基于dhcp的宽带多业务接入认证与地址管理解决方案.ppt

* * * * * * * * * * * 单纯的DHCP协议，在设计之初主要是针对简单的局域网应用； 简单的实现地址的分配，实现功能简单，业务部署能力弱，在多业务环境下，无法根据用户特征分配对应的地址段； 在安全性方面没有太多的考虑，容易受到攻击，影响业务正常提供； 在用户方面，无法实现用户的认证、授权、计费； 用户没有session，无法实现基于用户的动态管理和控制； * * * * * * * * * * * * 考虑到业务部署的时候，已经采用的 VLAN 来标识、区分和隔离用户，如： PUPV 已经实现了用户间的隔离。是可以有效防止仿冒DHCP Server 攻击的。建 议采用此种方式。 全网二层网络开启 DHCP Snooping 的工作量较大； DHCP 认证的方式，需 要DHCP Server 和DHCP Client 端进行相应的支持，需要进行额外的开发，并且 用户终端的改造量较大。 * * * * * * * * * * * * * * * * 非SESSIONS级IPOE用户接入流程 SESSIONS级IPOE用户接入流程 * 在IPoE接入方式下，用户认证并获得业务授权的业务流程如下： 1. 用户的业务终端发出DHCP Discover消息，该消息通过二层接入设备中继至SR，二层接入设备可以根据要求在DHCP Discover中插入Option 82，提供用户的线路信息； 2. SR保持住用户的DHCP Discover，提取相关信息（例如MAC、Option 82），并利用RADIUS协议与BIAS平台的RADIUS服务器进行交互，对用户进行认证，获取用户的业务控制以及QoS策略；RADIUS服务器基于用户的MAC地址或线路信息对用户进行认证，确定用户的业务类型，并下发相关的业务授权及QoS策略给SR； IPoE业务接入流程 * 3. 认证过程完成后，SR将DHCP Discover转发给BIAS平台的DHCP服务器； 4. DHCP服务器与用户终端进行交互，完成动态IP地址分配过程，用户终端获得IP地址，SR将用户的业务控制和QoS策略与该IP地址绑定； 5. 用户终端可以访问相应的业务系统使用相应的业务，例如NGN电话机可以使用NGN话音业务，IPTV终端可以使用IPTV业务。 IPoE业务接入流程 IPoE认证体系解决方案除了具备标准IPoE的通用优势外，还充分考虑了： （1）安全性 （2）业务过渡的平滑性 （3）技术标准的规范性 几个因素，在体现技术优势的同时，考虑对业务的支持优势 实现IPOE重点考虑 （1）IPoE解决方案的安全性考虑 接入设备 业务路由器 DHCP 中继 DHCP 中继 DHCP 响应 DHCP 集中认证与 IP地址管理 RADIUS认证 Radius DHCP Snooping DHCP 响应 认证层面DHCP与RADIUS相结合，解决DHCP的安全问题 采用先认证后分配地址的机制，使IPoE具备和PPPoE相同的安全性 确保IPoE体系下的DHCP具备与Radius同等级的安全级别 这一特点在国内尚处首创，较为彻底的解决了DHCP的安全隐患 网络安全性 通过Option82‘线路信息规程’ 精确绑定用户线路，防止业务盗用 通过DHCP Snooping‘地址侦测机制’ 防止已分配的IP地址被盗用 DHCP Snooping 仿冒DHCP SERVER 采用VLAN 隔离的方式，实现用户之间的隔离，避免恶意用户私自架设DHCP Server 对其他用户的影响 二层网络开启DHCP Snooping，将下行端口配置非信任端口，在非信任端口上不接受DHCP Offer 报文 采用DHCP 认证的相应机制，实现DHCP Client 和DHCP Server 间的认证；但此种方式需要Client 端支持相应的Option 及其相关的处理功能。 用户DHCP泛洪攻击 限制MSE发送过来的Radius 请求速率。要求MSE 设备基于设备级限制每秒只发送一定数量的Radius 请求到Radius Server，可以实现Radius Server 的保护；支持基于用户级限制处理DHCP 请求的数量，实现用户级的控制，有效限制用户的DHCP 泛洪攻击。 可以在二层接入网，基于用户的接入端口，限制每用户端口允许的MAC 地址数量，配合进行安全控制。 （2）IPoE解决方案充分考虑标准的兼容性 充分借鉴WT-146标准规范，确保整个技术方案对国际标准的兼容 而WT-146规范中充分考虑了PPPoE的现状，因此首次提出了PPPoE与IPoE的过渡规范，强调了IPoE与PPPoE的并存； IPoE认证体系解决方案同样支持IPoE与PPPoE业务的