基本介紹
- 中文名:IPoE
- 所屬:網路系統
- 難易度:難
- 用途:網路業務系統
認證簡介,組成部分,安全策略,
認證簡介
OPTION欄位有OPTION60 (RFC2132)和OPTION82 (RFC3046)。其中OPTION60中帶有Vendor和Service Option信息,是由用戶終端發起DHCP請求時攜帶的信息,網路設備只需要透傳即可。其在套用中的作用是用來識別用戶終端類型,從而識別用戶業務類型,DHCP伺服器可以依賴於此分配不同的業務IP位址。而OPTION82信息是由網路設備插入在終端發出的DHCP報文中,主要用來標識用戶終端的接入位置,DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY設備進行插入。
組成部分
(1)IPoE 客戶端部分
包括各種用戶終端設備,產生DHCP訊息,中間設備插入各種DHCP option進行用戶綁定,業務綁定等。
(2)IPoE 寬頻網路網關控制設備(如BRAS或SR)
寬頻網路網關控制設備(Broadband network gateway)進行DHCP訊息到Radius認證訊息的翻譯。與Radius進行認證,授權,計費功能。認證通過後,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。
(3)IPoE業務控制系統
包括Radius/DHCP/Diameter/Webportal等業務系統,能夠動態調整每用戶的頻寬和QoS屬性,針對預付費,流量,時長等提供多種計費手段。做到客戶的可管理控制,可持續盈利,提供差異化的用戶服務。
基於TR101定義的網路架構及WT146定義的IPoE Session 流程,網路邊緣通過設定寬頻業務網關-BNG(Broadband Network Gateway)設備來維護所有用戶的 IP Session,通過 IPoE Session 對用戶進行感知和控制,並實施各種用戶策略(如QoS)。
安全策略
由於IPoE認證本身不像PPPoE認證一樣在網路層面提供唯一的點到點的通信, 所以運營商在部署時,安全問題是需要考慮的主要問題。隨網路技術的發展,家庭網關,網路接入設備(如DSLAM), 寬頻網路網關必須協同工作,增強網路安全性。安全保證策略包括如下方面:
(a) 反地址欺騙
(b)用戶終端數限制
控制每個業務接入點所連線用戶終端的數量。
(c)防DoS攻擊
對於用戶通過傳送大量的DHCP請求,模擬不同MAC 地址的Host請求IP位址,攻擊DHCP Server的情況:
解決方式是DHCP 請求需要得到Radius 伺服器認證通過才能被送到DHCP Server, Radius 設定了用戶的MAC地址和線路號綁定的功能,只有IP位址和線路號在Radius資料庫中才能獲得許可申請用戶的IP位址。
解決方式是在用戶認證通過認證獲得IP位址之前,基於每個用戶設定速率限制功能,設定每秒鐘只有1-2個DHCP數據包能夠通過,降低對Radius Server的壓力。對於Radius Server,對用戶的攻擊模式進行判斷,對來自同一個DSLAM 線路號的Radius請求數量作控制,比方說在1秒內,最多只允許1個Radius請求,如果1分鐘內連續出現多個Radius請求,則認證發生攻擊,直接丟棄Radius數據包。
(d)業務隔離
下行通過VLAN隔離;上行方向除上網業務分配公網地址直接接入外,其它業務(包括網路管理)一律按業務類別分裝在不同VPN內進行傳送。
(e)非法組播源抑制
一般從DSLAM上行的連線埠都會將傳送到組播組的數據過濾掉。在業務控制網關上與DSLAM 下行連線的連線埠上不會開啟PIM協定,組播源不會從業務連線埠接入上來。
(f)連線埠隔離
設定用戶水平分割組,禁止用戶接入連線埠間直接轉發。
