基于DHCP的宽带多业务接入认证与地址管理解决方案

上传人:m**** 文档编号:585150465 上传时间:2024-09-01 格式:PPT 页数:56 大小:12.70MB
返回 下载 相关 举报
基于DHCP的宽带多业务接入认证与地址管理解决方案_第1页
第1页 / 共56页
基于DHCP的宽带多业务接入认证与地址管理解决方案_第2页
第2页 / 共56页
基于DHCP的宽带多业务接入认证与地址管理解决方案_第3页
第3页 / 共56页
基于DHCP的宽带多业务接入认证与地址管理解决方案_第4页
第4页 / 共56页
基于DHCP的宽带多业务接入认证与地址管理解决方案_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《基于DHCP的宽带多业务接入认证与地址管理解决方案》由会员分享,可在线阅读,更多相关《基于DHCP的宽带多业务接入认证与地址管理解决方案(56页珍藏版)》请在金锄头文库上搜索。

1、建议字体字号大标题:字体:微软雅黑字号:40副标题:字体:微软雅黑字号:28点击此处添加标题基于DHCP的宽带多业务接入认证与地址管理解决方案建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20方案背景业务需求建设方案系统部署Q&A议题建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20方案背景随着宽带时代的挺进,越来越多的宽带应用被逐步的实现,如宽带上网(有线、无线)、IPTV、VOIP、视频监控等。但是目前实现这些应用,对于电信运营商而言,仍存在一些问题:用户端和宽带接入服务器之间仍是点对点的通道,接入和认证方式对于有些个性化业务的开展并不适合;

2、建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20业务背景描述从数据网的现状来看,随着承载业务的丰富,特别随着语音、视频的丰富,其他市场范围的发展会成为必然趋势。IPTV、家庭网关、视频通话、WLAN业务的认证,需要对于现有的认证方式有所突破IPoE认证方式是大势所趋建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,即DHCP+认证方式:DHCP+web方式;DHCP+客户端方式;利用DHCP+option。DHCP核心技术及主流方案建议字体字号小标题:字体:微软雅黑字号

3、:28正文:字体:微软雅黑字号:20DHCP核心技术及主流方案DHCP(DynamicHostConfigurationProtocol)是TCPIP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址。DHCP运行分为四个基本过程,分别为请求IP租约、提供IP租约、选择IP租约和确认IP租约。客户端客户端客户端客户端服务端服务端服务端服务端DHCP发现发现DHCP提供提供DHCP请求请求DHCP确认确认broadcastbroadcastunicastunicast客户在物理子网上发送客户在物理子网上发送广播来寻找可用的服务广播来寻找可用的服务器。器。DHCPDHCP服务器收到服务器收到

4、IPIP租约租约请求,提供一个请求,提供一个IPIP租约。租约。客户收到一个客户收到一个IPIP租约提租约提供时,告诉所有其他的供时,告诉所有其他的DHCPDHCP服务器它已经接受服务器它已经接受了一个租约提供了一个租约提供当当DHCPDHCP服务器收到来自服务器收到来自客户的客户的DHCPREQUESTDHCPREQUEST消消息后,它就开始了配置息后,它就开始了配置过程的最后阶段。过程的最后阶段。建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20新一代DHCP技术概念l新发展的DHCP应用系统架构已经改变了传统的技术概念,DHCP仅是前端的一个功能模块,而其后台的策

5、略和权限控制及其与业务系统和营业系统打通的接口构建了一整套完善的可运营的业务流程,除DHCPClient与承载网络设备没有改变之外其他服务器部分完全是新扩展的。l例如,在IPTV解决方案中,系统的DHCP部分是一个逻辑简单的地址分配单元,只是整套系统的一个功能模块,DHCP模块需要的是高性能,而真正复杂的是后台对运营能力起重要作用的完善的地址分配逻辑和地址的管理与回收机制。在实际运营中要能够根据各种不同的策略进行认证授权、地址分配、绑定和解绑定,对用户的移机、拆机、设备及线路维护更换、业务变更、地址盗用、各种攻击以及未知问题等实际运营中会出现的正常需求和来自各方面的风险要有完善的考虑和成熟的解

6、决方案,实际需要的不只是一套地址分配系统,而是一套完善的可运营的系统解决方案。建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20方案背景业务需求建设方案系统部署Q&A议题建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE系统并非适合所有业务模式适合业务模式IPTVHGWVCWLAN建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20NGN业务主要需求1.根据OPTION60识别终端设备类型;2.根据OPTION60与终端所在子网自动为终端返回其相应的指定软交换服务器地址与端口参数(OPTION176或厂商终端适配),

7、实现终端自动接入配置;3.根据OPTION60与终端所在子网和MAC为需要启动配置文件的SIP和H.323终端通过OPTION66或OPTION150返回其相应的指定TFTP服务器参数;4.根据OPTION60、OPTION82和MAC按预定义的地址分配策略为终端分配指定的IP地址;5.分配IP地址之前对终端的MAC地址进行认证,以防范非法设备入网,防止用户PC或其他用户设备错接网口时获得VoIP网络地址而占用地址资源、影响用户正常上网或病毒等来自用户的安全隐患对SoftSwitch造成攻击;6.方便的地址扩容能力,灵活的DHCPRELAY接口与地址池任意组合功能;建议字体字号小标题:字体:微

8、软雅黑字号:28正文:字体:微软雅黑字号:20IPTV业务需求基于IPTV业务的特殊性要求,对接入系统的要求如下:1.能够支持组播应用的顺利开展,减少运营商在核心网络扩容改造方面的巨额投资;2.能够区分不同的终端类型以进行业务分离,顺利支持增值业务的开展;3.实现认证流和业务流分离,接入认证和业务认证分离,以提高宽带视频等多媒体增值业务的提供效率;4.能够控制同一用户的终端类型及数量,方便运营商对终端设备采取集中式管理,提高自身的运营效率;5.具备高并发IP地址请求处理能力,保证所有用户能够顺利登录网络并接受服务;6.认证系统必须具有强大的可扩展性和稳定性,能够可靠提供业务并顺应IPTV等新型

9、业务快速发展的趋势。建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20无线城域网无线城域网为人们的移动办公提供了便利条件,无线接入时的地址分配亦需要提供一致的便利性。对于需要按使用时长进行收费的场所可以使用DHCP+CLIENT接入认证方式;不需要收费的场所可以考虑直接使用单纯的DHCP模式分配地址,可以按实际使用的需求来灵活的选用不同的接入策略。DHCP+CLIENT用户名、密码认证方式下,用户开机即获得一个受限的地址,在使用浏览器访问网络时由网络设备将其重定向到门户网站,可以进行开户注册、登录认证等。建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字

10、号:20家庭网关1.家庭网关管理地址分配;2.终端地址分配:在同一VLAN内挂接多种类型终端时,需要根据Option60分配不同子网地址;所挂接的终端均通过独立VLAN接入时,需要支持灵活的Option82绑定策略;建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20宽带业务认证与地址管理现状1.PC1.PC发起发起PPPOEPPPOE认证请认证请求求1.1.启动后发起启动后发起PPPOEPPPOE请求请求2.DSLAML2.DSLAML将报将报文发到文发到BASBAS设设备备3.BAS3.BAS发起发起RadiusRadius请求到请求到AAAAAA进行认进行认证证4.

11、4.根据用户帐根据用户帐号进行认证号进行认证5.5.认证通过后认证通过后给给PCPC分配地址分配地址建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20认证方式认证方式PPPoEPPPoE认证认证DHCP+DHCP+认证认证接入控制PPP连接DHCP Option 82DHCP Option 60客户端支持支持目前STB支持DHCP Option 60的相对较少组播支持不支持支持业务流封装开销单播VoD为PPP封装组播为以太网封装以太网封装IP地址分配方式IPCPDHCP IP地址分配流程先认证后分配IP通过DHCP Option 82& 60进行认证协议标准标准协议非标

12、准协议与RADIUS Server配合 标准协议非标准协议附加设备RADIUS ServerDHCP Server用户异常离线检测时间 快较慢DHCP+ VS PPPOEPPPoE认证方式更适合上网这样需要能对用户进行实时计费的业务DHCP+认证方式更适合IPTV这样通过包月方式进行运营,需要通过组播方式进行开展的业务建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20针对IPTV等大带宽业务认证与地址管理解决方案1.启动后发起启动后发起DHCP请求请求2.DSLAML根据用户的位置信息,将根据用户的位置信息,将DHCP报文增加到报文增加到OPTION82后发送到后发送到

13、DHCPServer3.把把OPTION信息封装到信息封装到RADIUS扩展字段进行认扩展字段进行认证证4.根据根据OPTION信息信息进行认证进行认证5.认证通过后给认证通过后给PC分配分配地址地址建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20采用集中DHCP带来的好处内置DHCP外置DHCP性能/容量并发数约为350sessions/sec;容量为几万级并发数大约为2100sessions/sec;容量为百万级地址规划/管理 地址规划按照PPPoE模式;地址调整变更困难;只能通过CLI方式进行配置和管理 管理功能强,地址规划和调整容易;可通过GUI和CLI方式进

14、行配置和管理 对option值支持 对option值支持有限,大部分服务器都不支持option60值 对option值支持程度高,支持常用的option值,例如option60,82等 冗余备份机制不具备 具备冗余备份机制,支持1:1,有些系统支持N:1 扩展/安全/可靠性扩展性弱,安全/可靠性依靠MSE本身 扩展性高,扩容容易;具有安全机制;可靠性程度高 外置DHCP建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE IPTV vs PPPOE IPTVBASSR汇聚交换机/OLTDSLAM/ONURG每用户多PVC接入,IPTV与上网业务采用不同PVC;IP

15、 MAN/PIM域域BAS作为末级组播复制控制点,组播流提供PPPOE以单播的方式推送到STBRGInternetIPTV汇聚交换机/OLT承载IPTV业务与PPPOE互联网业务没有任何区别STBSTB为PPPOE客户端BASSR汇聚交换机/OLTDSLAM/ONURG每用户多PVC接入,IPTV与上网业务采用不同PVC;一平面一平面SR作为组播业务控制网关RG汇聚交换机/OLT支持L2组播协议IGMP Snooping功能STBSTB为DHCP客户端STBSTBDSLAM/ONU只需与互联网业务一样透传PPPOE业务DSLAM/ONU需要支持IGMP,DHCP Relay,支持Option

16、82PPPOE IPTV业务网路模型IPOE IPTV业务网络模型二平面二平面PIN 域域建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE IPTV vs PPPoE IPTVvlan 3090n带宽的节省:相对于目前BRAS PPPoE的IPTV组播业务,采用IPoE组播后,SR与汇聚交换机之间的带宽将极大的节省;IPTV用户越多,带宽节省越大;参考右边说明;n组播复制点下移,减轻业务层面SR/BRAS的复制压力;因为在SR上IPoE不是逐用户复制;n由于IPoE省去了PPP协议层,节省了协议头开销,也简化了机顶盒的流量处理开销;跨vlan复制BRASSRR

17、GIP MAN/PIM domainRGGEGEvlan 3090vlan 3090假设有100个组播频道,每个频道2M;IPTV假设有1000个用户收看组播频道,则PPPoE模式下,BRAS与汇聚交换机之间需要2G带宽;IPoE模式下,SR与汇聚交换机之间只需要200M带宽承载全部组播流,与用户数无关,用户数越大,带宽占用越有优势;建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20组播复制点下移到DSLAM,DSLAM设备需支持跨VLAN组播复制;IGMP snooping/option82插入功能;汇聚交换机支持vlan/选择性qinq;支持链路捆绑功能(可选);家

18、庭网关RG工作于桥模式(Bridged);机顶盒启用IPoE+DHCP方式;SR需支持DHCP RELAY,支持QoS、防DOS攻击、支持PIM协议;汇聚交换机/PON-OLTDSLAM/ONURGRGGEGEGEGE二平面/PIM domainInternetIPTV一平面IPoE IPTV对各层网络设备功能的要求建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20对于对于WLANWLAN、IPTVIPTV、家庭网关三种业务是如何支持的?、家庭网关三种业务是如何支持的?通过家庭网关划分VLAN来区分不同业务 建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅

19、黑字号:20方案背景业务需求建设方案系统部署Q&A议题建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20保持现有RADIUS用户控制架构不变(兼容PPPoE业务)采用DHCP动态主机配置机制技术进行IP地址的集中管理与分配在DSLAM/PON中插入Option82线路信息规程,为接入认证提供物理网络通路的定位信息利用终端设备MAC地址(MediaAccessCode介质访问代码)终端固有网络物理属性进行身份识别、鉴权MAC地址共48位,最大可为280万亿个终端不重复排序,-可称之为:IP指纹综合上述四种机制单元,“利用Option82线路信息与MAC地址这终端固有物理网

20、络属性进行用户的身份识别、确认后由DHCP主机自动分配网络地址”的方式组成了称之为:IPoE认证体系。何为IPOE建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPTV认证系统构成MSEDHCP Server1.DHCP Discovery2.DHCP Relay3.DHCP Offer4.DHCP Offer5.DHCP Request6.DHCP Request7.DHCP Ack8.DHCP AckUEAAA1.2 ACCEPT1.1 REQUESTSESSION级IPOE非SESSION级IPOE建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅

21、黑字号:20IPoE的演进路线简单简单DHCP IPoE非非Session级级IPoESession级级IPoE业务的安全性、部署能力、可管可控能力业务的安全性、部署能力、可管可控能力 建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE的演进非Session级IPoEMSE/SRDHCP Server1.DHCP Discovery2.DHCP Relay3.DHCP Offer4.DHCP Offer5.DHCP Request6.DHCP Request7.DHCP Ack8.DHCP AckAAA2.1 REQUEST2.2 ACCEPTUE支持DHCP

22、Relay支持DHCP Snooping 将DHCP Option中用户名密码等信息转换成Radius属性根据规则为用户分配IP地址 根据DHCP Server送过来的用户名、密码,进行认证,并返回结果 建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE的演进Session级 IPoEMSEDHCP Server1.DHCP Discovery2.DHCP Relay3.DHCP Offer4.DHCP Offer5.DHCP Request6.DHCP Request7.DHCP Ack8.DHCP AckUEAAA1.2 ACCEPT1.1 REQUEST将

23、DHCP Option中的用户名密码等信息转换成Radius属性,通过AAA认证支持DHCP Relay支持DHCP Snooping;根据规则分配IP地址根据认证请求,提取用户名、密码进行认证; 提取NAS-Port-ID进行用户绑定; IP SESSION建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE的演进方案比较非非Session级级IPoE Session级级IPoE会话控制会话控制总体流程总体流程 改造复杂度改造复杂度 有有session控制,能够实现比控制,能够实现比较精确的时长、流量等计费较精确的时长、流量等计费方式,与方式,与PPPoE类似类

24、似无无session控制,只能根据租约控制,只能根据租约时间进行较粗略按时长计费时间进行较粗略按时长计费MSE设备是整个系统的核心,设备是整个系统的核心,进行接入控制,与进行接入控制,与PPPoE方方式类似。式类似。DHCP Server只完只完成地址分配功能。成地址分配功能。DHCP Server是整个系统的是整个系统的核心,提供认证计费代理以核心,提供认证计费代理以及地址分配功能。设备只要及地址分配功能。设备只要求做求做DHCP Relay和和DHCP Snooping。需要新增需要新增MSE设备,或对现设备,或对现有的设备进行升级,改造的有的设备进行升级,改造的复杂度较大。复杂度较大。只

25、需新增只需新增DHCP系统,并利系统,并利用用SR设备进行设备进行IPoE接入。无接入。无须对现有设备升级,改造复须对现有设备升级,改造复杂度较小。杂度较小。成熟度成熟度 较成熟,基本具备部署的条件较成熟,基本具备部署的条件需设备支持需设备支持建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20用户机顶盒的IPOE认证方式方式方式处理机制处理机制Radius数据库的处理数据库的处理MAC将机顶盒DHCP请求中的S-MAC作为认证信息网关将DHCP请求中的S-MAC转成Radius属性送给Radius进行认证用NAS port id进行用户端口绑定 预置机顶盒MAC信息和对

26、应用户策略Option 82将DHCP option82中的circuit id或circuit id+remote id或remote id作为认证信息(remote id一般为终端MAC)一般由接入设备(OLT/DSLAM)插入option 82,也可由网关插入网关将DHCP请求中的option 82转成Radius属性送给Radius进行认证预置机顶盒线路信息或线路+MAC信息或MAC信息,和对应用户策略MAC Option 60将业务名称(如IPTV)作为 option 60并结合DHCP请求中的S-MAC共同作为认证信息机顶盒上配置option 60,标识业务名称(如IPTV)网关提

27、取DHCP请求中的option 60信息和S-MAC,组成MACoption60字段并转成Radius属性送给Radius进行认证用NAS port id进行用户端口绑定预置机顶盒MAC业务名称信息,和对应用户策略Option61 Option60(建议方式)(建议方式)将机顶盒SN作为option61,业务类型名(如IPTV)作为 option 60,共同作为认证信息机顶盒上配置option61标识SN,option60标识业务名称(如IPTV)网关提取DHCP请求中的option 61和60信息,组成option61option60字段并转成Radius属性送给Radius进行认证用NAS

28、 port id进行用户端口绑定预置机顶盒SN业务名称信息,和对应用户策略将用户名作为option61,业务名称(如IPTV)作为option60, 共同作为认证信息机顶盒上配置option61标识用户名/口令(可以使用和宽带上网相同的用户名/口令), option60标识业务名称(如IPTV)网关提取DHCP请求中的option 61和60信息,组成option61option60字段并转成Radius属性送给Radius进行认证用NAS port id进行用户端口绑定预置用户名业务名称信息,和对应用户策略建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20非SESSI

29、ONS级IPOE用户接入流程建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20SESSIONS级IPOE用户接入流程建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2032在IPoE接入方式下,用户认证并获得业务授权的业务流程如下:1.用户的业务终端发出DHCPDiscover消息,该消息通过二层接入设备中继至SR,二层接入设备可以根据要求在DHCPDiscover中插入Option82,提供用户的线路信息;2.SR保持住用户的DHCPDiscover,提取相关信息(例如MAC、Option82),并利用RADIUS协议与BIAS平台的RADIUS

30、服务器进行交互,对用户进行认证,获取用户的业务控制以及QoS策略;RADIUS服务器基于用户的MAC地址或线路信息对用户进行认证,确定用户的业务类型,并下发相关的业务授权及QoS策略给SR;IPoE业务接入流程建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20333.认证过程完成后,SR将DHCPDiscover转发给BIAS平台的DHCP服务器;4.DHCP服务器与用户终端进行交互,完成动态IP地址分配过程,用户终端获得IP地址,SR将用户的业务控制和QoS策略与该IP地址绑定;5.用户终端可以访问相应的业务系统使用相应的业务,例如NGN电话机可以使用NGN话音业务,

31、IPTV终端可以使用IPTV业务。IPoE业务接入流程建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20IPoE认证体系解决方案除了具备标准IPoE的通用优势外,还充分考虑了:(1 1)安全性)安全性(2 2)业务过渡的平滑性)业务过渡的平滑性(3 3)技术标准的规范性)技术标准的规范性几个因素,在体现技术优势的同时,考虑对业务的支持优势实现IPOE重点考虑建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20(1)IPoE解决方案的安全性考虑接入设备接入设备接入设备接入设备业务路由器业务路由器业务路由器业务路由器DHCP 中继DHCP 中继DHCP

32、 响应DHCP集中认证与集中认证与IP地址管理地址管理RADIUS认证Radius DHCP SnoopingDHCP 响应n认证层面DHCP与RADIUS相结合,解决DHCP的安全问题n采用先认证后分配地址先认证后分配地址的机制,使IPoE具备和PPPoE相同的安全性n确保IPoE体系下的DHCP具备与Radius同等级的安全级别这一特点在国内尚处首创,较为彻底的解决了这一特点在国内尚处首创,较为彻底的解决了DHCP的安全隐患的安全隐患n网络安全性n通过Option82线路信息规程 精确绑定用户线路,防止业务盗用n通过DHCP Snooping地址侦测机制 防止已分配的IP地址被盗用 DHC

33、P Snooping建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20仿冒DHCP SERVER采用VLAN 隔离的方式,实现用户之间的隔离,避免恶意用户私自架设DHCP Server 对其他用户的影响二层网络开启DHCP Snooping,将下行端口配置非信任端口,在非信任端口上不接受DHCP Offer 报文采用DHCP 认证的相应机制,实现DHCP Client 和DHCP Server 间的认证;但此种方式需要Client 端支持相应的Option 及其相关的处理功能。用户DHCP泛洪攻击限制MSE发送过来的Radius 请求速率。要求MSE 设备基于设备级限制

34、每秒只发送一定数量的Radius 请求到Radius Server,可以实现Radius Server 的保护;支持基于用户级限制处理DHCP 请求的数量,实现用户级的控制,有效限制用户的DHCP 泛洪攻击。可以在二层接入网,基于用户的接入端口,限制每用户端口允许的MAC 地址数量,配合进行安全控制。建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20(2)IPoE解决方案充分考虑标准的兼容性充分借鉴WT-146标准规范,确保整个技术方案对国际标准的兼容而WT-146规范中充分考虑了PPPoE的现状,因此首次提出了PPPoE与IPoE的过渡规范,强调了IPoE与PPPoE

35、的并存;IPoE认证体系解决方案同样支持IPoE与PPPoE业务的同平台共存建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20(3)IP地址资源集中分配与管理由于采用了集中式DHCP技术,实现了全网IP地址统一调配、统一管理,简化业务实施部署流程、提高地址的使用率为保障IP地址分配的安全性,IPoE认证机制与RADIUS配合,采用先认证后分配地址,保证地址分配的合理性DHCP技术采用与RADIUS相同的电信级冗余保护机制,保障IP地址分配的可靠性DHCP技术还采用了特定的基于散列优化算法,保证全网用户IP地址分配的高效性、唯一性经严格压力测试,单机可达百万用户级,并支持

36、群组结构,具备电信级特点经严格压力测试,单机可达百万用户级,并支持群组结构,具备电信级特点建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2039 | TiMOS-6.0 workshop | March 2008 (4)现有业务方式的兼容考虑传统上网业务可继续走PPPoE新型宽带业务直接走IPoE可靠原则减少对于现有网络的影响和改造平滑过渡原有宽带上网方式不变,主要针对新增业务稳定原则尽量减少对于现有系统的影响,保持稳定建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2040根据上述需求AIOBS系统建设需要以下几部分:1、DHCPserver模块

37、2、基本协议解析模块3、IP地址数据库管理模块4、策略管理模块5、业务策略下发模块6、Radius改造模块7、唯一在线改造模块8、业务管理模块9、网管监控模块10、统计查询模块11、自服务查询模块业务建设方案建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2041n协议解析要求:主要负责协议的解析、包解析、Option82解析,接收DHCPIP池管理模块返回ip分配信息,获得ip地址,并将获得的IP包组装处理,下发给client端。n统一IP池管理要求:主要IP地址的统一管理和分配,IP地址的回收、续租,数据同步管理等功能。nDHCP系统的基本管理:负责管理SR/BRAS

38、,以及其所管辖的IP地址池;IP地址池记录的增删改查等。DHCP SERVER模块建设建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20DHCP系统功能要求地址分配功能标准DHCP协议地址分配DHCPOPTION属性解析根据OPTION属性进行地址分配(支持OPTION82和OPTION60)根据MAC进行地址分配根据OPTION属性MAC组合进行地址分配自动与手动地址授权绑定不同情况下的解绑定处理灵活组合的地址分配策略完善的地址管理能力多地址池共享功能任意网关与任意地址池灵活绑定地址池业务属性配置与按终端业务类型自动匹配分地址分配地址同时按策略动态返回终端所需OPTI

39、ON建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2043n根据DHCP协议交互过程中所携带的用户物理或逻辑信息,Option61/60标识进行认证。认证服务器系统建设n认证系统与原宽带认证计费系统共用。n针对线路信息等的属性字段进行认证。n具备批量数据割接导入功能。n具备与受理系统和IPTV业务平台对IPOE的用户信息同步功能。认证系统建设建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2044集中策略管理功能的建设n负责SR的控制策略的对应管理,包括策略的增加、修改、删除等功能。策略下发管理系统建设n管理IPOE认证系统的业务策略,并为各业务系

40、统进行策略下发,包括针对Radius认证的认证策略,针对DHCPIP地址资源管理系统的地址分配策略,针对IP地址分配系统动/静态地址分配功能的绑定策略等。策略管理功能建设建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2045nAIOBS系统用户管理系统需按照BSS综合受理系统的账户开户、销户等流程的要求对接入账户进行增、删、改等操作,即设置与外围系统的业务受理接口,实现用户开户、销户、变更等等的相关受理功能;根据设备与网络资源系统的数据同步用户对应的终端MAC地址或DHCP的线路及终端option信息。n机顶盒第一次在IPTV平台完成业务认证时,IPTV平台通知AIOB

41、S系统将此时的接入信息(MAC或option82)记录并绑定为用户识别信息。用户管理系统建设建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2046n新增IPOE业务管理主要包括:OPTION管理、设备管理、业务信息管理、IPOE方式管理等。n新增IPOE在线信息管理系统:记录完善的用户在线信息,对接入的同时在线数进行控制。n新增IPOE综合查询:地址使用情况查询、在线用户查询、故障信息查询、IP地址分配历史信息查询等。n新增IPOE监控告警:地址池监控、系统监控、服务监控、告警管理、告警通知。n新增IPOE综合接口系统:负责IPOE系统平台与外围支撑系统的接口,包括认证

42、接口和受理接口。AIOBS其他模块改造建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2047n本工程建设系统的接口,分为系统内部接口和外部接口两大类:(1)系统内部接口:系统内部各个模块之间的数据流、控制流的数据传递接口。(2)外部接口:本系统与SR系统、BSS受理系统、工单系统、资源管理系统等需建立接口。(3)与BSS系统接口:BSS系统需要将IPTV业务开通信息同步到AIOBS,认证信息需要通过接口同步(采用/OPTION6160方式需要同步用户名IPTV),系统同时支持OPTION82方式。AIOBS系统接口建议字体字号小标题:字体:微软雅黑字号:28正文:字体:

43、微软雅黑字号:2048模块名称模块名称子模块名称子模块名称功能简介功能简介DHCP Server模块模块ip数据管理模块数据管理模块完成完成IP地址池的数据管理功能地址池的数据管理功能ip地址分配策略管理地址分配策略管理对对ip提供集中管理,按一定分配原则,业务,物理位置,用户分配不提供集中管理,按一定分配原则,业务,物理位置,用户分配不同的地址,对地址进行租约管理,可以有效回收再分配;支持静态同的地址,对地址进行租约管理,可以有效回收再分配;支持静态IP地址分配地址分配ip通讯模块通讯模块接收基本协议解析器发送的数据信息,并将接收基本协议解析器发送的数据信息,并将IP分配结果进行返回分配结果

44、进行返回ip缓存数据管理缓存数据管理将将IP地址的分配情况在内存中进行保存。地址的分配情况在内存中进行保存。参数文件管理参数文件管理根据参数文件的定义完成负载分担根据参数文件的定义完成负载分担Dhcp和主备设计,保证系统的节点和主备设计,保证系统的节点都有备份,无单点运行设备。在出现故障时候,备份设备自动接管业都有备份,无单点运行设备。在出现故障时候,备份设备自动接管业务。根据配置的务。根据配置的DNS,下发不同的,下发不同的DNS数据包数据包WEB服务器管理服务器管理支持通过支持通过WEB管理界面对管理界面对IP地址进行查询及配置管理,提供地址进行查询及配置管理,提供web页面页面管理模式,

45、使管理更加人性化,操作简单,方便,进行必要的合法性管理模式,使管理更加人性化,操作简单,方便,进行必要的合法性判断,有效避免人为错误判断,有效避免人为错误DHCP协议协议解析解析数据包接收模块数据包接收模块可接收广播及单播的可接收广播及单播的DHCP数据包格式数据包格式数据包解析模块数据包解析模块将数据包进行格式化后发送到将数据包进行格式化后发送到DHCP Server申请申请IP地址地址OPTION82解析模块解析模块支持支持OPTION82解析,将数据根据配置格式解析成可理解的形式解析,将数据根据配置格式解析成可理解的形式数据包下发处理模块数据包下发处理模块将将DHCP Server分配地

46、址进行下发分配地址进行下发参数配置模块参数配置模块通过配置文件支持负载分担及主备模式通过配置文件支持负载分担及主备模式DNS处理模块处理模块通过配置通过配置DNS,可为不同,可为不同IP地址段,下发不同的地址段,下发不同的DNS业务建设软件模块内容建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:2049IP地址地址资源管理源管理地址空间管理、地址段管理、地址池管理、地址池设备关联管理、地址邦定管理地址空间管理、地址段管理、地址池管理、地址池设备关联管理、地址邦定管理策略管理策略管理模块模块根据不同产品定义不同策略管理内容,定义相应的策略管理内容。根据不同产品定义不同策略管

47、理内容,定义相应的策略管理内容。Radius改改造模块造模块用户认证模块用户认证模块支持使用支持使用OPTION82信息做为用户的认证模式,或使用信息做为用户的认证模式,或使用MAC地址做为用户的认证模式地址做为用户的认证模式业务策略下发业务策略下发根据用户订购的不同策略模块下发相应的策略内容。根据业务根据用户订购的不同策略模块下发相应的策略内容。根据业务需要通过,向不同设备厂商下发需要通过,向不同设备厂商下发COA及及DM指令。指令。LM改造模改造模块块记录完善的用户在线信息。记录完善的用户在线信息。AIOBS改改造造BMS改造,增加对改造,增加对OPTION、设备和业务信息的管理、设备和业

48、务信息的管理综合查询综合查询改造改造增加地址使用情况查询、在线用户查询、故障信息查询、增加地址使用情况查询、在线用户查询、故障信息查询、IP地址分配历史信息查询地址分配历史信息查询统计分析统计分析改造改造增加地址池利用率统计分析、用户地址分配统计分析等增加地址池利用率统计分析、用户地址分配统计分析等监控告警监控告警地址池监控、系统监控、服务监控、告警管理、告警通知等地址池监控、系统监控、服务监控、告警管理、告警通知等综合接口综合接口改造改造改造与改造与BSS的业务受理接口、改造计费帐务接口等,增加与设备的策略管理接口的业务受理接口、改造计费帐务接口等,增加与设备的策略管理接口业务建设软件模块内

49、容建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20DHCP系统架构建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20协议解析服务器协议解析服务器数据库服务器数据库服务器本地认证本地认证/计费服务器(可选)计费服务器(可选)地址分配服务器地址分配服务器业务管理服务器业务管理服务器数据总线数据总线网络连接网络连接三层交换机三层交换机负载均衡设备负载均衡设备产品介绍部署方式建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20总体系统功能及实现建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20系统特点功能特

50、点支持多业务的识别,以及根据业务类型进行地址分配支持多业务的识别,以及根据业务类型进行地址分配多业务支持多业务支持地址分配地址分配支持固定地址、固定地址池、按业务类型、随机等多种地址支持固定地址、固定地址池、按业务类型、随机等多种地址分配方式分配方式多多IPoEIPoE方式方式同时支持同时支持SessionSession级和非级和非SessionSession级级IPoEIPoE方式方式地址管理监控地址管理监控统一的地址池管理、地址池监控、地址池统计功能统一的地址池管理、地址池监控、地址池统计功能OptionOption支持支持支持多种支持多种OptionOption信息,支持信息,支持Opt

51、ionOption模板配置模板配置地址资源管理地址资源管理多地址空间管理,地址池与地址段相结合的管理方式多地址空间管理,地址池与地址段相结合的管理方式建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20系统特点电信级电信级DHCP平台产品平台产品功能功能性能性能安全性安全性高可用性高可用性建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20系统特点高性能地址分配服务器地址分配服务器B内存库内存库内存库内存库数据库服务器数据库服务器关系数据库关系数据库关系数据库关系数据库地址分配服务器地址分配服务器A内存库内存库内存库内存库协议解析服务器协议解析服务器

52、A协议解析服务器协议解析服务器B数据总线数据总线同步同步同步同步负载均衡设备负载均衡设备网络网络管理门户平台管理门户平台地址分配采用内存数据库地址分配采用内存数据库机制机制,在内存数据库与数据在内存数据库与数据库之间采用同步机制库之间采用同步机制,摆脱摆脱系统对数据库的紧依赖性系统对数据库的紧依赖性 数据库异常时,由于有内数据库异常时,由于有内存数据库,地址分配不受存数据库,地址分配不受影响影响 建议字体字号小标题:字体:微软雅黑字号:28正文:字体:微软雅黑字号:20系统特点安全性防伪防伪DHCP服服务器务器在二层设备(交换机)上对每个用户划分在二层设备(交换机)上对每个用户划分VLANVL

53、AN,这样做,这样做到了端口隔离,用户之间不受伪到了端口隔离,用户之间不受伪DHCP SERVERDHCP SERVER的影响的影响在三层网络中,认为网络是由运营商管理的,受控系统,在三层网络中,认为网络是由运营商管理的,受控系统,不考虑伪不考虑伪DHCP SERVERDHCP SERVER的问题的问题 在网络中部署多套在网络中部署多套DHCPDHCP系统时,可采用在三层设备上区系统时,可采用在三层设备上区分做不同的分做不同的DHCP RELAY DHCP RELAY 来避免伪来避免伪DHCP SERVERDHCP SERVER的产生的产生 防地址盗用防地址盗用网络设备上启用网络设备上启用DH

54、CP SNOOPINGDHCP SNOOPING功能,由设备自我学习保存功能,由设备自我学习保存IPIP与与MACMAC地址的对应关系表。对于客户请求,网络设备检查地址的对应关系表。对于客户请求,网络设备检查客户信息是否符合客户信息是否符合IPIP和和MACMAC的对应关系,不符合的客户端将的对应关系,不符合的客户端将被拒绝使用网络,从而达到防止地址盗用的功能。被拒绝使用网络,从而达到防止地址盗用的功能。防流量攻击防流量攻击和耗竭攻击和耗竭攻击DHCPDHCP系统进行限速控制:系统进行限速控制:DHCPDHCP系统按照线路信息对用户数系统按照线路信息对用户数据包数目进行统计,对数目超过阀值的线路,则一定时间据包数目进行统计,对数目超过阀值的线路,则一定时间内做丢弃处理,保证整个内做丢弃处理,保证整个DHCPDHCP系统的稳定安全运行。系统的稳定安全运行。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号