寬帶綜合接入“臨門一變”

田輝


　　在傳統(tǒng)城域網(wǎng)中，不同類型的用戶使用不同的接入設(shè)備接入網(wǎng)絡(luò)。這種接入手段的多樣性直接導(dǎo)致了城域網(wǎng)接入層設(shè)備的多樣性，而接入層設(shè)備的多樣性也直接對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)以及業(yè)務(wù)安全帶來了威脅，尤其是對(duì)有可運(yùn)營(yíng)可管理要求的電信網(wǎng)絡(luò)提出了挑戰(zhàn)。

　　

　　在這種多接入架構(gòu)下，突出的問題就是如何保障網(wǎng)絡(luò)、用戶以及業(yè)務(wù)的安全性，并為客戶提供一個(gè)統(tǒng)一的業(yè)務(wù)平臺(tái)。綜合性的寬帶接入服務(wù)器(BAS)設(shè)備的引入，為解決以上問題提供了一種可能性。



　　BAS定位

　　

　　分析傳統(tǒng)城域網(wǎng)接入層存在的問題，突出表現(xiàn)在安全和業(yè)務(wù)應(yīng)用平臺(tái)上。

　　

　　這里的安全是一個(gè)廣義的概念，包含網(wǎng)絡(luò)的安全、業(yè)務(wù)的安全以及用戶的安全。網(wǎng)絡(luò)的安全主要是確保運(yùn)營(yíng)網(wǎng)絡(luò)不受到惡意的攻擊，能夠避免病毒引發(fā)的帶寬消耗、流量資源消耗、CPU處理能力消耗、ARP風(fēng)暴等。而業(yè)務(wù)的安全則應(yīng)該能夠避免用戶的IP地址仿冒、MAC地址仿冒、共享賬、賬跨區(qū)域使用等。用戶的安全就要求運(yùn)營(yíng)商能夠?yàn)橛脩籼峁┮粋�(gè)安全的應(yīng)用環(huán)境，以保障用戶的利益，避免用戶受到ARP欺騙、DHCP欺騙、PPPoE服務(wù)欺騙以及認(rèn)證報(bào)文竊聽和劫持。

　　

　　傳統(tǒng)城域網(wǎng)多種接入層設(shè)備架構(gòu)的存在，無法為運(yùn)營(yíng)商提供統(tǒng)一的業(yè)務(wù)平臺(tái)，難以實(shí)現(xiàn)統(tǒng)一的訪問控制類業(yè)務(wù)、多媒體承載業(yè)務(wù)、VPN承載業(yè)務(wù)、多ISP業(yè)務(wù)以及可控組播業(yè)務(wù)，同時(shí)地址管理也是一個(gè)難題。

　　

　　在城域網(wǎng)中引入BAS設(shè)備作為業(yè)務(wù)控制層，業(yè)務(wù)控制層作為接入層和匯聚層之間的墊層，能夠起到承上啟下的作用，同時(shí)作為城域網(wǎng)的安全網(wǎng)關(guān)和業(yè)務(wù)網(wǎng)關(guān)應(yīng)用。



　　BAS設(shè)備的主要技術(shù)指標(biāo)

　　

　　BAS設(shè)備的分類方法較多，按照硬件架構(gòu)可以分為集中式、分布式，按照容量可分為大容量、中容量以及小容量，也可以按照實(shí)現(xiàn)設(shè)備分為獨(dú)立BAS和內(nèi)置BAS等。通常電信級(jí)應(yīng)用多使用獨(dú)立的、分布式的、大中容量的BAS設(shè)備。

　　

　　BAS設(shè)備所處的網(wǎng)絡(luò)位置決定著它是一款復(fù)雜的設(shè)備，需要支持大量的協(xié)議和規(guī)范。從協(xié)議角度看，鏈路層需要支持以太網(wǎng)協(xié)議，包括Ethernet II、IEEE802.3 LLC SNAP以及IEEE 802.3/802.2 等從功能角度看，不同于其它網(wǎng)絡(luò)設(shè)備，BAS設(shè)備的引入不在于業(yè)務(wù)的傳遞交換，而在于實(shí)現(xiàn)對(duì)用戶的控制和管理，它最重要的業(yè)務(wù)功能就是對(duì)用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)，這三個(gè)功能相互關(guān)聯(lián)，又各自獨(dú)立。認(rèn)證是識(shí)別用戶的技術(shù)，它作為授權(quán)和計(jì)費(fèi)的基礎(chǔ)，是最重要的環(huán)節(jié)，也是最容易出現(xiàn)紕漏的地方；而授權(quán)是對(duì)合法用戶權(quán)限的授予，是對(duì)認(rèn)證的肯定，也是下一步計(jì)費(fèi)的依據(jù)；準(zhǔn)確靈活的計(jì)費(fèi)手段則是保護(hù)客戶和運(yùn)營(yíng)商的關(guān)鍵。

　　

　　寬帶接入服務(wù)器還必須具備多種方式的用戶接入，支持專線方式和撥號(hào)方式的接入，并且支持專線和撥號(hào)用戶混合接入，即可以任意定義用戶是采用專線方式接入還是撥號(hào)方式接入。設(shè)備要支持PPPoE 接入功能，支持基于以太網(wǎng)接入和PPP接入的Portal功能，支持WEB認(rèn)證，支持802.1x認(rèn)證。另外，BAS可能還需要支持組播業(yè)務(wù)、業(yè)務(wù)屬性管理、多ISP業(yè)務(wù)以及VPN業(yè)務(wù)功能。



　　BAS設(shè)備的AAA功能

　　

　　AAA功能是BAS所有業(yè)務(wù)功能的基礎(chǔ)。

　　

　　1)對(duì)用戶的認(rèn)證實(shí)質(zhì)上是對(duì)用戶標(biāo)識(shí)的認(rèn)證，這就要求用戶具有一個(gè)唯一且有效的用戶標(biāo)識(shí)，這個(gè)標(biāo)識(shí)可以是地址標(biāo)識(shí)、賬號(hào)或者連接端口的VLAN標(biāo)識(shí)。將地址、賬號(hào)同VLAN ID標(biāo)識(shí)進(jìn)行綁定組合使用，可以得到全程有效的用戶標(biāo)識(shí)。具體實(shí)現(xiàn)中，可以通過在靠近用戶的交換機(jī)上使用端口VLAN，為不同的用戶打上相應(yīng)的VLAN ID，則VLAN ID將進(jìn)化為唯一的用戶標(biāo)識(shí)。利用這樣的VLAN ID，BAS設(shè)備可以精確的識(shí)別每一個(gè)用戶，并對(duì)用戶實(shí)施完備的控制，這就是PUPV技術(shù)。

　　

　　BAS采用的經(jīng)典認(rèn)證技術(shù)有PPPoE認(rèn)證、WEB認(rèn)證以及802.1x認(rèn)證，這三種認(rèn)證技術(shù)各有特點(diǎn)，應(yīng)用場(chǎng)合不同，無優(yōu)劣之分。其中PPPoE 成熟可靠，符合用戶使用習(xí)慣，應(yīng)用范圍最廣；WEB認(rèn)證無需客戶端，適合在熱點(diǎn)使用，但需要配置Portal服務(wù)器，設(shè)備成本較高，且無統(tǒng)一規(guī)范難于互通；802.1x與PPPoE類似，需要安裝客戶端軟件，但交換機(jī)支持較成熟。通常，要求BAS能夠同時(shí)支持以上三種通用的認(rèn)證方式，以適應(yīng)不同客戶群的需要。另外，還要求設(shè)備能夠支持本地認(rèn)證和 Radiu s 認(rèn)證兩種方式，并支持漫游功能，方便同一用戶賬號(hào)能在不同接入點(diǎn)登錄。

　　

　　2)授權(quán)功能

　　

　　授權(quán)功能是對(duì)合法用戶享有權(quán)限和資源的授予，主要包括帶寬、訪問權(quán)限、互訪權(quán)限、服務(wù)質(zhì)量以及組播權(quán)限等控制，具體看這些授權(quán)功能：

　　

　　帶寬：通過CAR速率限制技術(shù)實(shí)現(xiàn)基于用戶賬號(hào)的帶寬控制；訪問權(quán)限：需要支持基于用戶分群的訪問權(quán)限控制，而不僅是傳統(tǒng)路由器的基于地址段的ACL；互訪權(quán)限：需要支持基于用戶分群的互訪權(quán)限控制；QoS優(yōu)先級(jí)：需要根據(jù)AAA服務(wù)器的授權(quán)對(duì)用戶報(bào)文打上合法的優(yōu)先級(jí)標(biāo)簽(DSCP或802.1p) ；組播權(quán)限：提供可控組播功能，并能接受AAA服務(wù)器的組播權(quán)限下發(fā)；另外，還要求BAS和AAA服務(wù)器之間能夠提供動(dòng)態(tài)修改用戶權(quán)限的機(jī)制，即動(dòng)態(tài)權(quán)限授予。

　　

　　3)計(jì)費(fèi)功能

　　

　　BAS和AAA服務(wù)器配合，實(shí)現(xiàn)用戶應(yīng)用的計(jì)費(fèi)，要求滿足以下要求：靈活的計(jì)費(fèi)方式：BAS和AAA服務(wù)器配合，提供多種靈活的計(jì)費(fèi)方式，可以有效的吸引各層次的用戶；精確的應(yīng)用量統(tǒng)計(jì)：計(jì)費(fèi)技術(shù)的關(guān)鍵在于能夠精確的統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源的使用量，包括：時(shí)長(zhǎng)、流量等原始計(jì)費(fèi)信息；完善的計(jì)費(fèi)保護(hù)機(jī)制：BAS和AAA的計(jì)費(fèi)保護(hù)技術(shù)包括主備AAA服務(wù)器、話單本地保存、實(shí)時(shí)計(jì)費(fèi)、無響應(yīng)超時(shí)切斷以及無響應(yīng)重傳機(jī)制；計(jì)費(fèi)抄送：可以將用戶的計(jì)費(fèi)信息同時(shí)發(fā)送給網(wǎng)絡(luò)資源提供方和租用方的AAA服務(wù)器。



　　BAS的安全/業(yè)務(wù)網(wǎng)關(guān)應(yīng)用

　　

　　結(jié)合前面的BAS業(yè)務(wù)功能，尤其是AAA功能，本節(jié)對(duì)BAS設(shè)備作為安全網(wǎng)關(guān)和業(yè)務(wù)網(wǎng)關(guān)應(yīng)用進(jìn)行分析。

　　

　　由底層向網(wǎng)絡(luò)核心看，運(yùn)營(yíng)性網(wǎng)絡(luò)中用戶類型多種多樣，運(yùn)營(yíng)商無法控制用戶的行為，必須同時(shí)考慮用戶自身的安全性以及防止用戶對(duì)網(wǎng)絡(luò)可能的破壞行為；網(wǎng)絡(luò)的核心匯聚層依賴于傳統(tǒng)的企業(yè)網(wǎng)架構(gòu)，設(shè)備本身抵御攻擊能力弱，尤其是使用三層交換機(jī)構(gòu)建的網(wǎng)絡(luò)，實(shí)踐證明是難以抵擋各種DOS攻擊；而業(yè)務(wù)層面的安全決定著能否保障業(yè)務(wù)正常開展，包括識(shí)別用戶并準(zhǔn)確根據(jù)業(yè)務(wù)使用量向用戶收費(fèi)。BAS設(shè)備作為接入和核心網(wǎng)絡(luò)之間的控制層面引入，可以實(shí)現(xiàn)不可信賴的用戶和脆弱的網(wǎng)絡(luò)間的隔離，通過BAS強(qiáng)化安全性的安全網(wǎng)關(guān)隔離，有可能保障用戶的安全、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源的安全和業(yè)務(wù)的安全。

　　

　　對(duì)于用戶的安全，可以在BAS上使用物理端口、帳號(hào)/密碼、應(yīng)用量的綁定來實(shí)現(xiàn)。其中物理端口信息可以限制用戶的接入地點(diǎn)，可有效防范賬號(hào)的分時(shí)共享；帳號(hào)/密碼則可以限制用戶的可接入賬號(hào)，可有效防范黑賬號(hào)使用，方便計(jì)費(fèi)管理；對(duì)應(yīng)用量的控制可有效防范私接，并限制用戶可接入的計(jì)算機(jī)數(shù)，防止NAT、Proxy形式的黑網(wǎng)吧非法使用。

　　

　　對(duì)于網(wǎng)絡(luò)資源的保護(hù)，則主要通過BAS設(shè)備的自身控制功能，實(shí)現(xiàn)對(duì)地址資源、會(huì)話資源、帶寬資源以及連接資源進(jìn)行保護(hù)。實(shí)現(xiàn)多媒體承載業(yè)務(wù)時(shí)，要求BAS能夠?qū)�呼叫控制過程進(jìn)行監(jiān)控，能夠識(shí)別通用多媒體呼叫協(xié)議H.323/H.248/MGCP；并對(duì)呼叫進(jìn)行動(dòng)態(tài)控制，為合法的呼叫動(dòng)態(tài)打開邏輯通道，拒絕未經(jīng)GK或SoftX許可的呼叫；還要管理終端的地址，支持NAT/PAT的終端地址和公網(wǎng)地址+端口的靜態(tài)映射。另外，在實(shí)現(xiàn)有QoS保障的實(shí)時(shí)媒體業(yè)務(wù)時(shí)，要求BAS提供帶寬控制和報(bào)文優(yōu)先級(jí)設(shè)置功能。

　　

　　無論使用什么接入方式，實(shí)現(xiàn)什么業(yè)務(wù)，一套靈活、完善的地址管理機(jī)制對(duì)于網(wǎng)絡(luò)的運(yùn)營(yíng)者而言都是尤為重要的。使用BAS設(shè)備提供的地址管理機(jī)制相當(dāng)靈活，可以使用BAS設(shè)備內(nèi)置的DHCP Server，也可以使用外置的DHCP Server，還可以使用BAS內(nèi)置的地址池。第一種方法BAS分布式的管理地址，確保了地址管理的可靠性；第二種方法通過BAS的隔離，可以有效保護(hù)集中式DHCP Server的安全性；第三種方案可以使用不連續(xù)的地址池，可以有效的提高地址利用率。

　　

　　目前，該類型設(shè)備的技術(shù)實(shí)現(xiàn)相對(duì)已經(jīng)比較成熟，但對(duì)于不同應(yīng)用場(chǎng)合，還有必要進(jìn)一步分析客戶的特殊需求，提供具有針對(duì)性的解決方案。總而言之，只有從最終客戶的實(shí)際需求出發(fā)，結(jié)合其消費(fèi)特點(diǎn)構(gòu)建相應(yīng)的業(yè)務(wù)運(yùn)營(yíng)模式，才能更好地推動(dòng)寬帶業(yè)務(wù)的全方位發(fā)展，實(shí)現(xiàn)快速贏利。



　　
摘自　泰爾網(wǎng)