

0

分享
qr-url?url=https%3A%2F%2Fblog.51cto.com%2Fbaigoogledu%2F182648
cherishzzz
noavatar_middle.gif