三网融合业务接入控制方式的研究及实现

，连接网络时不需输入用户名和密码，对于永远在线的应用和不愿意输入用户名和密码的用户非常适合。

·DHCP+（option60/Option82）对DHCP协议进行了扩展，增加了安全（防DoS攻击及地址仿冒）、监控、用户识别等特性。与Radius相结合提供计费功能，便于运营。

·组播部署灵活，可高效实现组播复制，井把组播复制点下移至小区交换机、DSLAM等网络末梢。减轻网络压力，节约接入网的带宽。
门IPoE认证的安全措施

IPoE认证没有像PPPoE认证那样在网络层面提供惟一的点到点的通信机制，运营商在部署IPoE认证时，要重点关注安全问题。网络各层面的设备通过协同工作，增强网络的安全性。具体的安全保障措施如下：

·防地址欺骗

DHCP属于数据和认证分离的控制方式，安全性不及PPPoE，为防止用户静态配置IP地址，或者网络盗用，可以在接入设备或者业务路由器上部署MAC+IP绑定功能。启用DHCP Snooping或DHCP Relay的节点，在侦听到DHCP Offer消息时，生成IP和MAC的绑定关系，只有源MAC和IP匹配的IPoE帧才可以通过，否则丢弃。这样只有经过DHCP认证的用户才可以得到网络服务，未经认证，或者静态配置IP地址的终端不能得到服务。还可以基于OPTION82信息对用户的线路号进行识别认证来保证安全性。

·用户终端数限制通过系统将每个业务接入点连接的用户终端数量进行限制。

·防DOS攻击

在Radius中将用户的MAC地址和线路号绑定。在Radius数据库中查询到MAC地址和线路号，DHCP的请求方可经Radius服务器认证通过后被送到DHCP Server，才能获得IP地址。这种方式降低了通过发送大量的DHCP请求，模拟不同MAC地址的请求，攻击DHCP Server的风险。

在用户通过认证获得IP地址之前，设定DHCP数据包能够通过的数量限制，降低Radius Server的压力。如对来自同一个DSLAM线路号的Radius请求数量作控制，比如1s内，最多允许1个请求，如连续出现多个请求，则认为发生攻击，直接丢弃Radius数据包。依靠这种机制解决大量的DHCP请求发送到Radius服务器的风险。

·其它安全措施

禁止用户端口间直接转发的端口隔离；通过VLAN隔离方式进行业务隔离。

2.3 PPPoE和IPoE对比分析

引入IPoE系统之后，IPoE可以完成原有PPPoE系统的所有功能，同时还能提供如下优势：

（1）终端支持

所有支持IP协议的设备都支持，不需要安装第三方拨号软件，可以广泛支持各种手持设备、移动设备、视频设备等。

（2）报文开销

由于PPPoE报文引入了PPPoE头（6Bytes）和PPP头(2Bytes），所以在所有用户流量里面增加了8个字节的协议开销，对于高带宽的应用（8M的高清电视等），处理能力不高的终端设备压力很大。

（3）组播复制

由于PPPoE报文是在BRAS设备和用户之间建立点对点连接，中间的交换机层次不能很好地理解PPPoE报文格式，只能进行转发，无法进行针对VLAN等信息的有效组播复制。所以采用PPPoE迸行组播业务的开展，组播复制点只能是BRAS设备，而采用IPoE，可以把组播复制点下移到DSLAM，一方面减少了BRAS设备的压力，另一方面也极大地节约了网络接入层带宽。

（4）用户冗余

IPoE方式可以对接入的用户数量进行控制，如采用Portal方式，其增值业务能力较强。

根据上述讨论，在终端支持、封装开销和组播支持认证效率等方面，IPoE认证具有较明显的优势。缺点是对用户的控制力度不足，在用户认证／策略控制／地址分配／会话监控等方面有待完善。

3 业务按入控制技术实现

3.1单边缘与多边缘接入控制分析

由于IPoE在IPTV等新型业务承载方面具有的明显优势，可能成为未来的主要认证方式。而PPPoE作为目前宽带业务的主要认证方式也将长期存在。根据不同的业务类型，灵活选择IPoE和PPPoE认证方式，可用同一套Ra山us系统支持两种认证方式。通过部署多边缘接入架构，实现对每用户／每业务的精细化控制和QOS保证，是业务融合的方向。

(1）单边缘接入控制

如图1所示，单边缘业务接入模式是指用户的宽带上网业务和IPTV业务共用相同的接入控制点BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP／专线的方式接入BRAS。当使用PPPoE方式时，可以利用不同的域名或不同的VP/LVACN来区分接入是来自机顶盒，还是来自PC；当采用DHCP方式时，可以利用机顶盒的MAC地址和DHCP Option60，或DHCP Option82控制对机顶盒分配地址。宽带网承载的NGN语音业务，可以采用BRAS兼作PE构建MPLSVPN。

图1 单边缘接入方式

（2）多边缘接入控制

如图2所示，多（双）边缘接入模式是指宽带上网业务和IPTV业务分别由专用的业务接入控制点提