摘 要:随着IPTV业务在城域网上部署和发展,引入了新的安全风险,文章对这些风险进行了综合分析,提出了IPTV承载网安全加固建议。
关键词:IPOE;认证方式;新业务;PPPOE;DHCP
1 背景
随着城域网宽带业务的发展,可运营、可管理的网络建设理念已经深入人心。采用动态IP地址,每用户带宽控制的PPPOE设备已经成为电信运营商主要的接入方式。随着IP网上新业务的迅速发展,人们产生了所有智能设备联网的需求、移动高速上网的需求、有保障可控视频的需求。随着提供业务的多样化,用户认证方式作为可运营、可管理的核心,受到包括运营商、制造商的密切关注。目前核心认证技术主要包括IPOE和PPPOE,两种应用都比较成熟,并在当前的网络建设中获得大规模商用。下面首先对这两种认证方式进行全面的分析比较,然后提出多业务承载对于认证技术的需求,最后讨论IPOE认证技术在部署时需要注意的地方。
2 PPPOE与IPOE比较
PPPOE相关标准则是在1999年的RFC2516-A MethOd fOr Transmitting PPP Over Ethernet (PPPOE)中明确定义的[1]。PPPOE认证的不足之处在于认证机制比较复杂,对设备处理性能、内存资源需求较高;需要在用户终端上安装客户端程序;组播支持方面,采用PPPOE方式认证时,组播复制点只能选择在BRAS设备上。
IPOE认证的推出是在2006年,不需要在用户终端上安装任何客户端程序,不需要輸入用户名和密码,非常适合新型网络设备。由于省去了PPP封装和多余的交互过程,IPOE具备以下诸多优势:(1)数据传递上减少了多余的字节,提高了网络传输效率;(2)使直播节目复制可以从SR/BRAS下移到接入设备上,缓解接入设备的上联流量压力;(3)采用DHCP方式建立会话,无论是会话建立的过程还是会话的维持都非常简捷,更加适合大容量的用户接入;(4)IPOE实际上是一种无连接的用户会话接入方式,非常适合于像NGN电话、视频监控等需要24小时长接在线的业务;(5)采用DHCP方式建立会话,合理设置租期,可以实现在SR设备故障、割接、意外重启后的快速用户恢复。
3 运营商新业务对于认证方式的选择
目前,运营商对于宽带用户开展的业务包括宽带拨号上网业务、WLAN业务、IPTV业务以及融合视频OTT业务。从原则上讲,可以采用单一的IPOE方式提供三网融合业务的综合接入。但考虑到目前上网业务已经普遍采用PPPOE方式,而PPPOE的局限性更多体现在IPTV等新兴业务上,因此,在三网融合的业务接入构架中,上网业务保留PPPOE的接入方式,其它业务采用IPOE方式的混合接入模式。
对于WLAN业务,由于很多用户终端是智能手机,没有内置PPPOE软件,只能使用DHCP方式。
对于IPTV业务,考虑到网络设备投资的经济性,组播复制点越靠近用户越好,因此DHCP方式更适合。
对于家庭网关等终端管理,要求用户端设备零配置,用户端设备上电后就能与管理平台通信,再由管理平台下发配置信息,不需认证计费,DHCP更经济合理。
4 部署IPOE时需要关注的几个问题
一是VLAN规划。由于IPOE方式不再使用用户名/口令来识别用户及其业务类型,因此,用户接入的VLAN规划就非常重要。通过VLAN的划分,可以有效隔离不同用户和不同业务之间的流量,防止未授权的访问。目前至少要规划上网VLAN、视频(IPTV)VLAN、HGU终端管理VLAN,还要预留VOIP的VLAN。
二是业务网关设备选择。运营商现网BRAS设备已经承载了大量的宽带用户,并且城域网上没有部署QOS策略,是通过轻载的方式来保证视频业务的质量。同时考虑到BRAS设备单板处理能力、整机处理能力、LICENSE等情况,选择SR作为IPTV业务网关。现阶段,HGU的量还比较小,由BRAS作为终端管理的业务网关。当HGU数量逐步增多时,还需根据情况再进行调整。
三是DHCP server选择。现网的大部分BRAS/SR设备也支持作DHCP server功能,是选择网络设备作DHCP server的分布式部署还是用专用服务器的集中式部署?由于DHCP服务器上参数很多,因为IPTV平台扩容、业务变化等引起的参数修改较为频繁,目前适合于集中式的部署,待DHCP技术及业务稳定后,后续可以考虑分布式部署。
四是不同业务的DHCP server是否能够合设。运营商最初的DHCP服务器是为家庭网关管理平台服务的,用户数很少,后来开展IPTV业务,由于开始是实验性质的,用户数也很少,再后来又增加了WLAN业务,开始也是免费试用。因此三种业务最初共用了一套DHCP系统。随着用户数量的增加,服务器压力越来越大,参数调整需要考虑的因素也多,因此后来根据业务的不同进行了分离,分别建设了DHCP系统。
五是租期T的选择。对于不通的业务,考虑节省投资、节省IP地址,需要设置不同的租期。对于WLAN业务,主要考虑WLAN业务使用的公网IP,目前公网IP地址已经非常紧张,而WLAN用户数并不多,DHCP服务器压力也不大,租期设置较短;对于IPTV业务,使用私网IP地址并且用户数多DHCP服务器压力大,租期应设置较长;对于家庭网关或HGU管理平台,使用私网地址、用户数量大、重要性较低、服务器数量少可减少投资,可将租期设置的更长。
六是DHCP服务器的组网方式,目前主要是通过四层进行负载分担还是通过anycast方式进行负载分担。四层负载分担方式一般由于DHCP服务器有多台,四层下面还要带二层;为了安全性,四层上面还要加2台防火墙。这种方式一是投资大,增加了防火墙(2台)、四层(2台)、二层交换机(2台)的投资,二是增加了故障点及故障率。建议采用anycast方式。
5 结束语
本文简要介绍了运营商新业务开展现状和IPOE技术的应用。随着IPTV、OTT、WLAN业务的快速发展,用户数量快速增长,故障量也日益增多,而DHCP系统作为这些新业务流程的首要环节—IP地址的分配,系统的稳定运行起着至关重要的作用,因此对DHCP的工作流程及协议分析的了解,有助于故障的预防、故障发生后的快速定位、迅速恢复,为用户提供满意的服务。
参考文献
[1]RFC2516-A Method for Transmitting PPP Over Ethernet (PPPoE).
[2]RFC 1541 Dynamic Host Configuration Protocol.
[3]RFC 2132-DHCP Options and BOOTP Vendor Extensions.
作者简介:程学武,男,籍贯:天津,硕士,就职于中国联通网络公司天津市分公司设备维护中心,工程师。