三網融合業務接入控制方式的研究及實現

在Radius中將用戶的MAC地址和線路號綁定。在Radius數據庫中查詢到MAC地址和線路號，DHCP的請求方可經Radius服務器認證通過后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過發送大量的DHCP請求，模擬不同MAC地址的請求，攻擊DHCP Server的風險。

在用戶通過認證獲得IP地址之前，設定DHCP數據包能夠通過的數量限制，降低Radius Server的壓力。如對來自同一個DSLAM線路號的Radius請求數量作控制，比如1s內，最多允許1個請求，如連續出現多個請求，則認為發生攻擊，直接丟棄Radius數據包。依靠這種機制解決大量的DHCP請求發送到Radius服務器的風險。

·其它安全措施

禁止用戶端口間直接轉發的端口隔離;通過VLAN隔離方式進行業務隔離。

2.3 PPPoE和IPoE對比分析

引入IPoE系統之后，IPoE可以完成原有PPPoE系統的所有功能，同時還能提供如下優勢：

(1)終端支持

所有支持IP協議的設備都支持，不需要安裝第三方撥號軟件，可以廣泛支持各種手持設備、移動設備、視頻設備等。

(2)報文開銷

由于PPPoE報文引入了PPPoE頭(6Bytes)和PPP頭(2Bytes)，所以在所有用戶流量里面增加了8個字節的協議開銷，對于高帶寬的應用(8M的高清電視等)，處理能力不高的終端設備壓力很大。

(3)組播復制

由于PPPoE報文是在BRAS設備和用戶之間建立點對點連接，中間的交換機層次不能很好地理解PPPoE報文格式，只能進行轉發，無法進行針對VLAN等信息的有效組播復制。所以采用PPPoE迸行組播業務的開展，組播復制點只能是BRAS設備，而采用IPoE，可以把組播復制點下移到DSLAM，一方面減少了BRAS設備的壓力，另一方面也極大地節約了網絡接入層帶寬。

(4)用戶冗余

IPoE方式可以對接入的用戶數量進行控制，如采用Portal方式，其增值業務能力較強。

根據上述討論，在終端支持、封裝開銷和組播支持認證效率等方面，IPoE認證具有較明顯的優勢。缺點是對用戶的控制力度不足，在用戶認證/策略控制/地址分配/會話監控等方面有待完善。

3 業務按入控制技術實現

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業務承載方面具有的明顯優勢，可能成為未來的主要認證方式。而PPPoE作為目前寬帶業務的主要認證方式也將長期存在。根據不同的業務類型，靈活選擇IPoE和PPPoE認證方式，可用同一套Ra山us系統支持兩種認證方式。通過部署多邊緣接入架構，實現對每用戶/每業務的精細化控制和QOS保證，是業務融合的方向。

(1)單邊緣接入控制

如圖1所示，單邊緣業務接入模式是指用戶的寬帶上網業務和IPTV業務共用相同的接入控制點BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP/專線的方式接入BRAS。當使用PPPoE方式時，可以利用不同的域名或不同的VP/LVACN來區分接入是來自機頂盒，還是來自PC;當采用DHCP方式時，可以利用機頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對機頂盒分配地址。寬帶網承載的NGN語音業務，可以采用BRAS兼作PE構建MPLSVPN。

圖1 單邊緣接入方式

(2)多邊緣接入控制

如圖2所示，多(雙)邊緣接入模式是指寬帶上網業務和IPTV業務分別由專用的業務接入控制點提供。寬帶上網業務仍由原有的BRAS作為業務控制點;IPTV業務則使用SR作為控制點，STB采用DHCP/專線接入方式;NGN語音業務使用另外的SR作為控制點，或者與IPTV業務共用SR。不同的業務一般由匯聚交換機根據VLANID分離后，進入相應的業務控制設備。

圖2 多邊緣接入方式

(3)業務接入控制方案

如采用單邊緣接入，隨著IPTV用戶數量的增加將會加重BRAS負荷，造成端口的帶寬緊張。BRAS如再兼作PE，設備可能將不堪重負。在理論上，上網業務，IPTV業務，NGN語音業務可以共用BRAS接入，但實際應用時需考慮設備的承載能力，考慮設備的設計定位。

如采用多(雙)邊緣接入控制方式，需從終端起，在二層接入網絡中為每個用戶的每種業務部署不同的二層虛通道PV(/LVAC)，將增加二層網絡的復雜性。為減輕復雜性，可采用單通道接入，再利用匯聚交換機具備的業務感知能力分離不同的業務。這種方式使不同的業務接入控制點之問，難以進行不同業務間的流量控制和協調。

在建網初期，可以將BRAS作為IPTV業務的接入網關，但隨著用戶數的增長，BRAS承載壓力加大。所以可以單設SR作為IPTV業務業務接入控制點(見表1)。

表1　接入控制方式的選擇

如果城域網的POP點用戶規模偏大，建議采用雙邊緣/多邊緣方式，部分業務量偏少，業務發展潛力不大的縣級POP點采用單邊緣方式。在同一城域網內盡可能地使用一種方案。如IPTV業務由BRAS作為業務控制點，則通常采用PPPoE的方式提供，Radius認證。如果由SR作為業務控制點，通常采用IPoE方式提供，DHCP認證。

3.2寬帶網絡業務網關

從前面的技術分析看出，IPoE和PPPoE將在一段時期內并存，滿足不同業務需求。無論采用何種認證機制，都需要部署業務接入控制網關來對用戶的接入。認證、會話及QOS等策略進行管理。網絡邊緣業務控制設備從僅支持PPPoE的設備(如BRAS)向TR101架構定義的寬帶網絡業務網關(BNG同時支持PPPoE和IPoE)演進。傳統的BRAS是為支持PPPoE協議而設計的設備，通過增加IPoE功能演變為BNG設備。傳統的業務路由器支持高帶寬的IPoE用戶控制，通過增加PPPoE功能而演進為BNG設備。