华为技术培训教程-接入终端管理方案探讨－浙江电信.ppt

背景 浙江电信市场存在竞争运营商通过“带猫入网”的方式，吸引电信已有宽带客户的转网。对手的这一策略，除了影响中国电信宽带市场占有率，同时还会造成中国电信RTU设备投资的流失。在这种情况下，浙江电信提出要求，希望RTU终端设备能够和电信的网络形成绑定关系，防止用户的随意转网行为，遏制对手的进攻策略。 基于浙江电信Modem绑定的需求，首先限定用户使用PPPoE方式拨号上网，华为公司，提出如下两种可行方案供参考： 方案1－用户域名特征码识别 方案2－PPP扩展参数识别 总体介绍 上述两种方案都需要考虑路由和桥接两种工作模式。 路由模式下，PPPoE拨号由Modem发起，Modem获得公网IP地址，对下分配私网IP地址给PC等家庭网络内部设备。Modem提供路由转发服务。 桥接模式下，PPPoE拨号由PC或者家庭内部路由器发起，拨号发起者获取IP地址。Modem只提供数据通路，不对数据作转发和其它处理。 方案1 － 用户域名特征码识别（路由模式） 路由模式下实现用户域名特征码识别，拨号过程由Modem发起，Modem直接在PPPoE拨号进程中判断用户域名是否与预设值相同（譬如@163.gd），如果不相同，则禁止拨号；否则进入正常拨号流程。 用户域名预设值可以固定写在代码中或者通过CFE写入flash，普通用户不能修改。 方案1 － 用户域名特征码识别（桥接模式） 桥接模式下，PPPoE拨号过程由PC机发起。实现用户域名特征码识别需要Modem能处理PC或路由器的PPPoE报文。在桥接处理流程加入PPP的检测点，首先判断是否是ppp session报文（以太网类型为0x8864），然后解析PPP报文。根据其LCP认证（PAP或CHAP）报文中获取用户名，判断PPP认证报文中的用户域名是否与预设值相同（譬如@163.gd），如果不相同，则截断此次PPPoE拨号。截断PPPoE拨号的方式有多种，最简单的是直接丢弃ppp认证报文。 方案2 － PPP扩展参数识别 通过扩展PPP参数，实现Modem与BAS之间交换私有信息，提供Modem认证BAS的方法，以达到Modem绑定的目的。 实现PPP扩展参数识别功能，需要在LCP协议中扩展一个自定义option项，在PPP的两端必须都能识别此参数。 在LCP Option中扩展一个私有Type（譬如0x66）用于进行BAS身份校验，Data字段定义一为字符串。LCP协商过程中，也可以在LCP心跳报文中，Modem生成一串随机字符（类似于CHAP中的挑战字），通过扩展参数将其发向BAS，BAS通过特定算法对其进行加密（譬如使用用户名作密钥对挑战字加密）并通过此私有参数中将其加密后字符串返回给Modem，Modem使用同样方法加密挑战字后对其作校验，校验不通过则断开PPP连接。 方案2 － PPP扩展参数识别（路由模式） 路由模式下，PPPoE拨号由Modem发起。Modem将自定义option添加到LCP报文中，随机生成Data字符串，BAS对Data字段加密处理后，通过响应报文发回Modem，Modem进行校验后再确定是否允许链路存在。 下图以PPP心跳报文为例说明此过程。此过程也可以做到LCP协商过程中，流程稍有不同。 方案2 － PPP扩展参数识别 桥接模式下，PPPoE拨号过程由PC发起，但Modem需要处理PPPoE报文。在桥接处理流程中加入PPP的检测点，截获并解析PPP报文。如果是上行数据，由Modem在原报文中插入扩展参数，发给BAS进行认证。如果是下行数据，先由Modem进行校验，进而剥掉扩展参数并将其发向PC。 同样以心跳报文为例说明。 总结 － 两种方案对比 HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential 24.AUG 2006 HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential Security Level: Secret 接入终端管理方案探讨 －浙江电信 固网终端产品线 CPE远程监控软件 MODEM绑定运营商方案 CPE远程监控软件 为什么需要CPE远程监控软件 CPE远程监控软件功能 MODEM绑定运营商方案 背景 随着数字家庭的发展，家庭网关逐渐取代RTU, 终端单价随之增加。 终端数量多，采购金额大。但是运营商对终端（如RTU,家庭网关）的采购资金来自于市场部的一次性促销费用，采购的CPE不能作为运营商的固定资产,一次性支出费用高。 目前运营商都是上市公司,投资者对公司的财务状况极为关注.如果运营商将CPE作为固定资产来采购和管理，将目前的一次性促销费用变成固定资产投资，可以极大的改善运营商的财经状况。 主