IPOE認證技術在運營商新業務中的應用

摘 要：隨著IPTV業務在城域網上部署和發展，引入了新的安全風險，文章對這些風險進行了綜合分析，提出了IPTV承載網安全加固建議。

關鍵詞：IPOE；認證方式；新業務；PPPOE；DHCP

1 背景

隨著城域網寬帶業務的發展，可運營、可管理的網絡建設理念已經深入人心。采用動態IP地址，每用戶帶寬控制的PPPOE設備已經成為電信運營商主要的接入方式。隨著IP網上新業務的迅速發展，人們產生了所有智能設備聯網的需求、移動高速上網的需求、有保障可控視頻的需求。隨著提供業務的多樣化，用戶認證方式作為可運營、可管理的核心，受到包括運營商、制造商的密切關注。目前核心認證技術主要包括IPOE和PPPOE，兩種應用都比較成熟，并在當前的網絡建設中獲得大規模商用。下面首先對這兩種認證方式進行全面的分析比較，然后提出多業務承載對于認證技術的需求，最后討論IPOE認證技術在部署時需要注意的地方。

2 PPPOE與IPOE比較

PPPOE相關標準則是在1999年的RFC2516-A MethOd fOr Transmitting PPP Over Ethernet （PPPOE）中明確定義的[1]。PPPOE認證的不足之處在于認證機制比較復雜，對設備處理性能、內存資源需求較高；需要在用戶終端上安裝客戶端程序；組播支持方面，采用PPPOE方式認證時，組播復制點只能選擇在BRAS設備上。

IPOE認證的推出是在2006年，不需要在用戶終端上安裝任何客戶端程序，不需要輸入用戶名和密碼，非常適合新型網絡設備。由于省去了PPP封裝和多余的交互過程，IPOE具備以下諸多優勢：（1）數據傳遞上減少了多余的字節，提高了網絡傳輸效率；（2）使直播節目復制可以從SR/BRAS下移到接入設備上，緩解接入設備的上聯流量壓力；（3）采用DHCP方式建立會話，無論是會話建立的過程還是會話的維持都非常簡捷，更加適合大容量的用戶接入；（4）IPOE實際上是一種無連接的用戶會話接入方式，非常適合于像NGN電話、視頻監控等需要24小時長接在線的業務；（5）采用DHCP方式建立會話，合理設置租期，可以實現在SR設備故障、割接、意外重啟后的快速用戶恢復。

3 運營商新業務對于認證方式的選擇

目前，運營商對于寬帶用戶開展的業務包括寬帶撥號上網業務、WLAN業務、IPTV業務以及融合視頻OTT業務。從原則上講，可以采用單一的IPOE方式提供三網融合業務的綜合接入。但考慮到目前上網業務已經普遍采用PPPOE方式，而PPPOE的局限性更多體現在IPTV等新興業務上，因此，在三網融合的業務接入構架中，上網業務保留PPPOE的接入方式，其它業務采用IPOE方式的混合接入模式。

對于WLAN業務，由于很多用戶終端是智能手機，沒有內置PPPOE軟件，只能使用DHCP方式。

對于IPTV業務，考慮到網絡設備投資的經濟性，組播復制點越靠近用戶越好，因此DHCP方式更適合。

對于家庭網關等終端管理，要求用戶端設備零配置，用戶端設備上電后就能與管理平臺通信，再由管理平臺下發配置信息，不需認證計費，DHCP更經濟合理。

4 部署IPOE時需要關注的幾個問題

一是VLAN規劃。由于IPOE方式不再使用用戶名/口令來識別用戶及其業務類型，因此，用戶接入的VLAN規劃就非常重要。通過VLAN的劃分，可以有效隔離不同用戶和不同業務之間的流量，防止未授權的訪問。目前至少要規劃上網VLAN、視頻（IPTV）VLAN、HGU終端管理VLAN，還要預留VOIP的VLAN。

二是業務網關設備選擇。運營商現網BRAS設備已經承載了大量的寬帶用戶，并且城域網上沒有部署QOS策略，是通過輕載的方式來保證視頻業務的質量。同時考慮到BRAS設備單板處理能力、整機處理能力、LICENSE等情況，選擇SR作為IPTV業務網關。現階段，HGU的量還比較小，由BRAS作為終端管理的業務網關。當HGU數量逐步增多時，還需根據情況再進行調整。

三是DHCP server選擇。現網的大部分BRAS/SR設備也支持作DHCP server功能，是選擇網絡設備作DHCP server的分布式部署還是用專用服務器的集中式部署？由于DHCP服務器上參數很多，因為IPTV平臺擴容、業務變化等引起的參數修改較為頻繁，目前適合于集中式的部署，待DHCP技術及業務穩定后，后續可以考慮分布式部署。

四是不同業務的DHCP server是否能夠合設。運營商最初的DHCP服務器是為家庭網關管理平臺服務的，用戶數很少，后來開展IPTV業務，由于開始是實驗性質的，用戶數也很少，再后來又增加了WLAN業務，開始也是免費試用。因此三種業務最初共用了一套DHCP系統。隨著用戶數量的增加，服務器壓力越來越大，參數調整需要考慮的因素也多，因此后來根據業務的不同進行了分離，分別建設了DHCP系統。

五是租期T的選擇。對于不通的業務，考慮節省投資、節省IP地址，需要設置不同的租期。對于WLAN業務，主要考慮WLAN業務使用的公網IP，目前公網IP地址已經非常緊張，而WLAN用戶數并不多，DHCP服務器壓力也不大，租期設置較短；對于IPTV業務，使用私網IP地址并且用戶數多DHCP服務器壓力大，租期應設置較長；對于家庭網關或HGU管理平臺，使用私網地址、用戶數量大、重要性較低、服務器數量少可減少投資，可將租期設置的更長。

六是DHCP服務器的組網方式，目前主要是通過四層進行負載分擔還是通過anycast方式進行負載分擔。四層負載分擔方式一般由于DHCP服務器有多臺，四層下面還要帶二層；為了安全性，四層上面還要加2臺防火墻。這種方式一是投資大，增加了防火墻（2臺）、四層（2臺）、二層交換機（2臺）的投資，二是增加了故障點及故障率。建議采用anycast方式。

5 結束語

本文簡要介紹了運營商新業務開展現狀和IPOE技術的應用。隨著IPTV、OTT、WLAN業務的快速發展，用戶數量快速增長，故障量也日益增多，而DHCP系統作為這些新業務流程的首要環節—IP地址的分配，系統的穩定運行起著至關重要的作用，因此對DHCP的工作流程及協議分析的了解，有助于故障的預防、故障發生后的快速定位、迅速恢復，為用戶提供滿意的服務。

參考文獻

[1]RFC2516-A Method for Transmitting PPP Over Ethernet （PPPoE）.

[2]RFC 1541 Dynamic Host Configuration Protocol.

[3]RFC 2132-DHCP Options and BOOTP Vendor Extensions.

作者簡介：程學武，男，籍貫：天津，碩士，就職于中國聯通網絡公司天津市分公司設備維護中心，工程師。