宽带综合接入“临门一变”
发布时间:2006-10-14 4:04:01   收集提供:gaoqian
田辉


  在传统城域网中,不同类型的用户使用不同的接入设备接入网络。这种接入手段的多样性直接导致了城域网接入层设备的多样性,而接入层设备的多样性也直接对网络运营以及业务安全带来了威胁,尤其是对有可运营可管理要求的电信网络提出了挑战。   

  在这种多接入架构下,突出的问题就是如何保障网络、用户以及业务的安全性,并为客户提供一个统一的业务平台。综合性的宽带接入服务器(BAS)设备的引入,为解决以上问题提供了一种可能性。

  BAS定位   

  分析传统城域网接入层存在的问题,突出表现在安全和业务应用平台上。   

  这里的安全是一个广义的概念,包含网络的安全、业务的安全以及用户的安全。网络的安全主要是确保运营网络不受到恶意的攻击,能够避免病毒引发的带宽消耗、流量资源消耗、CPU处理能力消耗、ARP风暴等。而业务的安全则应该能够避免用户的IP地址仿冒、MAC地址仿冒、共享账、账跨区域使用等。用户的安全就要求运营商能够为用户提供一个安全的应用环境,以保障用户的利益,避免用户受到ARP欺骗、DHCP欺骗、PPPoE服务欺骗以及认证报文窃听和劫持。   

  传统城域网多种接入层设备架构的存在,无法为运营商提供统一的业务平台,难以实现统一的访问控制类业务、多媒体承载业务、VPN承载业务、多ISP业务以及可控组播业务,同时地址管理也是一个难题。   

  在城域网中引入BAS设备作为业务控制层,业务控制层作为接入层和汇聚层之间的垫层,能够起到承上启下的作用,同时作为城域网的安全网关和业务网关应用。

  BAS设备的主要技术指标   

  BAS设备的分类方法较多,按照硬件架构可以分为集中式、分布式,按照容量可分为大容量、中容量以及小容量,也可以按照实现设备分为独立BAS和内置BAS等。通常电信级应用多使用独立的、分布式的、大中容量的BAS设备。   

  BAS设备所处的网络位置决定着它是一款复杂的设备,需要支持大量的协议和规范。从协议角度看,链路层需要支持以太网协议,包括Ethernet II、IEEE802.3 LLC SNAP以及IEEE 802.3/802.2 等从功能角度看,不同于其它网络设备,BAS设备的引入不在于业务的传递交换,而在于实现对用户的控制和管理,它最重要的业务功能就是对用户的认证、授权和计费,这三个功能相互关联,又各自独立。认证是识别用户的技术,它作为授权和计费的基础,是最重要的环节,也是最容易出现纰漏的地方;而授权是对合法用户权限的授予,是对认证的肯定,也是下一步计费的依据;准确灵活的计费手段则是保护客户和运营商的关键。   

  宽带接入服务器还必须具备多种方式的用户接入,支持专线方式和拨号方式的接入,并且支持专线和拨号用户混合接入,即可以任意定义用户是采用专线方式接入还是拨号方式接入。设备要支持PPPoE 接入功能,支持基于以太网接入和PPP接入的Portal功能,支持WEB认证,支持802.1x认证。另外,BAS可能还需要支持组播业务、业务属性管理、多ISP业务以及VPN业务功能。

  BAS设备的AAA功能   

  AAA功能是BAS所有业务功能的基础。   

  1)对用户的认证实质上是对用户标识的认证,这就要求用户具有一个唯一且有效的用户标识,这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用,可以得到全程有效的用户标识。具体实现中,可以通过在靠近用户的交换机上使用端口VLAN,为不同的用户打上相应的VLAN ID,则VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID,BAS设备可以精确的识别每一个用户,并对用户实施完备的控制,这就是PUPV技术。   

  BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证,这三种认证技术各有特点,应用场合不同,无优劣之分。其中PPPoE 成熟可靠,符合用户使用习惯,应用范围最广;WEB认证无需客户端,适合在热点使用,但需要配置Portal服务器,设备成本较高,且无统一规范难于互通;802.1x与PPPoE类似,需要安装客户端软件,但交换机支持较成熟。通常,要求BAS能够同时支持以上三种通用的认证方式,以适应不同客户群的需要。另外,还要求设备能够支持本地认证和 Radiu s 认证两种方式,并支持漫游功能,方便同一用户账号能在不同接入点登录。   

  2)授权功能   

  授权功能是对合法用户享有权限和资源的授予,主要包括带宽、访问权限、互访权限、服务质量以及组播权限等控制,具体看这些授权功能:   

  带宽:通过CAR速率限制技术实现基于用户账号的带宽控制;访问权限:需要支持基于用户分群的访问权限控制,而不仅是传统路由器的基于地址段的ACL;互访权限:需要支持基于用户分群的互访权限控制;QoS优先级:需要根据AAA服务器的授权对用户报文打上合法的优先级标签(DSCP或802.1p) ;组播权限:提供可控组播功能,并能接受AAA服务器的组播权限下发;另外,还要求BAS和AAA服务器之间能够提供动态修改用户权限的机制,即动态权限授予。   

  3)计费功能   

  BAS和AAA服务器配合,实现用户应用的计费,要求满足以下要求:灵活的计费方式:BAS和AAA服务器配合,提供多种灵活的计费方式,可以有效的吸引各层次的用户;精确的应用量统计:计费技术的关键在于能够精确的统计用户对网络资源的使用量,包括:时长、流量等原始计费信息;完善的计费保护机制:BAS和AAA的计费保护技术包括主备AAA服务器、话单本地保存、实时计费、无响应超时切断以及无响应重传机制;计费抄送:可以将用户的计费信息同时发送给网络资源提供方和租用方的AAA服务器。

  BAS的安全/业务网关应用   

  结合前面的BAS业务功能,尤其是AAA功能,本节对BAS设备作为安全网关和业务网关应用进行分析。   

  由底层向网络核心看,运营性网络中用户类型多种多样,运营商无法控制用户的行为,必须同时考虑用户自身的安全性以及防止用户对网络可能的破坏行为;网络的核心汇聚层依赖于传统的企业网架构,设备本身抵御攻击能力弱,尤其是使用三层交换机构建的网络,实践证明是难以抵挡各种DOS攻击;而业务层面的安全决定着能否保障业务正常开展,包括识别用户并准确根据业务使用量向用户收费。BAS设备作为接入和核心网络之间的控制层面引入,可以实现不可信赖的用户和脆弱的网络间的隔离,通过BAS强化安全性的安全网关隔离,有可能保障用户的安全、网络设备、网络资源的安全和业务的安全。   

  对于用户的安全,可以在BAS上使用物理端口、帐号/密码、应用量的绑定来实现。其中物理端口信息可以限制用户的接入地点,可有效防范账号的分时共享;帐号/密码则可以限制用户的可接入账号,可有效防范黑账号使用,方便计费管理;对应用量的控制可有效防范私接,并限制用户可接入的计算机数,防止NAT、Proxy形式的黑网吧非法使用。   

  对于网络资源的保护,则主要通过BAS设备的自身控制功能,实现对地址资源、会话资源、带宽资源以及连接资源进行保护。实现多媒体承载业务时,要求BAS能够对呼叫控制过程进行监控,能够识别通用多媒体呼叫协议H.323/H.248/MGCP;并对呼叫进行动态控制,为合法的呼叫动态打开逻辑通道,拒绝未经GK或SoftX许可的呼叫;还要管理终端的地址,支持NAT/PAT的终端地址和公网地址+端口的静态映射。另外,在实现有QoS保障的实时媒体业务时,要求BAS提供带宽控制和报文优先级设置功能。   

  无论使用什么接入方式,实现什么业务,一套灵活、完善的地址管理机制对于网络的运营者而言都是尤为重要的。使用BAS设备提供的地址管理机制相当灵活,可以使用BAS设备内置的DHCP Server,也可以使用外置的DHCP Server,还可以使用BAS内置的地址池。第一种方法BAS分布式的管理地址,确保了地址管理的可靠性;第二种方法通过BAS的隔离,可以有效保护集中式DHCP Server的安全性;第三种方案可以使用不连续的地址池,可以有效的提高地址利用率。   

  目前,该类型设备的技术实现相对已经比较成熟,但对于不同应用场合,还有必要进一步分析客户的特殊需求,提供具有针对性的解决方案。总而言之,只有从最终客户的实际需求出发,结合其消费特点构建相应的业务运营模式,才能更好地推动宽带业务的全方位发展,实现快速赢利。

  
摘自 泰尔网
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50