通信人家园

标题: [转帖]宽带技术常识 [查看完整版帖子] [打印本页]

时间: 2004-12-5 12:28

作者: enuoCM 标题: [转帖]宽带技术常识

宽带用户可分为两类：卡号用户和固定用户。卡号用户是通过用户名、密码来识别用户；固定用户需要通过一些物理标识或二层逻辑标识来识别。宽带接入和窄带拨号接入不一样，窄带拨号接入目前只支持卡号用户，宽带接入不仅要支持卡号用户，也要支持固定用户，两种方式有不同的应用场合。在ADSL接入中，主要通过用户PVC的VPI/VCI来识别；但是在以太网接入中，卡号用户可以用PPPoE的Session ID（转发平面）来识别并转发。那对固定用户呢？通过VLAN ID来识别用户。
　　现有的宽带用户认证管理核心技术（PPPoE、WEB、DHCP、纯TCP/IP方式）分析
　　认证通常由接入认证服务器和AAA服务器协同完成。认证可称AAA，包含三个方面： Authentication鉴别、Authorization授权、Accounting计费。
　　用户计算机与接入认证服务器的认证方式大致可分为：PPPoE方式、DHCP/DHCP+方式、WEB方式，纯TCP/IP方式。接入认证服务器与AAA Server的通信协议采用标准的Radius协议，Radius协议是用来解决AAA的，现在使用最广，已经成为事实上的标准。为实现增强功能，可采用扩展的Radius协议，即俗称Radius+。网络设备与AAA Server通过Radius协议的认证的简要过程如下：
　　1. 接入认证服务器向AAA Server发出Access Request包，其中包含用户的帐号、密码、端口号、端口类型等；
　　2. AAA Server向网络设备回送Access Response包，其中包含用户的合法性和
用户的一些设置，如IP地址，掩码，DNS server，上网带宽，上网时段等；
　　3. 接入认证服务器不断向AAA Server发送计费消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，Session ID、帐号等。

　　四种认证方式
　　在宽带接入中，按用户与接入认证服务器之间的通信方式，可将认证分为以下四种： PPPoE、DHCP/DHCP+ 、Web和纯TCP/IP认证。
1. PPPoE认证
　　通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。
　　PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
　　PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。
　　在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个接入认证服务器（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个接入认证服务器。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。
　　搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和接入认证服务器都必须为点对点对话阶段虚拟接口提供资源。
　　PPPoE一般用于卡号用户，卡号用户的帐号和密码是通过PPPoE拔号软件输入的，费用也从输入的帐号上扣。
PPPoE认证主要利用PPP的一些属性，与它类似的认证方式还有PPPoA、PPTP、L2TP等。
2. DHCP认证
　　DHCP的认证过程如下：
　　（1）用户主机上电，发出DHCP Request广播包；该包到达接入认证服务器，网络设备得到用户的Vlan ID，根据Vlan ID查表得到用户的认证帐号。将认证帐号送到AAA Server认证。AAA Server返回认证响应。
　　（2）用户上Internet，有流量流经网络设备。接入认证服务器检测到用户的上网流量，向AAA Server发计费开始的消息包。
　　（3）关机时，用户主机会发出DHCP Release包；该包达到接入认证服务器，网络设备将向AAA Server发一个终止计费的消息包，该包同时也包含了用户的流量。计费结束。
　　
3. Web认证
　　认证步骤如下：
　　（1）用户机器上电启动，系统程序根据配置，通过DHCP由ISN做DHCP-Relay，向DHCP Server 要IP地址（私网或公网）；
　　（2） ISN为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问Portal Server和一些内部服务器，个别外部服务器如DNS）；
　　（3） Portal server向用户提供认证页面。在该页面中，用户输入帐号和口令，并单击"login"按钮。也可不输入由帐号和口令，直接单击"login"按钮；
　　（4）该按钮启动Portal Server上的Java或者ActiveX程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备，利用IP地址将收到用户的信息，对用户的合法性进行检查。便于以后的合法性检查。如果用输入了帐号，则认为是卡号用户，使用用户输入的帐号和口令到AAA server对用户进行认证。如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令。将帐号送到AAA Server进行认证；
　　（5） AAA Server返回认证结果给网络设备；
　　（6）认证通过后，修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；
　　（7）用户离开网络前，连接到Portal Server上，单击"断开网络"按钮。系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络。
在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。
4．纯TCP/IP方式认证
　　本公司推出的纯TCP/IP方式认证方式，用户既可以通过Web方式认证（其认证过程与Web方式一致），也可以使用windows 客户端认证（无需安装驱动程序）。
　　在以上认证过程中，由于直接使用TCP/IP协议，没有建立PPP连接的过程，所以认证速度很快，平均速度小于1秒。
　　在认证通过后，客户端和接入认证服务器（BRAS AccLink）保持心跳，当用户主机死机，网络断掉，直接关机时，BRAS AccLink可以根据最后一个心跳包确定用户的上网时长和流量。从而避免了DHCP+和传统Web方式无法确定用户异常退出的问题。
　　当然，纯TCP/IP方式还包含了其它一些功能：例如可以穿透第三层设备认证；在管理上使用了Web方式，方便、简单；支持NAT，ACL等。

时间: 2004-12-6 16:04

作者: shujuren

好东东

时间: 2004-12-6 19:48

作者: banlion

谢谢！

时间: 2005-5-10 11:32

作者: 天山飞雪

谢谢

时间: 2005-5-10 11:32

作者: 天山飞雪

顶

时间: 2005-5-10 22:15

作者: zhoumg

mark

时间: 2005-5-11 20:19

作者: 超级小霸王

楼主好样的

时间: 2005-5-12 00:01

作者: 雕琢的生命

谢谢楼主，说得太好了，支持！

时间: 2005-5-16 15:05

作者: dragon722

提示: 作者被禁止或删除内容自动屏蔽

时间: 2005-5-20 09:42

作者: tangrongxi

受益非浅,呵呵

时间: 2005-5-20 11:03

作者: ilikemaths

了解一点

时间: 2005-5-20 11:22

作者: csf99

GOOD! THX!

时间: 2005-5-20 17:33

作者: zz163a

谢谢!!!

时间: 2005-5-23 11:32

作者: 一只小狼

支持!

时间: 2005-5-23 11:34

作者: 一只小狼

时间: 2005-5-23 13:02

作者: zhangh13

谢谢楼主

时间: 2006-4-6 11:16

作者: jifeng

懂了

时间: 2006-4-11 16:53

作者: wishuishui

不错多谢！

时间: 2006-4-13 11:16

作者: huac06

很详细，不错。

时间: 2006-4-19 11:12

作者: yangcbo

不错！详细，学习中

通信人家园 (https://www.txrjy.com/)