基于SDN的寬帶接入網用戶認證方式研究

劉漢江+毛宇+陳文華

【摘 ? ?要】通過介紹SDN的層次結構和OpenFlow的工作原理，分析了現有寬帶接入業務的2種典型認證方式，討論了它們在SDN技術構建的寬帶接入網中的實現方式、網絡結構和優缺點，證明了IPoE認證方式更適合應用于未來的SDN寬帶接入網絡。

【關鍵詞】寬帶接入網 ? ?SDN ? ?OpenFlow ? ?認證

中圖分類號：TN929.5 ? ?文獻標識碼：A ? ?文章編號：1006-1010（2014）-22-0056-04

Research on User Authentication Methods for Broadband Access Network

Based on SDN

LIU Han-jiang， MAO Yu， CHEN Wen-hua

（Guangzhou Research Institute of China Telecom Co.， Ltd.， Guangzhou 510630， China）

[Abstract]The hierarchical structure of SDN and working principle of OpenFlow are introduced. The existing two typical authentication methods of broadband access network are analyzed， in the meantime， their implementations， network structures， advantages and disadvantages of the two authentication methods in broadband access network constructed by SDN technology are discussed. It is proved that IPoE authentication mode is more suitable for SDN broadband access network in the future.

[Key words]broadband access network ? ?Software Defined Network （SDN） ? ?OpenFlow ? ?authentication

1 ? 前言

隨著三網融合應用的不斷推進，用戶消費行為和行業發展發生了深刻地變化，網絡流量正以爆發式的方式增長，這就給寬帶接入網提出了新的需求，全業務、高帶寬、易運行維護、安全穩定可控成為了未來寬帶接入網的發展趨勢。為了實現用戶對于“高帶寬”的需求，電信運營商正在不斷加大光纖接入網的建設力度，目前我國很多小區已經實現了100M帶寬的光纖接入。以PON（Passive Optical Network，無源光網絡）為主的FTTB（Fiber to The Building，光纖到樓）、FTTC（Fiber to The Curb，光纖到路邊）、FTTH（Fiber to The Home，光纖到戶）技術有效地解決了網絡容量的問題。

為了實現寬帶接入業務的運營，運營商在網絡中引入了諸如認證、鑒權、計費、帶寬限速、用戶隔離、業務標識、QoS（Quality of Service，服務質量）、DPI（Deep Packet Inspection，深度報文檢測）等功能，從而使得寬帶接入業務可管可控，形成了不同帶寬產品之間的區隔，保證了用戶的安全[1]。但是，日益增長的互聯網流量和復雜多樣的承載業務給寬帶接入網的運維管理帶來了巨大的挑戰[2]。而SDN（Software Defined Network，軟件定義網絡）技術作為一種新興的網絡技術，為運營商降低網絡運維管理的復雜程度，實現網絡與業務的強關聯、業務的快速部署提供了技術手段。

在網絡的諸多功能中，用戶認證方式作為可運營、可管理的核心，一直受到包括運營商、制造商的密切關注。因此，在基于SDN構建的寬帶接入網絡中，用戶認證仍然是運營商需要關注的核心問題。

2 ? OpenFlow概述

軟件定義網絡（SDN）的核心理念是使網絡軟件化并提供靈活的開放接口，使得網絡能夠像軟件一樣便捷、靈活，從而提高網絡的創新能力[3]。如圖1所示，軟件定義網絡（SDN）的邏輯架構由基礎設施層、控制層和應用層組成。其中，基礎設施層主要為轉發設備，實現轉發功能;控制層由SDN控制軟件組成，可通過標準化協議與下層進行通信，實現對基礎設施層的控制;應用層不同的應用邏輯可通過控制層開放的API管理能力控制設備的報文轉發功能[4-5]。

如圖1所示，軟件定義網絡（SDN）具有2種不同的網絡API接口：北向接口和南向接口。OpenFlow是一種業界普遍認可的標準化南向API，該協議由負責監管OpenFlow協議的標準組織開放式網絡基金會（ONF）制定發布。其中，OpenFlow交換機是整個OpenFlow網絡的核心部件，其轉發行為由流表進行控制。OpenFlow交換機接收到數據包后，首先在本地的流表上查找轉發目標端口，如果匹配則執行流表指定的動作，如果不匹配則將數據包轉發給控制器，由控制層決定轉發端口。控制器和交換機之間的信息交互采用OpenFlow協議，交換機的流表也由控制器通過OpenFlow協議下發。

3 ? 現有寬帶接入網的認證方式分析

目前運營商采用的認證技術主要包括IPoE和PPPoE這2種方式。endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網發送PPP包的傳輸方法在同一以太網上建立多個PPP連接。其中PPP協議提供了通訊雙方身份驗證的功能，從而實現用戶接入認證和管理。但是，PPP協議是一種點對點的協議，協議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）協議進行動態地址配置，DHCP協議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統稱為DHCP+認證。國內運營商的IPTV、WLAN業務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網絡中的

實現方案

PPPoE和IPoE這2種認證方式在現網中均有較大規模的應用。從幀結構上講，由于PPPoE經過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數據包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網絡中，所有的轉發設備由OF交換機替代，部分業務網元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業務路由器）功能虛擬化后，仍然可以繼續采用PPPoE或IPoE來進行認證，這2種方式的網絡結構和對設備的功能要求有較大區別。

采用PPPoE方式需要在網絡中選擇1個設備節點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE。控制器需要解析每個PPP報文，深度參與數據包的轉發，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網元增加了對下聯交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發過程，但是目前OpenFlow協議中規定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網絡結構如圖5所示。采用IPoE方式的網絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發給用戶主機。控制器根據用戶申請的業務和產品對交換機下發流表，控制轉發行為，此后控制器不再參與包轉發過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發送給控制器。

5 ? 總結

根據上述分析，在SDN技術構建的寬帶接入網絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數據包的轉發過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發，而后根據用戶業務屬性向交換機下發相應的流表，實現起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網絡革命拂曉：SDN進入智能寬帶接入網[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網發送PPP包的傳輸方法在同一以太網上建立多個PPP連接。其中PPP協議提供了通訊雙方身份驗證的功能，從而實現用戶接入認證和管理。但是，PPP協議是一種點對點的協議，協議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）協議進行動態地址配置，DHCP協議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統稱為DHCP+認證。國內運營商的IPTV、WLAN業務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網絡中的

實現方案

PPPoE和IPoE這2種認證方式在現網中均有較大規模的應用。從幀結構上講，由于PPPoE經過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數據包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網絡中，所有的轉發設備由OF交換機替代，部分業務網元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業務路由器）功能虛擬化后，仍然可以繼續采用PPPoE或IPoE來進行認證，這2種方式的網絡結構和對設備的功能要求有較大區別。

采用PPPoE方式需要在網絡中選擇1個設備節點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE。控制器需要解析每個PPP報文，深度參與數據包的轉發，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網元增加了對下聯交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發過程，但是目前OpenFlow協議中規定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網絡結構如圖5所示。采用IPoE方式的網絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發給用戶主機。控制器根據用戶申請的業務和產品對交換機下發流表，控制轉發行為，此后控制器不再參與包轉發過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發送給控制器。

5 ? 總結

根據上述分析，在SDN技術構建的寬帶接入網絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數據包的轉發過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發，而后根據用戶業務屬性向交換機下發相應的流表，實現起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網絡革命拂曉：SDN進入智能寬帶接入網[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網發送PPP包的傳輸方法在同一以太網上建立多個PPP連接。其中PPP協議提供了通訊雙方身份驗證的功能，從而實現用戶接入認證和管理。但是，PPP協議是一種點對點的協議，協議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）協議進行動態地址配置，DHCP協議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統稱為DHCP+認證。國內運營商的IPTV、WLAN業務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網絡中的

實現方案

PPPoE和IPoE這2種認證方式在現網中均有較大規模的應用。從幀結構上講，由于PPPoE經過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數據包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網絡中，所有的轉發設備由OF交換機替代，部分業務網元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業務路由器）功能虛擬化后，仍然可以繼續采用PPPoE或IPoE來進行認證，這2種方式的網絡結構和對設備的功能要求有較大區別。

采用PPPoE方式需要在網絡中選擇1個設備節點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE。控制器需要解析每個PPP報文，深度參與數據包的轉發，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網元增加了對下聯交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發過程，但是目前OpenFlow協議中規定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網絡結構如圖5所示。采用IPoE方式的網絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發給用戶主機。控制器根據用戶申請的業務和產品對交換機下發流表，控制轉發行為，此后控制器不再參與包轉發過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發送給控制器。

5 ? 總結

根據上述分析，在SDN技術構建的寬帶接入網絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數據包的轉發過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發，而后根據用戶業務屬性向交換機下發相應的流表，實現起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網絡革命拂曉：SDN進入智能寬帶接入網[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint