通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 3282|回复: 19
打印

[转帖]宽带技术常识 [复制链接]

军衔等级:

  大校

注册:2004-8-111
跳转到指定楼层
1#
发表于 2004-12-5 12:28:00 |只看该作者 |倒序浏览
宽带用户可分为两类:卡号用户和固定用户。卡号用户是通过用户名、密码来识别用户;固定用户需要通过一些物理标识或二层逻辑标识来识别。宽带接入和窄带拨号接入不一样,窄带拨号接入目前只支持卡号用户,宽带接入不仅要支持卡号用户,也要支持固定用户,两种方式有不同的应用场合。在ADSL接入中,主要通过用户PVC的VPI/VCI来识别;但是在以太网接入中,卡号用户可以用PPPoE的Session ID(转发平面)来识别并转发。那对固定用户呢?通过VLAN ID来识别用户。
  现有的宽带用户认证管理核心技术(PPPoE、WEB、DHCP、纯TCP/IP方式)分析
  认证通常由接入认证服务器和AAA服务器协同完成。认证可称AAA,包含三个方面: Authentication鉴别、Authorization授权、Accounting计费。
  用户计算机与接入认证服务器的认证方式大致可分为:PPPoE方式、DHCP/DHCP+方式、WEB方式,纯TCP/IP方式。接入认证服务器与AAA Server的通信协议采用标准的Radius协议,Radius协议是用来解决AAA的,现在使用最广,已经成为事实上的标准。为实现增强功能,可采用扩展的Radius协议,即俗称Radius+。网络设备与AAA Server通过Radius协议的认证的简要过程如下:
  1. 接入认证服务器向AAA Server发出Access Request包,其中包含用户的帐号、密码、端口号、端口类型等;
  2. AAA Server向网络设备回送Access Response包,其中包含用户的合法性和
用户的一些设置,如IP地址,掩码,DNS server,上网带宽,上网时段等;
  3. 接入认证服务器不断向AAA Server发送计费消息包,这些消息包可以反映出上网开始时间,上网结束时间,输入输出流量,Session ID、帐号等。  

  四种认证方式
  在宽带接入中,按用户与接入认证服务器之间的通信方式,可将认证分为以下四种: PPPoE、DHCP/DHCP+ 、Web和纯TCP/IP认证。
1. PPPoE认证
  通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
  PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
  PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
  在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个接入认证服务器(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个接入认证服务器。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
  搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和接入认证服务器都必须为点对点对话阶段虚拟接口提供资源。
  PPPoE一般用于卡号用户,卡号用户的帐号和密码是通过PPPoE拔号软件输入的,费用也从输入的帐号上扣。
PPPoE认证主要利用PPP的一些属性,与它类似的认证方式还有PPPoA、PPTP、L2TP等。
2. DHCP认证
  DHCP的认证过程如下:
  (1) 用户主机上电,发出DHCP Request广播包;该包到达接入认证服务器,网络设备得到用户的Vlan ID,根据Vlan ID查表得到用户的认证帐号。将认证帐号送到AAA Server认证。AAA Server返回认证响应。
  (2) 用户上Internet,有流量流经网络设备。接入认证服务器检测到用户的上网流量,向AAA Server发计费开始的消息包。
  (3) 关机时,用户主机会发出DHCP Release包;该包达到接入认证服务器,网络设备将向AAA Server发一个终止计费的消息包,该包同时也包含了用户的流量。计费结束。
  
3. Web认证
  认证步骤如下:
  (1) 用户机器上电启动,系统程序根据配置,通过DHCP由ISN做DHCP-Relay,向DHCP Server 要IP地址(私网或公网);
  (2) ISN为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问Portal Server和一些内部服务器,个别外部服务器如DNS);
  (3) Portal server向用户提供认证页面。在该页面中,用户输入帐号和口令,并单击"login"按钮。也可不输入由帐号和口令,直接单击"login"按钮;
  (4) 该按钮启动Portal Server上的Java或者ActiveX程序,该程序将用户信息(IP地址,帐号和口令)送给网络中心设备,利用IP地址将收到用户的信息,对用户的合法性进行检查。便于以后的合法性检查。如果用输入了帐号,则认为是卡号用户,使用用户输入的帐号和口令到AAA server对用户进行认证。如果用户未输入帐号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的帐号和口令。将帐号送到AAA Server进行认证;
  (5) AAA Server返回认证结果给网络设备;
  (6) 认证通过后,修改该用户的ACL,用户可以访问外部因特网或特定的网络服务;
  (7) 用户离开网络前,连接到Portal Server上,单击"断开网络"按钮。系统停止计费,删除用户的ACL和转发信息,限制用户不能访问外部网络。
在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断掉,直接关机等。
4.纯TCP/IP方式认证
  本公司推出的纯TCP/IP方式认证方式,用户既可以通过Web方式认证(其认证过程与Web方式一致),也可以使用windows 客户端认证(无需安装驱动程序)。
  在以上认证过程中,由于直接使用TCP/IP协议,没有建立PPP连接的过程,所以认证速度很快,平均速度小于1秒。
  在认证通过后,客户端和接入认证服务器(BRAS AccLink)保持心跳,当用户主机死机,网络断掉,直接关机时,BRAS AccLink可以根据最后一个心跳包确定用户的上网时长和流量。从而避免了DHCP+和传统Web方式无法确定用户异常退出的问题。
  当然,纯TCP/IP方式还包含了其它一些功能:例如可以穿透第三层设备认证;在管理上使用了Web方式,方便、简单;支持NAT,ACL等。

举报本楼

本帖有 19 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-15 21:32 , Processed in 0.138412 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部