三网融合业务接入控制方式的研究及实现

在Radius中将用户的MAC地址和线路号绑定。在Radius数据库中查询到MAC地址和线路号，DHCP的请求方可经Radius服务器认证通过后被送到DHCP Server，才能获得IP地址。这种方式降低了通过发送大量的DHCP请求，模拟不同MAC地址的请求，攻击DHCP Server的风险。

在用户通过认证获得IP地址之前，设定DHCP数据包能够通过的数量限制，降低Radius Server的压力。如对来自同一个DSLAM线路号的Radius请求数量作控制，比如1s内，最多允许1个请求，如连续出现多个请求，则认为发生攻击，直接丢弃Radius数据包。依靠这种机制解决大量的DHCP请求发送到Radius服务器的风险。

·其它安全措施

禁止用户端口间直接转发的端口隔离;通过VLAN隔离方式进行业务隔离。

2.3 PPPoE和IPoE对比分析

引入IPoE系统之后，IPoE可以完成原有PPPoE系统的所有功能，同时还能提供如下优势：

(1)终端支持

所有支持IP协议的设备都支持，不需要安装第三方拨号软件，可以广泛支持各种手持设备、移动设备、视频设备等。

(2)报文开销

由于PPPoE报文引入了PPPoE头(6Bytes)和PPP头(2Bytes)，所以在所有用户流量里面增加了8个字节的协议开销，对于高带宽的应用(8M的高清电视等)，处理能力不高的终端设备压力很大。

(3)组播复制

由于PPPoE报文是在BRAS设备和用户之间建立点对点连接，中间的交换机层次不能很好地理解PPPoE报文格式，只能进行转发，无法进行针对VLAN等信息的有效组播复制。所以采用PPPoE迸行组播业务的开展，组播复制点只能是BRAS设备，而采用IPoE，可以把组播复制点下移到DSLAM，一方面减少了BRAS设备的压力，另一方面也极大地节约了网络接入层带宽。

(4)用户冗余

IPoE方式可以对接入的用户数量进行控制，如采用Portal方式，其增值业务能力较强。

根据上述讨论，在终端支持、封装开销和组播支持认证效率等方面，IPoE认证具有较明显的优势。缺点是对用户的控制力度不足，在用户认证/策略控制/地址分配/会话监控等方面有待完善。

3 业务按入控制技术实现

3.1单边缘与多边缘接入控制分析

由于IPoE在IPTV等新型业务承载方面具有的明显优势，可能成为未来的主要认证方式。而PPPoE作为目前宽带业务的主要认证方式也将长期存在。根据不同的业务类型，灵活选择IPoE和PPPoE认证方式，可用同一套Ra山us系统支持两种认证方式。通过部署多边缘接入架构，实现对每用户/每业务的精细化控制和QOS保证，是业务融合的方向。

(1)单边缘接入控制

如图1所示，单边缘业务接入模式是指用户的宽带上网业务和IPTV业务共用相同的接入控制点BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP/专线的方式接入BRAS。当使用PPPoE方式时，可以利用不同的域名或不同的VP/LVACN来区分接入是来自机顶盒，还是来自PC;当采用DHCP方式时，可以利用机顶盒的MAC地址和DHCP Option60，或DHCP Option82控制对机顶盒分配地址。宽带网承载的NGN语音业务，可以采用BRAS兼作PE构建MPLSVPN。

图1 单边缘接入方式

(2)多边缘接入控制

如图2所示，多(双)边缘接入模式是指宽带上网业务和IPTV业务分别由专用的业务接入控制点提供。宽带上网业务仍由原有的BRAS作为业务控制点;IPTV业务则使用SR作为控制点，STB采用DHCP/专线接入方式;NGN语音业务使用另外的SR作为控制点，或者与IPTV业务共用SR。不同的业务一般由汇聚交换机根据VLANID分离后，进入相应的业务控制设备。

图2 多边缘接入方式

(3)业务接入控制方案

如采用单边缘接入，随着IPTV用户数量的增加将会加重BRAS负荷，造成端口的带宽紧张。BRAS如再兼作PE，设备可能将不堪重负。在理论上，上网业务，IPTV业务，NGN语音业务可以共用BRAS接入，但实际应用时需考虑设备的承载能力，考虑设备的设计定位。

如采用多(双)边缘接入控制方式，需从终端起，在二层接入网络中为每个用户的每种业务部署不同的二层虚通道PV(/LVAC)，将增加二层网络的复杂性。为减轻复杂性，可采用单通道接入，再利用汇聚交换机具备的业务感知能力分离不同的业务。这种方式使不同的业务接入控制点之问，难以进行不同业务间的流量控制和协调。

在建网初期，可以将BRAS作为IPTV业务的接入网关，但随着用户数的增长，BRAS承载压力加大。所以可以单设SR作为IPTV业务业务接入控制点(见表1)。

表1　接入控制方式的选择

如果城域网的POP点用户规模偏大，建议采用双边缘/多边缘方式，部分业务量偏少，业务发展潜力不大的县级POP点采用单边缘方式。在同一城域网内尽可能地使用一种方案。如IPTV业务由BRAS作为业务控制点，则通常采用PPPoE的方式提供，Radius认证。如果由SR作为业务控制点，通常采用IPoE方式提供，DHCP认证。

3.2宽带网络业务网关

从前面的技术分析看出，IPoE和PPPoE将在一段时期内并存，满足不同业务需求。无论采用何种认证机制，都需要部署业务接入控制网关来对用户的接入。认证、会话及QOS等策略进行管理。网络边缘业务控制设备从仅支持PPPoE的设备(如BRAS)向TR101架构定义的宽带网络业务网关(BNG同时支持PPPoE和IPoE)演进。传统的BRAS是为支持PPPoE协议而设计的设备，通过增加IPoE功能演变为BNG设备。传统的业务路由器支持高带宽的IPoE用户控制，通过增加PPPoE功能而演进为BNG设备。