宽带接入认证技术比较与评估

相关专题: 无线
——用户认证对宽带接入的意义

  BRAS(宽带接入服务器)是借鉴窄带接入的成熟运作模式,在数据网络由窄带向宽带演进的趋势下,使宽带网络可以像窄带接入一样运营管理。不像窄带网络尚需要提供PSTN的接入,宽带网络通常已具备完整的接入网络(ADSL、Ethernet、HFC),因此BRAS的主要功能是结合路由器或交换机等网络设备,完成对宽带用户的3A接入控制如下:



(1)认证(Authentication):验证用户的身份与可使用的网络服务。



(2)授权(Authorization):依据认证结果开放网络服务给用户



(3)计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统



  如果没有实现合理的3A接入控制,宽带网络只能提供基于端口、包月制的资费方案,如果没有基于用户身份的认证,也很难建立增值服务的发展空间。因此随着业务竞争越趋激烈,3A接入控制已成为宽带运营商的首要之务。



宽带接入的实现过程



宽带用户3A接入控制的实现过程如下:



  用户端设备-BRAS(AAA Client)-AAA Server(Radius)-Billing System



  一般来讲,从BRAS到AAA Server之间的实现方法都是大同小异,通常采用RADIUS协议,而AAA Server和Billing系统一般采用集中建制,以支持用户漫游和减少建制成本。而目前最困扰运营商的是如何有效实现从用户端设备到BRAS之间的有效连接,目前主要的实现方式有:MAC/VLAN、PPPoE、PPTP/L2TP、802.1x、WEB/VLAN、WEB/IP。



  关于这几种认证方法都有各自的特点,其优缺点在业界也是一个讨论的热点,本文将针对这些技术对它们从实现原理上进行一些探讨。



MAC/VLAN技术评估



  MAC/VLAN是通过用户的MAC地址或VLAN ID来确认用户身份,属于最早期的宽带认证技术。MAC/VLAN的认证不需要客户端软件,也不需要用户输入口令及代号,对用户非常友好。但是由于MAC/VLAN不存在用户登录的认证过程,因此无法计算时长,只能支持包月制的资费方案,同时在推动增值服务时也存在着很大的计费争议,因此本文中不再讨论。



PPPoE技术评估



  PPPoE通常与ATM Router结合成为Broadband RAS,后来开始有厂家在BRAS上提供GB或FE的端口,以支持基于以太网络的宽带接入。PPPoE要求在客户端设置PPPoE客户端软件,从接入认证角度来看,PPPoE与大家熟悉的窄带拨入相同,都是在客户端起一个PPP联机,以拨号方式拨入PPPoE服务器。



  虽然PPPoE技术普遍应用在ADSL接入认证,但是在以太网络上却面临了许多问题:



网络规划问题



  在客户端进行拨号时,首先会发出广播包以找寻PPPoE服务器,待收到响应后即建立PPP连接,因此PPPoE服务器与客户端必须存在一个二层网络。这在ADSL不成问题,因为每个客户端与PPPoE服务器间都存在一个单独的PVC电路。但是在以太网路上,PPPoE服务器却需要与成千上万名客户端在同一个二层网络,而二层网络越大管理越困难,问题也越多。如果每个小区甚至楼宇就使用一个三层网络,却又存在PPPoE服务器的成本与管理问题。



封包分割问题



  通常路由器或客户端的MTU都是设定成1500Byte,由于PPPoE在将IP封包封装在一个Ethernet Frame内,因此封包的Payload就只剩下1492Byte,碰上大小为1500Byte的封包时,就必需将封包分割。根据实际应用的数据显示,封包分割会对路由器及客户端的IP封包传输造成50%以上的额外压力。



客户端CPU负载问题



  由于PPPoE对每一个IP封包都要封装在Ethernet Frame内,因此网络流量越大,耗用客户端的CPU效能就越多。因此对需要高带宽的多媒体应用非常不利。



客户支持问题



  PPPoE技术的另一个问题是客户端必需要有专用软件,不论在安装、设定及升级上都比较复杂,客服成本非常昂贵。虽然这不算一个技术上的问题,但是在实施上却有可能造成很大的困扰。具体案例是某家拥有70万ADSL用户的电信运营商在客户端使用EnterNet拨号软件。当EnterNet升级时,该运营商在网站上提供免费下载。结果有大约5%的用户在升级时遇到困难,该运营商的客服中心足足忙了几个月才接完电话。
PPTP/L2TP技术评估



  随着VPN技术的发展,开始有运营商考虑使用PPTP/L2TP等技术提供用户接入服务。由于PPTP/L2TP可通过三层网络提供用户接入,因此可以有效解决PPPoE网络规划的困难。同时由于Windows 2000已经内置VPN拨号功能,因此客服成本较低。



  采用VPN来提供宽带接入的确是一个非常有创意的方式,目前大家在观察的是一个本来是企业级的技术方案,当应用在电信服务上是否会有一些无法预见的问题。到目前为止,已发现的问题大致跟PPPoE类似:



封包分割问题



  PPTP是将IP封包封装在GRE封包内,L2TP是将IP封包封装在UDP封包内。跟PPPoE类似,当碰上大小为1500Byte的封包时都需要分割,对路由器及客户端的IP封包传输造成50%以上的额外压力。



客户端CPU负载问题



  PPTP与L2TP跟PPPoE类似,都要占用客户端的CPU以进行封装的动作。尤其是如果进行加密传输(如IPSec)时,CPU压力更大。对企业VPN来说,保密性高于性能考虑,但是对于宽带运营商来说,是否能够支持多媒体应用是一个很重要的考虑因素。



客户支持问题



  虽然Windows 2000已经内建PPTP/L2TP客户端软件,但是对VPN拨号功能的设定对没有IT支持的普通用户来说仍然是一个比较复杂的问题,因此对用户的支持最终往往还是落到运营商身上,对客服来说仍然有较大的压力。



802.1x技术评估



  不像有线网路通过固定线路连接组建,无线网路的网络空间具有开放性和终端可移动性,因此很难通过固定线路来界定网络。而802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是通过认证和加密来防止非法接入企业无线网络。



  类似PPTP/L2TP,目前大家在观察的是802.1x本来是企业级的技术方案,当应用在电信服务上是否会有一些无法预见的问题。目前已发现的问题如下:



客户端CPU负载问题


  802.1x为了解决无线网络在空中传送的安全性问题,采用了高度的加密规范,需要占用客户端大量的CPU效能以进行加解密。针对这个问题,目前业界的看法是未来802.1x的加解密必需在网卡上通过硬件实现,802.1x才能支持宽带应用与服务。


标准规范问题



  目前802.1x的规范有70%以上都尚未确认,因此目前所有宣称支持802.1x的厂家都是基于猜测来设计产品,运营商部署802.1x的风险仍然很高。此外虽然许多交换机厂商都承诺未来可通过软件升级来支持802.1x,但是大多数交换机的CPU 性能比客户端的Pentium还差,因此业界的看法是未来支持802.1x的交换机必需具备硬件加解密,才具备宽带运营的实用性。



网络规划问题



  根据目前已确认的规范,802.1x认证技术的操作粒度为端口,合法用户接入端口之后端口处于打开状态,因此其它同一端口的用户不需认证即可接入网络。因此在实施上,必需在楼宇层交换机支持802.1x协议。在实施上,这些低价、不具备硬件加解密功能的楼宇层交换机未来是否能够升级支持802.1x,或者升级后能否提供足够的网络性能都是个问题。



客户支持问题


  跟PPPoE、PPTP/L2TP类似,802.1x必需安装特定的客户端软件或是使用Windows XP,对没有IT支持的普通用户来说仍然是一个比较复杂的问题,因此运营商仍然存在相当的客户支持压力。
WEB/VLAN技术评估



  WEB/VLAN技术是从MAC/VLAN改良而来的接入控制技术。当用户尚未完成认证时,用户的VLAN只能到达交换机内置或外接的WEB认证模块。当用户通过认证后,WEB认证模块再命令交换机将用户的 VLAN ID打开。WEB/VLAN技术提供了基于用户身份的认证,在客户端也不需要配置特别的客户端软件。但是WEB/VLAN仍然存在着下述的问题:



实施条件问题



  WEB/VLAN的授权是通过VLAN的开关实施,因此实施的基本条件是每个用户都必需要有一个单独的VLAN,而且要终结在WEB/VLAN交换机上。当已部署的楼宇层交换机不支持VLAN Trunk功能时,就无法实施基于WEB/VLAN的用户认证。



网络规划问题



  WEB/VLAN跟PPPoE类似,要求在客户端与WEB/VLAN服务器存在一个二层网络,二层网络越大管理越困难,问题也越多。如果每个小区甚至楼宇就使用一个WEB/VLAN交换机,却又存在部署成本与管理问题。



开机爆量问题



  这个问题出现在较早期的WEB/VLAN交换机上,主要是因为早期的WEB/VLAN交换机采用外置的WEB认证模块,当用户完成认证后,WEB认证模块必需通过Telnet Script或SNMP Set命令将用户的VLAN打开。由于开机瞬间会有大量用户同时进行认证,造成交换机无法承受大量的命令而产生死机现象。



WEB/IP技术评估



  WEB/IP跟WEB/VLAN技术非常类似,当用户尚未完成认证时,用户的IP只能到达路由器内置的WEB认证模块。当用户通过认证后,WEB认证模块再将用户的IP地址加入WEB/IP路由器的授权表。跟其它技术相比,WEB/IP技术具备了以下的特点:



工程实施



  WEB/IP技术的授权粒度为IP,跟以太驻地网的DHCP架构可以进行无缝连接,因此实施迅速。另外由于采用三层结构,可以将WEB/IP路由器部署在POP点以汇聚多个小区的认证需求,对初期开通率低的城域网可以有效节省建置成本。



客户支持



  WEB/IP不需要特定的客户端软件,客服的工作量大大减少。



网络性能



  WEB/IP没有PPPoE/PPTP/L2TP的封包封装问题,对客户端CPU没有负担,可以有效支持VOD等宽带应用。



封包分割



  WEB/IP没有PPPoE/PPTP/L2TP的封包封装问题,自然也没有因为MTU改变产生的封包分割问题,不会增加路由器或客户端的负担。



  在WEB/IP技术发展的初期,存在一些如对用户上网时间计算不精确、对用户私接无法控制等情况,目前这些问题在一些公司设计的接入控制器上都得到了很好的解决。


摘自《赛迪网》
   

我推荐大家读

轻松参与

VS

表达立场

这是垃圾文章


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子