IPoE技术实现I城域网宽带接入.docxVIP

IPoE技术实现IP城域网宽带接入 摘 要：本文从介绍DHCP身份认证方式开始，详细论述的IPoE接入方式在IP城域网中的应用，比较的 传统的PPPoE接入方式和IPoE接入方式各自所具有的特点。并给出了Alcatel-Lucent的IPoE接入方案的设计，最后，也论述了IPoE宽带接入系统所面临的安全威胁，并提出相应的应对策略。 关键词：DHCP IPoE PPPoE 宽带接入  目 录 1 基于DHCP协议的身份认证 - 3 - 2 IPoE协议介绍 - 5 - 2.1 IPoE定义 - 5 - 2.2 IPoE定位 - 6 - 3 Alcatel-Lucent IPoE宽带接入系统实现 - 7 - 3.1 系统组成 - 7 - 3.2 IPoE典型业务流程 - 9 - 3.3 DSLAM改造识别用户 - 9 - 3.4 RADIUS Server的改造 - 11 - 3.5 采用DHCP Server实现身份认证 - 11 - 3.6 部署建议 - 12 - 4 IPOE需要解决的问题 - 13 - 4.1 DHCP溢出攻击和应对策略 - 13 - 4.2 ARP溢出攻击和应对策略 - 14 - 4.3 Session终结管理 - 14 - 5 参考文档 - 15 -  1 基于DHCP协议的身份认证 DHCP本身是一种动态主机配置协议，最初主要针对于LAN应用。通过终端上的DHCP客户端，利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数，对用户端的IP层进行配置。 DHCP协议本身并没有用来认证的功能，但是DHCP可以配合其他技术实现认证，比如DHCP web方式、DHCP 客户端方式和利用DHCP扩展字段进行认证。所有这些方式都统称为DHCP 认证（DHCP 认证本身没有标准），其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序，不需要输入用户名和密码，更适合IPTV这类业务的应用，下文中提到的DHCP 认证特指这种通过OPTION字段来实现认证的机制，也是下面重点介绍的内容。 用来作为认证用的OPTION字段主要为Option60和Option82。其中Option60中带有Vendor和Service Option信息，是由用户终端发起DHCP请求时携带的信息，网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型，从而识别用户业务类型，DHCP服务器可以依赖于此分配不同的业务IP地址。而Option82信息是由网络设备插入在终端发出的DHCP报文中，主要用来标识用户终端的接入位置，比如对于交换机而言，通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号； 在具体认证过程中，DHCP 认证又可分为两种机制： 1） 由支持Option60和Option82的DHCP服务器认证 DHCP服务器上包含有所有合法接入用户的Option82信息，当收到一个DHCP请求报文后，直接利用Option82信息和数据库中的合法信息进行比对，若一致，则认为用户合法，再根据Option60字段分配IP地址。若不一致，则认为用户非法，不分配IP地址。可以看出，DHCP 认证主要是根据用户的物理位置来进行认证的。 2） 由业务网关设备配合RADIUS服务器和DHCP服务器一起认证 当业务网关（如BRAS）收到DHCP请求报文后，把OPTION信息封装到RADIUS的一个扩展字段中送到RADIUS服务器进行认证，若通过则再利用DHCP服务器分配IP地址，否则不给用户分配IP地址。 DHCP Option82信息可以由DHCP Snooping或DHCP Relay设备进行插入，在实际应用中，为了能明确具体用户，通常在接入交换机上利用DHCP Snooping实现Option82信息的插入。 DHCP服务器还可以根据Option82信息制定地址分配策略，如对Option82信息相同的DHCP请求只分配一个IP地址，这样可以有效的防范对DHCP请求DoS攻击，防止DHCP服务器地址池枯竭。 表1是PPPoE认证方式和DHCP认证方式特性比较： 认证方式 PPPoE认证 DHCP认证 接入控制粒度 PPP连接 DHCP Option82+DHCP Option60 客户端支持 支持 目前STB支持DHCP Option60的相对较少 组播支持 不支持 支持 业务流封装开销 单播VoD为PPP封装，组播为以太网封装 以太网封装 IP地址分配方式 IPCP DHCP IP地址分配流程 先认证后分配IP 通过DHCP Option8260进行认证 协议标准 标准协议 非标准协议 与RADIUS Server配合 标准协议 非标准协议 附加设备 R