摘 要 随着ADSL业务需求的增加,宽带用户标识成为制约ADSL发展的一个问题,特别是在IP DSLAM广泛使用后,用户的位置信息更无法准确识别,本文将针对ADSL接入方式探讨如何标识宽带用户,解决用户标识的问题。
关键词 宽带网 用户标识 宽带接入服务器
0 概述
在传统的窄带接入时代(PSTN/ISDN),互联网用户都是可以标识(称为Calling Station ID)的。所谓标识就是可以根据一些属性来唯一确定用户的身份,其中用户名和密码是两个重要的属性,此外,用户的位置信息也十分重要。在拨号上网时代,电话号码可以标识用户的位置,且具有不可抵赖性,因为用户电话(即拨入的电话号码)的位置不能轻易改变。网络接入服务器(NAS)可以根据主叫号码信息记录用户上网的位置,杜绝了账务纠纷和账号盗用等问题,除此之外,还可以根据主叫号码计费,实现各种个性化的服务。
在宽带接入时代,大多数ADSL运营商(如电信/网通)采用了以太网上的点到点协议(PPPoE)拨号接入的方式。如包月上网,其计费方式相对简单,用户只要通过PPPoE拨入就可以上网了,这样的经营比较粗放,所有用户的收费价格都是统一的,没有个性化服务,当然也不会导致账务纠纷和密码盗用。
但这样的服务方式极大地限制了宽带业务的开展,因为收费一刀切会限制一些用户入网。这些用户上网时间不多,其上网费用可能远不及包月费用,但又渴望使用宽带,为了吸引这些用户,就需要个性化的计费。2002年,上海市电信有限公司推出了有限包月的措施,收到了很好的效果,现在的ADSL有限包月资费80元包60 h,超过部分按照0.05元/min收取,这些政策对ADSL用户的发展起到了很好的推动作用,也使上海市电信有限公司的ADSL产品在激烈竞争的上海宽带接入市场占有了绝对领先的份额。但问题也随之产生,如在某些情况下,有限包月用户可以在包月用户空闲的时候,借用其账号上网,而其本身并不发生费用,这样的话,电信公司在无形中将会损失很大的一笔收入。
目前,上海市电信有限公司的所有ADSL用户已经实现了账号和永久性虚电路(PVC)的绑定,每条PVC就是用户的标识。具体实现方式为:用户发起PPPoE呼叫,宽带接入服务器(BAS)将用户名和密码,以及用户拨入的PVC号送到远端认证拨号接入 用户业务(RADIUS)上进行认证,RADIUS查询数据库,只有用户提供的用户名和密码有效,同时其拨入的PVC与用户名和密码匹配时才允许接入,否则予以拒绝。
这样的方式不仅可以解决账务纠纷,用户不能抵赖其发生的费用,还杜绝了宽带用户账号盗用的问题,因为盗用的账号完全不能在其他的ADSL线路上使用,使电信公司的收入免受损失。
有限包月措施和账号绑定方式如果在全国各运营商推广,将对ADSL发展产生良好的影响,因为只有这样ADSL才是可运营、可管理的,才能推出个性化的区分服务。
但从技术上看,这样的推广是有一定难度的,原因还是用户标识问题,因为单靠用户名和密码来认证用户是不够的,还需要宽带用户标识,即用户的位置信息。
上海之所以能率先实现宽带用户标识,将用户的位置信息(即PVC)也作为认证不可缺少的条件之一,是因为上海全网ADSL均采用了ATM ADSL,从数字用户线接入复用器(DSLAM)到BAS采用ATM网会聚到BAS,或通过光纤直连到BAS,因此用户的PVC从ADSL MODEM经DSLAM、ATM网直接延伸到BAS上,BAS完全能识别用户拨入的端口。
而其他省(市)由于条件的限制(ATM网的规模),从一开始就使用了IP DSLAM,其上行接口不是ATM而是IP。在IP DSLAM中,由于用户的PVC已经在DSLAM上终结,因此从BAS无法确切得到用户从DSLAM上的哪个端口拨入,只能根据用户名和密码认证,因此会带来上述的一系列问题。
1 几种实现宽带用户标识的技术
从发展眼光看,今后IP DSLAM将逐步取代ATM DSLAM,而且这样的趋势越来越明显。如何解决IP DSLAM用户的标识是一个值得探讨的问题。目前实现的技术主要有采用虚拟局域网(VLAN)来标识用户;DSLAM内置BAS、虚拟宽带接入服务器(VBAS)和虚拟媒体访问控制(VMAC)等,其中一些技术仍然在研发之中。
1.1 采用VLAN来标识用户
采用VLAN标识用户与采用PVC来标识用户具有相同的性质,如图1所示。
DSLAM与BAS通过光纤直连或二层交换机会聚后连接BAS,需要BAS靠近用户端,每个用户独自占用一个唯一的无线局域网(WLAN)。在认证时,BAS就会把用户的VLAN发送到RADIUS上,这样就完成了用户的标识工作。
但这样的组网方式也存在一些问题,主要是:
a) 某些IP DSLAM根本无法支持每一用户一个VLAN,只能将若干用户划分到一个VLAN中,因此无法实现用户标识。
b) VLAN标识的长度为12位,也就是VLAN的个数只能是0~4095个,而不像ATM的虚呼叫标识/虚通道识别符(VCI/VPI)可长达24位,因此限制了VLAN使用;而且许多交换机也无法支持4 096个VLAN,而要建一个ADSL的二层会聚网络基本是不可能的。
在目前情况下,要解决VLAN个数受限制的问题,只有依靠多业务传输平台(MSTP)来完成。MSTP的层次介于网络第一层和第二层之间,其特点是对承载业务的透明传输。借助MSTP,可实现以太网/ATM/专线/语音等各种数据的会聚,IP DSLAM可利用MSTP提供的通道将会聚用户接到BAS上,同时保证用户的VLAN直接到达BAS,BAS可以根据VLAN信息来识别用户。
由于采用MSTP的投资比较大,利用MSTP会聚IP DSLAM的数据流量显得效益不高。另外,目前各厂商MSTP之间的标准不统一,互通仍存在一定困难,加之以太网交换机的成本远低于MSTP,所以,各运营商仍然倾向于采用二层交换机会聚IP DSLAM。
1.2 采用DSLAM内置BAS
目前采用DSLAM内置BAS的组网方案在中小城市比较多,内置BAS可以节约采购集中的大型BAS的成本,同时也避免了ATM或以太网二层的穿透和用户标识问题。用户的PPPoE直接在DSLAM的内置BAS上终结,BAS可确切知道用户是从什么端口拨入,因此其标识不存在问题。
采用内置BAS在大型城市一般使用的不多,因为这样会造成城域网的三层节点过多,路由过于复杂,不利于集中管理和IP地址的有效分配。因此大城市仍热衷于采用大型的BAS会聚用户的做法。
1.3 采用VBAS来标识用户
VBAS本身不是一个物理的设备,只是一个协议标准,由中国电信广东研究院提出,提出这个标准的用意也是在于宽带用户标识问题,虽然目前只是一个草案,但其思路是很值得探讨的。
IP DSLAM在DSLAM上终结了ATM PVC,代之以以太网接口,因此到BAS上认证时用户的位置信息已经丧失,如何弥补?VBAS提出了一个方案。
由于采用PPPo E认证,用户PC的媒体访问控制(MAC)地址将被BAS所知晓,但MAC不足以标识用户,因为用户的MAC可能变化(如更换网卡;同一MODEM下多台PC同时拨号等),无法将MAC和用户的位置相对应。但对于IP DSLAM,由于其核心采用了二层MAC交换,因此完全知道用户的MAC地址与ADSL端口的对应关系。根据这个原理,如果BAS能通过询问DSLAM拨入用户的MAC和端口的对应关系就可以知道用户的标识,然后将用户名、密码和标识信息送到RADIUS,就可以判断出用户的位置。如图2所示。
这样的方式适于大规模的IP DSLAM会聚,只要在认证时修改BAS的流程,并在IP DSLAM对软件做适当修改,就可以获取用户的拨入位置的标识信息。如通过二层交换机会聚多个DSLAM时,可将各DSLAM通过VLAN隔离(每DSLAM一个VLAN),然后采用VBAS查询方式实现用户标识查询,解决了VLAN 个数最多只能有4 096个限制的问题。
BAS和DSLAM之间的通信采用了二层通信的方式,即VBAS信息查询和响应数据包直接封装在二层以太网数据帧中,采用协议号0x8200标识。
VBAS的标准还在制定和完善过程中,目前能支持VBAS的DSLAM和BAS还很少,主流的BAS厂商尚不能支持这个标准。
1.4 采用VMAC来标识用户
VMAC即MAC地址转换,MAC地址本身是计算机所固有的,在PPPoE拨号中,PPP数据包被封装在二层的MAC数据包中传递,无论PC和BAS均需要有MAC地址,在VBAS中已经谈到MAC是无法区分用户的,因为用户的MAC是杂乱无章的,RADIUS无法区分MAC地址。
在VMAC解决方案中,DLSAM根据特定的规则将用户的MAC地址替换成特定的、具有一定格式和含义的MAC地址,如图3所示。
如用户进行PPPoE拨号,每个数据包的源地址是发起呼叫用户的MAC地址信息,MAC转换巧妙地对用户的MAC进行了更改,替换了MAC地址中的某些部分,这样从MAC地址中就可以知道用户的位置信息,如果用户低位MAC重复,还可以根据增加冲突位的方法解决。
在用户PPPoE拨号后,BAS可得到用户拨入的MAC地址(经过VMAC替换后),将规范后的MAC地址连同用户名和密码交RADIUS认证,RADIUS就很容易分析得到用户的拨入位置信息,从而达到用户标识的目的。
VMAC的标准目前也正在研究中,尚未形成统一的规范,同时实现也有一定难度,但其先进的思想非常值得借鉴。
2 结束语
宽带用户标识是一个很重要的问题,实现的方式也较多。宽带用户标识不仅可用于一般的ADSL用户,还可进一步扩展到LAN用户和VDSL用户,这些用户归根到底都是以太网用户,其标识问题也同样值得探讨和研究。随着电信竞争的激烈,推出区分服务势在必然行,宽带用户标识信息也将会被各大运营商所采用,成为宽带规划中需要考虑的一个不可缺少的因素。
摘自《邮电设计技术》