基于DHCP的寬帶多業(yè)務(wù)接入認(rèn)證與地址管理解決方案

點(diǎn)擊此處添加標(biāo)題基于DHCP的寬帶多業(yè)務(wù)接入認(rèn)證與地址管理解決方案方案背景業(yè)務(wù)需求建設(shè)方案系統(tǒng)部署Q&A議題精選ppt方案背景

隨著寬帶時(shí)代的挺進(jìn)，越來(lái)越多的寬帶應(yīng)用被逐步的實(shí)現(xiàn)，如寬帶上網(wǎng)（有線、無(wú)線）、IPTV、VOIP、視頻監(jiān)控等。 但是目前實(shí)現(xiàn)這些應(yīng)用，對(duì)于電信運(yùn)營(yíng)商而言，仍存在一些問(wèn)題：用戶(hù)端和寬帶接入服務(wù)器之間仍是點(diǎn)對(duì)點(diǎn)的通道，接入和認(rèn)證方式對(duì)于有些個(gè)性化業(yè)務(wù)的開(kāi)展并不適合；精選ppt業(yè)務(wù)背景描述從數(shù)據(jù)網(wǎng)的現(xiàn)狀來(lái)看，隨著承載業(yè)務(wù)的豐富，特別隨著語(yǔ)音、視頻的豐富，其他市場(chǎng)范圍的發(fā)展會(huì)成為必然趨勢(shì)。IPTV、家庭網(wǎng)關(guān)、視頻通話、WLAN業(yè)務(wù)的認(rèn)證，需要對(duì)于現(xiàn)有的認(rèn)證方式有所突破IPoE認(rèn)證方式是大勢(shì)所趨………精選pptDHCP協(xié)議本身并沒(méi)有用來(lái)認(rèn)證的功能，但是DHCP可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證，即DHCP+認(rèn)證方式：

DHCP+web方式；

DHCP+客戶(hù)端方式；利用DHCP+option。

DHCP核心技術(shù)及主流方案精選pptDHCP核心技術(shù)及主流方案DHCP（DynamicHostConfigurationProtocol）是TCP／IP協(xié)議簇中的一種，主要是用來(lái)給網(wǎng)絡(luò)客戶(hù)機(jī)分配動(dòng)態(tài)的IP地址。

DHCP運(yùn)行分為四個(gè)基本過(guò)程，分別為請(qǐng)求IP租約、提供IP租約、選擇IP租約和確認(rèn)IP租約?？蛻?hù)端服務(wù)端DHCP發(fā)現(xiàn)DHCP提供DHCP請(qǐng)求DHCP確認(rèn)broadcastbroadcastunicastunicast客戶(hù)在物理子網(wǎng)上發(fā)送廣播來(lái)尋找可用的服務(wù)器。DHCP服務(wù)器收到IP租約請(qǐng)求，提供一個(gè)IP租約?？蛻?hù)收到一個(gè)IP租約提供時(shí)，告訴所有其他的DHCP服務(wù)器它已經(jīng)接受了一個(gè)租約提供當(dāng)DHCP服務(wù)器收到來(lái)自客戶(hù)的DHCPREQUEST消息后，它就開(kāi)始了配置過(guò)程的最后階段。精選ppt新一代DHCP技術(shù)概念新發(fā)展的DHCP應(yīng)用系統(tǒng)架構(gòu)已經(jīng)改變了傳統(tǒng)的技術(shù)概念，DHCP僅是前端的一個(gè)功能模塊，而其后臺(tái)的策略和權(quán)限控制及其與業(yè)務(wù)系統(tǒng)和營(yíng)業(yè)系統(tǒng)打通的接口構(gòu)建了一整套完善的可運(yùn)營(yíng)的業(yè)務(wù)流程，除DHCPClient與承載網(wǎng)絡(luò)設(shè)備沒(méi)有改變之外其他服務(wù)器部分完全是新擴(kuò)展的。例如，在IPTV解決方案中，系統(tǒng)的DHCP部分是一個(gè)邏輯簡(jiǎn)單的地址分配單元，只是整套系統(tǒng)的一個(gè)功能模塊，DHCP模塊需要的是高性能，而真正復(fù)雜的是后臺(tái)對(duì)運(yùn)營(yíng)能力起重要作用的完善的地址分配邏輯和地址的管理與回收機(jī)制。在實(shí)際運(yùn)營(yíng)中要能夠根據(jù)各種不同的策略進(jìn)行認(rèn)證授權(quán)、地址分配、綁定和解綁定，對(duì)用戶(hù)的移機(jī)、拆機(jī)、設(shè)備及線路維護(hù)更換、業(yè)務(wù)變更、地址盜用、各種攻擊以及未知問(wèn)題等實(shí)際運(yùn)營(yíng)中會(huì)出現(xiàn)的正常需求和來(lái)自各方面的風(fēng)險(xiǎn)要有完善的考慮和成熟的解決方案，實(shí)際需要的不只是一套地址分配系統(tǒng)，而是一套完善的可運(yùn)營(yíng)的系統(tǒng)解決方案。精選ppt方案背景業(yè)務(wù)需求建設(shè)方案系統(tǒng)部署Q&A議題精選pptIPoE系統(tǒng)并非適合所有業(yè)務(wù)模式適合業(yè)務(wù)模式IPTVHGWVCWLAN…精選pptNGN業(yè)務(wù)主要需求根據(jù)OPTION60識(shí)別終端設(shè)備類(lèi)型；根據(jù)OPTION60與終端所在子網(wǎng)自動(dòng)為終端返回其相應(yīng)的指定軟交換服務(wù)器地址與端口參數(shù)（OPTION176或廠商終端適配）,實(shí)現(xiàn)終端自動(dòng)接入配置；根據(jù)OPTION60與終端所在子網(wǎng)和MAC為需要啟動(dòng)配置文件的SIP和H.323終端通過(guò)OPTION66或OPTION150返回其相應(yīng)的指定TFTP服務(wù)器參數(shù)；根據(jù)OPTION60、OPTION82和MAC按預(yù)定義的地址分配策略為終端分配指定的IP地址；分配IP地址之前對(duì)終端的MAC地址進(jìn)行認(rèn)證，以防范非法設(shè)備入網(wǎng)，防止用戶(hù)PC或其他用戶(hù)設(shè)備錯(cuò)接網(wǎng)口時(shí)獲得VoIP網(wǎng)絡(luò)地址而占用地址資源、影響用戶(hù)正常上網(wǎng)或病毒等來(lái)自用戶(hù)的安全隱患對(duì)SoftSwitch造成攻擊；方便的地址擴(kuò)容能力，靈活的DHCPRELAY接口與地址池任意組合功能；精選pptIPTV業(yè)務(wù)需求基于IPTV業(yè)務(wù)的特殊性要求，對(duì)接入系統(tǒng)的要求如下：能夠支持組播應(yīng)用的順利開(kāi)展，減少運(yùn)營(yíng)商在核心網(wǎng)絡(luò)擴(kuò)容改造方面的巨額投資；能夠區(qū)分不同的終端類(lèi)型以進(jìn)行業(yè)務(wù)分離，順利支持增值業(yè)務(wù)的開(kāi)展；實(shí)現(xiàn)認(rèn)證流和業(yè)務(wù)流分離，接入認(rèn)證和業(yè)務(wù)認(rèn)證分離，以提高寬帶視頻等多媒體增值業(yè)務(wù)的提供效率；能夠控制同一用戶(hù)的終端類(lèi)型及數(shù)量，方便運(yùn)營(yíng)商對(duì)終端設(shè)備采取集中式管理，提高自身的運(yùn)營(yíng)效率；具備高并發(fā)IP地址請(qǐng)求處理能力，保證所有用戶(hù)能夠順利登錄網(wǎng)絡(luò)并接受服務(wù)；認(rèn)證系統(tǒng)必須具有強(qiáng)大的可擴(kuò)展性和穩(wěn)定性，能夠可靠提供業(yè)務(wù)并順應(yīng)IPTV等新型業(yè)務(wù)快速發(fā)展的趨勢(shì)。精選ppt無(wú)線城域網(wǎng)無(wú)線城域網(wǎng)為人們的移動(dòng)辦公提供了便利條件，無(wú)線接入時(shí)的地址分配亦需要提供一致的便利性。對(duì)于需要按使用時(shí)長(zhǎng)進(jìn)行收費(fèi)的場(chǎng)所可以使用DHCP+CLIENT接入認(rèn)證方式；不需要收費(fèi)的場(chǎng)所可以考慮直接使用單純的DHCP模式分配地址，可以按實(shí)際使用的需求來(lái)靈活的選用不同的接入策略。DHCP+CLIENT用戶(hù)名、密碼認(rèn)證方式下，用戶(hù)開(kāi)機(jī)即獲得一個(gè)受限的地址，在使用瀏覽器訪問(wèn)網(wǎng)絡(luò)時(shí)由網(wǎng)絡(luò)設(shè)備將其重定向到門(mén)戶(hù)網(wǎng)站，可以進(jìn)行開(kāi)戶(hù)注冊(cè)、登錄認(rèn)證等。精選ppt家庭網(wǎng)關(guān)家庭網(wǎng)關(guān)管理地址分配；終端地址分配：在同一VLAN內(nèi)掛接多種類(lèi)型終端時(shí)，需要根據(jù)Option60分配不同子網(wǎng)地址；所掛接的終端均通過(guò)獨(dú)立VLAN接入時(shí)，需要支持靈活的Option82綁定策略；

精選ppt寬帶業(yè)務(wù)認(rèn)證與地址管理現(xiàn)狀1.PC發(fā)起PPPOE認(rèn)證請(qǐng)求1.啟動(dòng)后發(fā)起PPPOE請(qǐng)求2.DSLAML將報(bào)文發(fā)到BAS設(shè)備3.BAS發(fā)起Radius請(qǐng)求到AAA進(jìn)行認(rèn)證4.根據(jù)用戶(hù)帳號(hào)進(jìn)行認(rèn)證5.認(rèn)證通過(guò)后給PC分配地址精選ppt認(rèn)證方式PPPoE認(rèn)證DHCP+認(rèn)證接入控制PPP連接DHCPOption82DHCPOption60客戶(hù)端支持支持目前STB支持DHCPOption60的相對(duì)較少組播支持不支持支持業(yè)務(wù)流封裝開(kāi)銷(xiāo)單播VoD為PPP封裝組播為以太網(wǎng)封裝以太網(wǎng)封裝IP地址分配方式IPCPDHCPIP地址分配流程先認(rèn)證后分配IP通過(guò)DHCPOption82&60進(jìn)行認(rèn)證協(xié)議標(biāo)準(zhǔn)標(biāo)準(zhǔn)協(xié)議非標(biāo)準(zhǔn)協(xié)議與RADIUSServer配合標(biāo)準(zhǔn)協(xié)議非標(biāo)準(zhǔn)協(xié)議附加設(shè)備RADIUSServerDHCPServer用戶(hù)異常離線檢測(cè)時(shí)間快較慢DHCP+VSPPPOEPPPoE認(rèn)證方式更適合上網(wǎng)這樣需要能對(duì)用戶(hù)進(jìn)行實(shí)時(shí)計(jì)費(fèi)的業(yè)務(wù)DHCP+認(rèn)證方式更適合IPTV這樣通過(guò)包月方式進(jìn)行運(yùn)營(yíng)，需要通過(guò)組播方式進(jìn)行開(kāi)展的業(yè)務(wù)精選ppt針對(duì)IPTV等大帶寬業(yè)務(wù)認(rèn)證與地址管理解決方案1.啟動(dòng)后發(fā)起DHCP請(qǐng)求2.DSLAML根據(jù)用戶(hù)的位置信息，將DHCP報(bào)文增加到OPTION82后發(fā)送到DHCPServer3.把OPTION信息封裝到RADIUS擴(kuò)展字段進(jìn)行認(rèn)證4.根據(jù)OPTION信息進(jìn)行認(rèn)證5.認(rèn)證通過(guò)后給PC分配地址精選ppt采用集中DHCP帶來(lái)的好處內(nèi)置DHCP外置DHCP性能/容量并發(fā)數(shù)約為350sessions/sec；容量為幾萬(wàn)級(jí)并發(fā)數(shù)大約為2100sessions/sec；容量為百萬(wàn)級(jí)地址規(guī)劃/管理

地址規(guī)劃按照PPPoE模式；地址調(diào)整變更困難；只能通過(guò)CLI方式進(jìn)行配置和管理管理功能強(qiáng)，地址規(guī)劃和調(diào)整容易；可通過(guò)GUI和CLI方式進(jìn)行配置和管理對(duì)option值支持

對(duì)option值支持有限，大部分服務(wù)器都不支持option60值對(duì)option值支持程度高，支持常用的option值，例如option60，82等冗余備份機(jī)制不具備具備冗余備份機(jī)制，支持1：1，有些系統(tǒng)支持N：1擴(kuò)展/安全/可靠性擴(kuò)展性弱，安全/可靠性依靠MSE本身擴(kuò)展性高，擴(kuò)容容易；具有安全機(jī)制；可靠性程度高外置DHCP精選pptIPoEIPTVvsPPPOEIPTVBASSR匯聚交換機(jī)/OLTDSLAM/ONURG每用戶(hù)多PVC接入，IPTV與上網(wǎng)業(yè)務(wù)采用不同PVC；IPMAN/PIM域BAS作為末級(jí)組播復(fù)制控制點(diǎn)，組播流提供PPPOE以單播的方式推送到STBRGInternetIPTV匯聚交換機(jī)/OLT承載IPTV業(yè)務(wù)與PPPOE互聯(lián)網(wǎng)業(yè)務(wù)沒(méi)有任何區(qū)別STBSTB為PPPOE客戶(hù)端BASSR匯聚交換機(jī)/OLTDSLAM/ONURG每用戶(hù)多PVC接入，IPTV與上網(wǎng)業(yè)務(wù)采用不同PVC；一平面SR作為組播業(yè)務(wù)控制網(wǎng)關(guān)RG匯聚交換機(jī)/OLT支持L2組播協(xié)議IGMPSnooping功能STBSTB為DHCP客戶(hù)端STBSTBDSLAM/ONU只需與互聯(lián)網(wǎng)業(yè)務(wù)一樣透?jìng)鱌PPOE業(yè)務(wù)DSLAM/ONU需要支持IGMP，DHCPRelay，支持Option82PPPOEIPTV業(yè)務(wù)網(wǎng)路模型IPOEIPTV業(yè)務(wù)網(wǎng)絡(luò)模型二平面PIN域精選pptIPoEIPTVvsPPPoEIPTVvlan3090帶寬的節(jié)省：相對(duì)于目前BRASPPPoE的IPTV組播業(yè)務(wù)，采用IPoE組播后，SR與匯聚交換機(jī)之間的帶寬將極大的節(jié)?。籌PTV用戶(hù)越多，帶寬節(jié)省越大；參考右邊說(shuō)明；組播復(fù)制點(diǎn)下移，減輕業(yè)務(wù)層面SR/BRAS的復(fù)制壓力；因?yàn)樵赟R上IPoE不是逐用戶(hù)復(fù)制；由于IPoE省去了PPP協(xié)議層，節(jié)省了協(xié)議頭開(kāi)銷(xiāo)，也簡(jiǎn)化了機(jī)頂盒的流量處理開(kāi)銷(xiāo)；跨vlan復(fù)制BRASSRRGIPMAN/PIMdomainRGGEGEvlan3090vlan3090假設(shè)有100個(gè)組播頻道，每個(gè)頻道2M；IPTV假設(shè)有1000個(gè)用戶(hù)收看組播頻道，則PPPoE模式下，BRAS與匯聚交換機(jī)之間需要2G帶寬；IPoE模式下，SR與匯聚交換機(jī)之間只需要200M帶寬承載全部組播流，與用戶(hù)數(shù)無(wú)關(guān)，用戶(hù)數(shù)越大，帶寬占用越有優(yōu)勢(shì)；精選ppt組播復(fù)制點(diǎn)下移到DSLAM，DSLAM設(shè)備需支持跨VLAN組播復(fù)制；IGMPsnooping/option82插入功能；匯聚交換機(jī)支持vlan/選擇性qinq；支持鏈路捆綁功能(可選)；家庭網(wǎng)關(guān)RG工作于橋模式（Bridged）；機(jī)頂盒啟用IPoE+DHCP方式；SR需支持DHCPRELAY，支持QoS、防DOS攻擊、支持PIM協(xié)議；匯聚交換機(jī)/PON-OLTDSLAM/ONURGRGGEGEGEGE二平面/PIMdomainInternetIPTV一平面IPoEIPTV對(duì)各層網(wǎng)絡(luò)設(shè)備功能的要求精選ppt對(duì)于WLAN、IPTV、家庭網(wǎng)關(guān)三種業(yè)務(wù)是如何支持的？通過(guò)家庭網(wǎng)關(guān)劃分VLAN來(lái)區(qū)分不同業(yè)務(wù)精選ppt方案背景業(yè)務(wù)需求建設(shè)方案系統(tǒng)部署Q&A議題精選ppt保持現(xiàn)有RADIUS用戶(hù)控制架構(gòu)不變（兼容PPPoE業(yè)務(wù)）采用DHCP‘動(dòng)態(tài)主機(jī)配置機(jī)制’技術(shù)進(jìn)行IP地址的集中管理與分配在DSLAM/PON中插入Option82‘線路信息規(guī)程’，為接入認(rèn)證提供物理網(wǎng)絡(luò)通路的定位信息利用終端設(shè)備MAC地址(MediaAccessCode介質(zhì)訪問(wèn)代碼）‘終端固有網(wǎng)絡(luò)物理屬性’進(jìn)行身份識(shí)別、鑒權(quán)MAC地址共48位，最大可為280萬(wàn)億個(gè)終端不重復(fù)排序，

---可稱(chēng)之為:‘IP指紋’綜合上述四種機(jī)制單元，“利用Option82線路信息與MAC地址這終端固有物理網(wǎng)絡(luò)屬性進(jìn)行用戶(hù)的身份識(shí)別、確認(rèn)后由DHCP主機(jī)自動(dòng)分配網(wǎng)絡(luò)地址”的方式組成了稱(chēng)之為：‘IPoE認(rèn)證體系’。何為IPOE精選pptIPTV認(rèn)證系統(tǒng)構(gòu)成MSEDHCPServer1.DHCPDiscovery2.DHCPRelay3.DHCPOffer4.DHCPOffer5.DHCPRequest6.DHCPRequest7.DHCPAck8.DHCPAckUEAAA1.2ACCEPT1.1REQUESTSESSION級(jí)IPOE非SESSION級(jí)IPOE精選pptIPoE的演進(jìn)路線簡(jiǎn)單DHCPIPoE非Session級(jí)IPoESession級(jí)IPoE業(yè)務(wù)的安全性、部署能力、可管可控能力

精選pptIPoE的演進(jìn)——非Session級(jí)IPoEMSE/SRDHCPServer1.DHCPDiscovery2.DHCPRelay3.DHCPOffer4.DHCPOffer5.DHCPRequest6.DHCPRequest7.DHCPAck8.DHCPAckAAA2.1REQUEST2.2ACCEPTUE支持DHCPRelay支持DHCPSnooping將DHCPOption中用戶(hù)名密碼等信息轉(zhuǎn)換成Radius屬性根據(jù)規(guī)則為用戶(hù)分配IP地址根據(jù)DHCPServer送過(guò)來(lái)的用戶(hù)名、密碼，進(jìn)行認(rèn)證，并返回結(jié)果精選pptIPoE的演進(jìn)——Session級(jí)IPoEMSEDHCPServer1.DHCPDiscovery2.DHCPRelay3.DHCPOffer4.DHCPOffer5.DHCPRequest6.DHCPRequest7.DHCPAck8.DHCPAckUEAAA1.2ACCEPT1.1REQUEST將DHCPOption中的用戶(hù)名密碼等信息轉(zhuǎn)換成Radius屬性，通過(guò)AAA認(rèn)證支持DHCPRelay支持DHCPSnooping；根據(jù)規(guī)則分配IP地址根據(jù)認(rèn)證請(qǐng)求，提取用戶(hù)名、密碼進(jìn)行認(rèn)證；提取NAS-Port-ID進(jìn)行用戶(hù)綁定；IPSESSION精選pptIPoE的演進(jìn)——方案比較非Session級(jí)IPoE

Session級(jí)IPoE會(huì)話控制總體流程

改造復(fù)雜度

有session控制，能夠?qū)崿F(xiàn)比較精確的時(shí)長(zhǎng)、流量等計(jì)費(fèi)方式，與PPPoE類(lèi)似無(wú)session控制，只能根據(jù)租約時(shí)間進(jìn)行較粗略按時(shí)長(zhǎng)計(jì)費(fèi)MSE設(shè)備是整個(gè)系統(tǒng)的核心，進(jìn)行接入控制，與PPPoE方式類(lèi)似。DHCPServer只完成地址分配功能。DHCPServer是整個(gè)系統(tǒng)的核心，提供認(rèn)證計(jì)費(fèi)代理以及地址分配功能。設(shè)備只要求做DHCPRelay和DHCPSnooping。需要新增MSE設(shè)備，或?qū)ΜF(xiàn)有的設(shè)備進(jìn)行升級(jí)，改造的復(fù)雜度較大。只需新增DHCP系統(tǒng)，并利用SR設(shè)備進(jìn)行IPoE接入。無(wú)須對(duì)現(xiàn)有設(shè)備升級(jí)，改造復(fù)雜度較小。成熟度

較成熟，基本具備部署的條件需設(shè)備支持精選ppt用戶(hù)機(jī)頂盒的IPOE認(rèn)證方式方式處理機(jī)制Radius數(shù)據(jù)庫(kù)的處理MAC將機(jī)頂盒DHCP請(qǐng)求中的S-MAC作為認(rèn)證信息網(wǎng)關(guān)將DHCP請(qǐng)求中的S-MAC轉(zhuǎn)成Radius屬性送給Radius進(jìn)行認(rèn)證用NASportid進(jìn)行用戶(hù)端口綁定預(yù)置機(jī)頂盒MAC信息和對(duì)應(yīng)用戶(hù)策略O(shè)ption82將DHCPoption82中的circuitid或circuitid+remoteid或remoteid作為認(rèn)證信息（remoteid一般為終端MAC）一般由接入設(shè)備（OLT/DSLAM）插入option82，也可由網(wǎng)關(guān)插入網(wǎng)關(guān)將DHCP請(qǐng)求中的option82轉(zhuǎn)成Radius屬性送給Radius進(jìn)行認(rèn)證預(yù)置機(jī)頂盒線路信息或線路+MAC信息或MAC信息，和對(duì)應(yīng)用戶(hù)策略MAC@Option60將業(yè)務(wù)名稱(chēng)(如IPTV)作為option60并結(jié)合DHCP請(qǐng)求中的S-MAC共同作為認(rèn)證信息機(jī)頂盒上配置option60，標(biāo)識(shí)業(yè)務(wù)名稱(chēng)(如IPTV)網(wǎng)關(guān)提取DHCP請(qǐng)求中的option60信息和S-MAC，組成MAC@option60字段并轉(zhuǎn)成Radius屬性送給Radius進(jìn)行認(rèn)證用NASportid進(jìn)行用戶(hù)端口綁定預(yù)置機(jī)頂盒MAC@業(yè)務(wù)名稱(chēng)信息，和對(duì)應(yīng)用戶(hù)策略O(shè)ption61@Option60（建議方式）將機(jī)頂盒SN作為option61，業(yè)務(wù)類(lèi)型名(如IPTV)作為option60，共同作為認(rèn)證信息機(jī)頂盒上配置option61標(biāo)識(shí)SN，option60標(biāo)識(shí)業(yè)務(wù)名稱(chēng)（如IPTV）網(wǎng)關(guān)提取DHCP請(qǐng)求中的option61和60信息，組成option61@option60字段并轉(zhuǎn)成Radius屬性送給Radius進(jìn)行認(rèn)證用NASportid進(jìn)行用戶(hù)端口綁定預(yù)置機(jī)頂盒SN@業(yè)務(wù)名稱(chēng)信息，和對(duì)應(yīng)用戶(hù)策略將用戶(hù)名作為option61,業(yè)務(wù)名稱(chēng)(如IPTV)作為option60,共同作為認(rèn)證信息機(jī)頂盒上配置option61標(biāo)識(shí)用戶(hù)名/口令(可以使用和寬帶上網(wǎng)相同的用戶(hù)名/口令),option60標(biāo)識(shí)業(yè)務(wù)名稱(chēng)（如IPTV）網(wǎng)關(guān)提取DHCP請(qǐng)求中的option61和60信息，組成option61@option60字段并轉(zhuǎn)成Radius屬性送給Radius進(jìn)行認(rèn)證用NASportid進(jìn)行用戶(hù)端口綁定預(yù)置用戶(hù)名@業(yè)務(wù)名稱(chēng)信息，和對(duì)應(yīng)用戶(hù)策略精選ppt非SESSIONS級(jí)IPOE用戶(hù)接入流程精選pptSESSIONS級(jí)IPOE用戶(hù)接入流程精選ppt32在IPoE接入方式下，用戶(hù)認(rèn)證并獲得業(yè)務(wù)授權(quán)的業(yè)務(wù)流程如下：1. 用戶(hù)的業(yè)務(wù)終端發(fā)出DHCPDiscover消息，該消息通過(guò)二層接入設(shè)備中繼至SR，二層接入設(shè)備可以根據(jù)要求在DHCPDiscover中插入Option82，提供用戶(hù)的線路信息；2. SR保持住用戶(hù)的DHCPDiscover，提取相關(guān)信息（例如MAC、Option82），并利用RADIUS協(xié)議與BIAS平臺(tái)的RADIUS服務(wù)器進(jìn)行交互，對(duì)用戶(hù)進(jìn)行認(rèn)證，獲取用戶(hù)的業(yè)務(wù)控制以及QoS策略；RADIUS服務(wù)器基于用戶(hù)的MAC地址或線路信息對(duì)用戶(hù)進(jìn)行認(rèn)證，確定用戶(hù)的業(yè)務(wù)類(lèi)型，并下發(fā)相關(guān)的業(yè)務(wù)授權(quán)及QoS策略給SR；IPoE業(yè)務(wù)接入流程精選ppt333. 認(rèn)證過(guò)程完成后，SR將DHCPDiscover轉(zhuǎn)發(fā)給BIAS平臺(tái)的DHCP服務(wù)器；4. DHCP服務(wù)器與用戶(hù)終端進(jìn)行交互，完成動(dòng)態(tài)IP地址分配過(guò)程，用戶(hù)終端獲得IP地址，SR將用戶(hù)的業(yè)務(wù)控制和QoS策略與該IP地址綁定；5. 用戶(hù)終端可以訪問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)使用相應(yīng)的業(yè)務(wù)，例如NGN電話機(jī)可以使用NGN話音業(yè)務(wù)，IPTV終端可以使用IPTV業(yè)務(wù)。IPoE業(yè)務(wù)接入流程精選ppt IPoE認(rèn)證體系解決方案除了具備標(biāo)準(zhǔn)IPoE的通用優(yōu)勢(shì)外，還充分考慮了：

（1）安全性

（2）業(yè)務(wù)過(guò)渡的平滑性

（3）技術(shù)標(biāo)準(zhǔn)的規(guī)范性

幾個(gè)因素，在體現(xiàn)技術(shù)優(yōu)勢(shì)的同時(shí)，考慮對(duì)業(yè)務(wù)的支持優(yōu)勢(shì)

實(shí)現(xiàn)IPOE重點(diǎn)考慮精選ppt（1）IPoE解決方案的安全性考慮接入設(shè)備業(yè)務(wù)路由器DHCP中繼DHCP中繼DHCP響應(yīng)DHCP集中認(rèn)證與IP地址管理RADIUS認(rèn)證RadiusDHCPSnoopingDHCP響應(yīng)認(rèn)證層面DHCP與RADIUS相結(jié)合，解決DHCP的安全問(wèn)題采用先認(rèn)證后分配地址的機(jī)制，使IPoE具備和PPPoE相同的安全性確保IPoE體系下的DHCP具備與Radius同等級(jí)的安全級(jí)別 這一特點(diǎn)在國(guó)內(nèi)尚處首創(chuàng)，較為徹底的解決了DHCP的安全隱患網(wǎng)絡(luò)安全性通過(guò)Option82‘線路信息規(guī)程’精確綁定用戶(hù)線路，防止業(yè)務(wù)盜用通過(guò)DHCPSnooping‘地址偵測(cè)機(jī)制’防止已分配的IP地址被盜用DHCPSnooping精選ppt仿冒DHCPSERVER采用VLAN隔離的方式，實(shí)現(xiàn)用戶(hù)之間的隔離，避免惡意用戶(hù)私自架設(shè)DHCPServer對(duì)其他用戶(hù)的影響二層網(wǎng)絡(luò)開(kāi)啟DHCPSnooping，將下行端口配置非信任端口，在非信任端口上不接受DHCPOffer報(bào)文采用DHCP認(rèn)證的相應(yīng)機(jī)制，實(shí)現(xiàn)DHCPClient和DHCPServer間的認(rèn)證；但此種方式需要Client端支持相應(yīng)的Option及其相關(guān)的處理功能。用戶(hù)DHCP泛洪攻擊限制MSE發(fā)送過(guò)來(lái)的Radius請(qǐng)求速率。要求MSE設(shè)備基于設(shè)備級(jí)限制每秒只發(fā)送一定數(shù)量的Radius請(qǐng)求到RadiusServer，可以實(shí)現(xiàn)RadiusServer的保護(hù)；支持基于用戶(hù)級(jí)限制處理DHCP請(qǐng)求的數(shù)量，實(shí)現(xiàn)用戶(hù)級(jí)的控制，有效限制用戶(hù)的DHCP泛洪攻擊?？梢栽诙咏尤刖W(wǎng)，基于用戶(hù)的接入端口，限制每用戶(hù)端口允許的MAC地址數(shù)量，配合進(jìn)行安全控制。精選ppt（2）IPoE解決方案充分考慮標(biāo)準(zhǔn)的兼容性充分借鑒WT-146標(biāo)準(zhǔn)規(guī)范，確保整個(gè)技術(shù)方案對(duì)國(guó)際標(biāo)準(zhǔn)的兼容而WT-146規(guī)范中充分考慮了PPPoE的現(xiàn)狀，因此首次提出了PPPoE與IPoE的過(guò)渡規(guī)范，強(qiáng)調(diào)了IPoE與PPPoE的并存；IPoE認(rèn)證體系解決方案同樣支持IPoE與PPPoE業(yè)務(wù)的同平臺(tái)共存精選ppt（3）IP地址資源集中分配與管理由于采用了集中式DHCP技術(shù)，實(shí)現(xiàn)了全網(wǎng)IP地址統(tǒng)一調(diào)配、統(tǒng)一管理，簡(jiǎn)化業(yè)務(wù)實(shí)施部署流程、提高地址的使用率為保障IP地址分配的安全性，IPoE認(rèn)證機(jī)制與RADIUS配合，采用先認(rèn)證后分配地址，保證地址分配的合理性DHCP技術(shù)采用與RADIUS相同的電信級(jí)冗余保護(hù)機(jī)制，保障IP地址分配的可靠性DHCP技術(shù)還采用了特定的基于散列優(yōu)化算法，保證全網(wǎng)用戶(hù)IP地址分配的高效性、唯一性經(jīng)嚴(yán)格壓力測(cè)試，單機(jī)可達(dá)百萬(wàn)用戶(hù)級(jí)，并支持群組結(jié)構(gòu)，具備電信級(jí)特點(diǎn)精選ppt39|TiMOS-6.0workshop|March2008（4）現(xiàn)有業(yè)務(wù)方式的兼容考慮傳統(tǒng)上網(wǎng)業(yè)務(wù)可繼續(xù)走PPPoE新型寬帶業(yè)務(wù)直接走IPoE可靠原則 減少對(duì)于現(xiàn)有網(wǎng)絡(luò)的影響和改造平滑過(guò)渡 原有寬帶上網(wǎng)方式不變，主要針對(duì)新增業(yè)務(wù)穩(wěn)定原則 盡量減少對(duì)于現(xiàn)有系統(tǒng)的影響，保持穩(wěn)定精選ppt40根據(jù)上述需求AIOBS系統(tǒng)建設(shè)需要以下幾部分：1、DHCPserver模塊2、基本協(xié)議解析模塊3、IP地址數(shù)據(jù)庫(kù)管理模塊4、策略管理模塊5、業(yè)務(wù)策略下發(fā)模塊6、Radius改造模塊7、唯一在線改造模塊8、業(yè)務(wù)管理模塊9、網(wǎng)管監(jiān)控模塊10、統(tǒng)計(jì)查詢(xún)模塊11、自服務(wù)查詢(xún)模塊業(yè)務(wù)建設(shè)方案精選ppt41協(xié)議解析要求：主要負(fù)責(zé)協(xié)議的解析、包解析、Option82解析，接收DHCPIP池管理模塊返回ip分配信息，獲得ip地址，并將獲得的IP包組裝處理,下發(fā)給client端。統(tǒng)一IP池管理要求：主要IP地址的統(tǒng)一管理和分配，IP地址的回收、續(xù)租，數(shù)據(jù)同步管理等功能。DHCP系統(tǒng)的基本管理：負(fù)責(zé)管理SR/BRAS，以及其所管轄的IP地址池；IP地址池記錄的增刪改查等。DHCPSERVER模塊建設(shè)精選pptDHCP系統(tǒng)功能要求地址分配功能標(biāo)準(zhǔn)DHCP協(xié)議地址分配DHCPOPTION屬性解析根據(jù)OPTION屬性進(jìn)行地址分配（支持OPTION82和OPTION60）根據(jù)MAC進(jìn)行地址分配根據(jù)OPTION屬性＋MAC組合進(jìn)行地址分配自動(dòng)與手動(dòng)地址授權(quán)綁定不同情況下的解綁定處理靈活組合的地址分配策略完善的地址管理能力多地址池共享功能任意網(wǎng)關(guān)與任意地址池靈活綁定地址池業(yè)務(wù)屬性配置與按終端業(yè)務(wù)類(lèi)型自動(dòng)匹配分地址分配地址同時(shí)按策略動(dòng)態(tài)返回終端所需OPTION精選ppt43根據(jù)DHCP協(xié)議交互過(guò)程中所攜帶的用戶(hù)物理或邏輯信息，Option61/60標(biāo)識(shí)進(jìn)行認(rèn)證。認(rèn)證服務(wù)器系統(tǒng)建設(shè)認(rèn)證系統(tǒng)與原寬帶認(rèn)證計(jì)費(fèi)系統(tǒng)共用。針對(duì)線路信息等的屬性字段進(jìn)行認(rèn)證。具備批量數(shù)據(jù)割接導(dǎo)入功能。具備與受理系統(tǒng)和IPTV業(yè)務(wù)平臺(tái)對(duì)IPOE的用戶(hù)信息同步功能。認(rèn)證系統(tǒng)建設(shè)精選ppt44集中策略管理功能的建設(shè)負(fù)責(zé)SR的控制策略的對(duì)應(yīng)管理，包括策略的增加、修改、刪除等功能。策略下發(fā)管理系統(tǒng)建設(shè)管理IPOE認(rèn)證系統(tǒng)的業(yè)務(wù)策略，并為各業(yè)務(wù)系統(tǒng)進(jìn)行策略下發(fā)，包括針對(duì)Radius認(rèn)證的認(rèn)證策略，針對(duì)DHCPIP地址資源管理系統(tǒng)的地址分配策略，針對(duì)IP地址分配系統(tǒng)動(dòng)/靜態(tài)地址分配功能的綁定策略等。策略管理功能建設(shè)精選ppt45AIOBS系統(tǒng)用戶(hù)管理系統(tǒng)需按照BSS綜合受理系統(tǒng)的賬戶(hù)開(kāi)戶(hù)、銷(xiāo)戶(hù)等流程的要求對(duì)接入賬戶(hù)進(jìn)行增、刪、改等操作，即設(shè)置與外圍系統(tǒng)的業(yè)務(wù)受理接口，實(shí)現(xiàn)用戶(hù)開(kāi)戶(hù)、銷(xiāo)戶(hù)、變更等等的相關(guān)受理功能；根據(jù)設(shè)備與網(wǎng)絡(luò)資源系統(tǒng)的數(shù)據(jù)同步用戶(hù)對(duì)應(yīng)的終端MAC地址或DHCP的線路及終端option信息。機(jī)頂盒第一次在IPTV平臺(tái)完成業(yè)務(wù)認(rèn)證時(shí)，IPTV平臺(tái)通知AIOBS系統(tǒng)將此時(shí)的接入信息（MAC或option82）記錄并綁定為用戶(hù)識(shí)別信息。用戶(hù)管理系統(tǒng)建設(shè)精選ppt46新增IPOE業(yè)務(wù)管理主要包括：OPTION管理、設(shè)備管理、業(yè)務(wù)信息管理、IPOE方式管理等。新增IPOE在線信息管理系統(tǒng)：記錄完善的用戶(hù)在線信息，對(duì)接入的同時(shí)在線數(shù)進(jìn)行控制。新增IPOE綜合查詢(xún)：地址使用情況查詢(xún)、在線用戶(hù)查詢(xún)、故障信息查詢(xún)、IP地址分配歷史信息查詢(xún)等。新增IPOE監(jiān)控告警：地址池監(jiān)控、系統(tǒng)監(jiān)控、服務(wù)監(jiān)控、告警管理、告警通知。新增IPOE綜合接口系統(tǒng)：負(fù)責(zé)IPOE系統(tǒng)平臺(tái)與外圍支撐系統(tǒng)的接口，包括認(rèn)證接口和受理接口。AIOBS其他模塊改造精選ppt47本工程建設(shè)系統(tǒng)的接口，分為系統(tǒng)內(nèi)部接口和外部接口兩大類(lèi)：（1）系統(tǒng)內(nèi)部接口：系統(tǒng)內(nèi)部各個(gè)模塊之間的數(shù)據(jù)流、控制流的數(shù)據(jù)傳遞接口。（2）外部接口：本系統(tǒng)與SR系統(tǒng)、BSS受理系統(tǒng)、工單系統(tǒng)、資源管理系統(tǒng)等需建立接口。（3）與BSS系統(tǒng)接口：BSS系統(tǒng)需要將IPTV業(yè)務(wù)開(kāi)通信息同步到AIOBS，認(rèn)證信息需要通過(guò)接口同步（采用/OPTION61@60方式需要同步用戶(hù)名@IPTV),系統(tǒng)同時(shí)支持OPTION82方式。AIOBS系統(tǒng)接口精選ppt48模塊名稱(chēng)子模塊名稱(chēng)功能簡(jiǎn)介DHCPServer模塊ip數(shù)據(jù)管理模塊完成IP地址池的數(shù)據(jù)管理功能ip地址分配策略管理對(duì)ip提供集中管理，按一定分配原則，業(yè)務(wù)，物理位置，用戶(hù)分配不同的地址，對(duì)地址進(jìn)行租約管理，可以有效回收再分配；支持靜態(tài)IP地址分配ip通訊模塊接收基本協(xié)議解析器發(fā)送的數(shù)據(jù)信息，并將IP分配結(jié)果進(jìn)行返回ip緩存數(shù)據(jù)管理將IP地址的分配情況在內(nèi)存中進(jìn)行保存。參數(shù)文件管理根據(jù)參數(shù)文件的定義完成負(fù)載分擔(dān)Dhcp和主備設(shè)計(jì)，保證系統(tǒng)的節(jié)點(diǎn)都有備份，無(wú)單點(diǎn)運(yùn)行設(shè)備。在出現(xiàn)故障時(shí)候，備份設(shè)備自動(dòng)接管業(yè)務(wù)。根據(jù)配置的DNS，下發(fā)不同的DNS數(shù)據(jù)包WEB服務(wù)器管理支持通過(guò)WEB管理界面對(duì)IP地址進(jìn)行查詢(xún)及配置管理，提供web頁(yè)面管理模式，使管理更加人性化，操作簡(jiǎn)單，方便，進(jìn)行必要的合法性判斷，有效避免人為錯(cuò)誤DHCP協(xié)議解析數(shù)據(jù)包接收模塊可接收廣播及單播的DHCP數(shù)據(jù)包格式數(shù)據(jù)包解析模塊將數(shù)據(jù)包進(jìn)行格式化后發(fā)送到DHCPServer申請(qǐng)IP地址OPTION82解析模塊支持OPTION82解析，將數(shù)據(jù)根據(jù)配置格式解析成可理解的形式數(shù)據(jù)包下發(fā)處理模塊將DHCPServer分配地址進(jìn)行下發(fā)參數(shù)配置模塊通過(guò)配置文件支持負(fù)載分擔(dān)及主備模式DNS處理模塊通過(guò)配置DNS，可為不同IP地址段，下發(fā)不同的DNS業(yè)務(wù)建設(shè)軟件模塊內(nèi)容精選ppt49IP地址資源管理地址空間管理、地址段管理、地址池管理、地址池設(shè)備關(guān)聯(lián)管理、地址邦定管理策略管理模塊根據(jù)