基于DHCP的宽带多业务接入认证与地址管理解决方案.ppt
《基于DHCP的宽带多业务接入认证与地址管理解决方案.ppt》由会员分享,可在线阅读,更多相关《基于DHCP的宽带多业务接入认证与地址管理解决方案.ppt(56页珍藏版)》请在三一文库上搜索。
1、点击此处添加标题,基于DHCP的宽带多业务接入认证与地址管理解决方案,方案背景 业务需求 建设方案 系统部署 Q&A,议题,方案背景,随着宽带时代的挺进,越来越多的宽带应用被逐步的实现,如宽带上网(有线、无线)、IPTV、VOIP、视频监控等。 但是目前实现这些应用,对于电信运营商而言,仍存在一些问题: 用户端和宽带接入服务器之间仍是点对点的通道,接入和认证方式对于有些个性化业务的开展并不适合;,业务背景描述,从数据网的现状来看,随着承载业务的丰富,特别随着语音、视频的丰富,其他市场范围的发展会成为必然趋势。 IPTV、家庭网关、视频通话、WLAN业务的认证,需要对于现有的认证方式有所突破 I
2、PoE认证方式是大势所趋,DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,即DHCP+认证方式: DHCP + web方式; DHCP + 客户端方式; 利用DHCP+option。,DHCP核心技术及主流方案,DHCP核心技术及主流方案,DHCP(Dynamic Host Configuration Protocol)是TCPIP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址。 DHCP运行分为四个基本过程,分别为请求IP租约、提供IP租约、选择IP租约和确认IP租约。,客户端,服务端,DHCP发现,DHCP提供,DHCP请求,DHCP确认,broadc
3、ast,broadcast,unicast,unicast,客户在物理子网上发送广播来寻找可用的服务器。,DHCP服务器收到IP租约请求,提供一个IP租约。,客户收到一个IP租约提供时,告诉所有其他的DHCP服务器它已经接受了一个租约提供,当DHCP服务器收到来自客户的DHCPREQUEST消息后,它就开始了配置过程的最后阶段。,新一代DHCP技术概念,新发展的DHCP应用系统架构已经改变了传统的技术概念,DHCP仅是前端的一个功能模块,而其后台的策略和权限控制及其与业务系统和营业系统打通的接口构建了一整套完善的可运营的业务流程,除DHCP Client与承载网络设备没有改变之外其他服务器部分
4、完全是新扩展的。 例如,在IPTV解决方案中,系统的DHCP部分是一个逻辑简单的地址分配单元,只是整套系统的一个功能模块,DHCP模块需要的是高性能,而真正复杂的是后台对运营能力起重要作用的完善的地址分配逻辑和地址的管理与回收机制。在实际运营中要能够根据各种不同的策略进行认证授权、地址分配、绑定和解绑定,对用户的移机、拆机、设备及线路维护更换、业务变更、地址盗用、各种攻击以及未知问题等实际运营中会出现的正常需求和来自各方面的风险要有完善的考虑和成熟的解决方案,实际需要的不只是一套地址分配系统,而是一套完善的可运营的系统解决方案。,方案背景 业务需求 建设方案 系统部署 Q&A,议题,IPoE系
5、统并非适合所有业务模式,适合业务模式 IPTV HGW VC WLAN ,NGN业务主要需求,根据OPTION60识别终端设备类型; 根据OPTION60与终端所在子网自动为终端返回其相应的指定软交换服务器地址与端口参数(OPTION176或厂商终端适配),实现终端自动接入配置; 根据OPTION60与终端所在子网和MAC为需要启动配置文件的SIP和H.323终端通过OPTION66或OPTION150返回其相应的指定TFTP服务器参数; 根据OPTION60、OPTION82和MAC按预定义的地址分配策略为终端分配指定的IP地址; 分配IP地址之前对终端的MAC地址进行认证,以防范非法设备入
6、网,防止用户PC或其他用户设备错接网口时获得VoIP网络地址而占用地址资源、影响用户正常上网或病毒等来自用户的安全隐患对SoftSwitch造成攻击; 方便的地址扩容能力,灵活的DHCP RELAY接口与地址池任意组合功能;,IPTV业务需求,基于IPTV业务的特殊性要求,对接入系统的要求如下: 能够支持组播应用的顺利开展,减少运营商在核心网络扩容改造方面的巨额投资; 能够区分不同的终端类型以进行业务分离,顺利支持增值业务的开展; 实现认证流和业务流分离,接入认证和业务认证分离,以提高宽带视频等多媒体增值业务的提供效率; 能够控制同一用户的终端类型及数量,方便运营商对终端设备采取集中式管理,提
7、高自身的运营效率; 具备高并发IP地址请求处理能力,保证所有用户能够顺利登录网络并接受服务; 认证系统必须具有强大的可扩展性和稳定性,能够可靠提供业务并顺应IPTV等新型业务快速发展的趋势。,无线城域网,无线城域网为人们的移动办公提供了便利条件,无线接入时的地址分配亦需要提供一致的便利性。 对于需要按使用时长进行收费的场所可以使用DHCP+CLIENT接入认证方式;不需要收费的场所可以考虑直接使用单纯的DHCP模式分配地址,可以按实际使用的需求来灵活的选用不同的接入策略。 DHCP+CLIENT用户名、密码认证方式下,用户开机即获得一个受限的地址,在使用浏览器访问网络时由网络设备将其重定向到门
8、户网站,可以进行开户注册、登录认证等。,家庭网关,家庭网关管理地址分配; 终端地址分配: 在同一VLAN内挂接多种类型终端时,需要根据Option60分配不同子网地址; 所挂接的终端均通过独立VLAN接入时,需要支持灵活的Option82绑定策略;,宽带业务认证与地址管理现状,1.PC发起PPPOE认证请求,1.启动后发起PPPOE请求,2.DSLAML将报文发到BAS设备,3.BAS发起Radius请求到AAA进行认证,4.根据用户帐号进行认证,5.认证通过后给PC分配地址,DHCP+ VS PPPOE,PPPoE认证方式更适合上网这样需要 能对用户进行实时计费的业务,DHCP+认证方式更适
9、合IPTV这样通过包月方式 进行运营,需要通过组播方式进行开展的业务,针对IPTV等大带宽业务认证与地址管理解决方案,1.启动后发起DHCP请求,2.DSLAML根据用户的位置信息,将DHCP报文增加到OPTION82后发送到DHCPServer,3.把OPTION信息封装到RADIUS扩展字段进行认证,4.根据OPTION信息进行认证,5.认证通过后给PC分配地址,采用集中DHCP带来的好处,外置DHCP,IPoE IPTV vs PPPOE IPTV,BAS,SR,汇聚交换机/OLT,DSLAM/ONU,RG,每用户多PVC接入,IPTV与上网业务采用不同PVC;,IP MAN/PIM域,
10、BAS作为末级组播复制控制点,组播流提供PPPOE以单播的方式推送到STB,RG,Internet,IPTV,汇聚交换机/OLT承载IPTV业务与PPPOE互联网业务没有任何区别,STB,STB为PPPOE客户端,BAS,SR,汇聚交换机/OLT,DSLAM/ONU,RG,每用户多PVC接入,IPTV与上网业务采用不同PVC;,一平面,SR作为组播业务控制网关,RG,汇聚交换机/OLT支持L2组播协议IGMP Snooping功能,STB,STB为DHCP客户端,STB,STB,DSLAM/ONU只需与互联网业务一样透传PPPOE业务,DSLAM/ONU需要支持IGMP,DHCP Relay,
11、支持Option 82,PPPOE IPTV业务网路模型,IPOE IPTV业务网络模型,二平面 PIN 域,IPoE IPTV vs PPPoE IPTV,vlan 3090,带宽的节省: 相对于目前BRAS PPPoE的IPTV组播业务,采用IPoE组播后,SR与汇聚交换机之间的带宽将极大的节省;IPTV用户越多,带宽节省越大;参考右边说明; 组播复制点下移,减轻业务层面SR/BRAS的复制压力;因为在SR上IPoE不是逐用户复制; 由于IPoE省去了PPP协议层,节省了协议头开销,也简化了机顶盒的流量处理开销;,跨vlan复制,BRAS,SR,RG,IP MAN/PIM domain,R
12、G,GE,GE,vlan 3090,vlan 3090,假设有100个组播频道,每个频道2M;,IPTV,假设有1000个用户收看组播频道,则PPPoE模式下,BRAS与汇聚交换机之间需要2G带宽;,IPoE模式下,SR与汇聚交换机之间只需要200M带宽承载全部组播流,与用户数无关,用户数越大,带宽占用越有优势;,组播复制点下移到DSLAM,DSLAM设备需支持跨VLAN组播复制;IGMP snooping/option82插入功能;,汇聚交换机支持vlan/选择性qinq;支持链路捆绑功能(可选);,家庭网关RG工作于桥模式(Bridged);机顶盒启用IPoE+DHCP方式;,SR需支持D
13、HCP RELAY,支持QoS、防DOS攻击、支持PIM协议;,汇聚交换机 /PON-OLT,DSLAM /ONU,RG,RG,GE,GE,GE,GE,二平面 /PIM domain,Internet,IPTV,一平面,IPoE IPTV对各层网络设备功能的要求,对于WLAN、IPTV、家庭网关三种业务是如何支持的?,通过家庭网关划分VLAN来区分不同业务,方案背景 业务需求 建设方案 系统部署 Q&A,议题,保持现有RADIUS用户控制架构不变(兼容PPPoE业务) 采用DHCP动态主机配置机制技术进行IP地址的集中管理与分配 在DSLAM/PON中插入Option82线路信息规程,为接入认
14、证提供物理网络通路的定位信息 利用终端设备MAC地址(Media Access Code介质访问代码)终端固有网络物理属性进行身份识别、鉴权 MAC地址共48位,最大可为280万亿个终端不重复排序, -可称之为:IP指纹 综合上述四种机制单元,“利用Option82线路信息与MAC地址这终端固有物理网络属性进行用户的身份识别、确认后由DHCP主机自动分配网络地址”的方式组成了称之为:IPoE认证体系。,何为IPOE,IPTV认证系统构成,MSE,DHCP Server,UE,AAA,SESSION级IPOE,非SESSION级IPOE,IPoE的演进路线,简单DHCP IPoE,非Sessio
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 DHCP 宽带 业务 接入 认证 地址 管理 解决方案
链接地址:https://www.31doc.com/p-3025306.html