什么是IPoE?IPoE与PPPoE相比有哪些不同?
IPoE(IP over Ethernet)是一种接入认证技术。在IPoE中,用户通过DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)动态获取IP地址,接入网络。IPoE的出现提供了一种灵活、高效的访问控制方式,用户终端无需安装专用的客户端软件即可接入网络,适合多种网络设备的接入,如智能手机、数字电视、PSP等。
IPoE简便快捷的接入技术在减少客户端维护工作量的同时,也便于运营商在认证页面上开展各类业务拓展,如广告推送,标语宣传,责任公告等,被广泛应用于连锁酒店、校园、火车站等网络中。
IPoE解决了哪些问题?
IPoE与PPPoE均为接入认证技术。传统的PPPoE(Point-to-Point Protocol over Ethernet)接入认证技术以点对点的方式,将数据封装在以太网框架中,通过建立PPP会话和封装PPP报文为PPPoE报文,为用户提供接入、控制和计费功能。用户设备在通过PPPoE接入网络前,需安装客户端软件,设备接入效率低。另外,PPP协议是一种点对点协议,基于该协议的PPPoE技术对组播性能支持较弱,网络开销较大,限制了网络的使用范围和组播业务的开展。在当时,面对日新月异的用户业务需求,尤其是需要网络组播能力支持的业务,例如IPTV(网络电视),PPPoE接入认证方式已经显现出其不足,需要尽快采用新的接入技术来支撑这些新的业务。IPoE就是一种能够满足多业务支撑需求的接入认证技术。
IPoE接入认证技术将用户的IP报文直接在以太网上封装,形成IPoE报文,IPoE报文中携带了可用于认证和授权的用户物理和逻辑信息,通过和其他认证协议配合,可以实现用户的高效接入与认证。这种接入认证的方式不要求用户设备安装客户端软件,实现了设备的快速接入。相比于PPPoE,IPoE没有额外的协议封装,组播数据流可以在最靠近用户接入侧的二层交换机上做组播复制,极大程度地减小了网络开销,提高了传输效率,十分适合承载IPTV等一对多的视频业务。
IPoE的特点
- 支持组播业务。IPoE具有灵活的组播能力,能够实现高效组播复制,减轻网络的压力,适合一点对多点的视频业务。
- 支持长时间在线业务。通过IPoE接入的终端只有在DHCP租期过一半时才需续订,其他时间DHCP服务器与接入设备间无交互,减小了网络开销。
- 协议流程简单,对终端和设备性能要求较低。IPoE利用DHCP报文中用户的物理和逻辑信息,可实现业务终端的零配置部署,从而简化终端的相关业务流程,降低了终端的设计要求。
IPoE是如何接入认证的?
本节将介绍IPoE的接入认证流程和不同的认证方式。
IPoE接入认证流程
在了解IPoE接入认证流程之前,先了解下IPoE组网结构中的各个角色。IPoE典型组网如下图所示,它由四个基本要素组成:用户终端、BRAS接入设备、RADIUS服务器和DHCP服务器。
IPoE组网图
- 用户终端:用户终端泛指所有通过局域网或广域网接入宽带接入设备的终端。
- BRAS接入设备:路由器等三层宽带接入设备的统称,主要有以下三个作用:
- 认证前,阻止用户访问互联网资源。
- 认证过程中,与RADIUS服务器交互,完成身份认证、授权、计费的功能。
- 认证通过后,允许通过认证的用户访问被授权的互联网资源。
- RADIUS服务器:与BRAS接入设备进行交互,完成对用户的认证。
- DHCP服务器:与用户终端、接入设备进行交互,完成对用户主机IP地址的管理和分配。
IPoE用户接入具体流程如下图所示:
IPoE用户接入认证流程图
- 用户终端发送DHCP请求报文,请求接入网络。
- BRAS设备收到用户终端的DHCP请求报文,根据请求报文中的信息自动生成认证信息,并发送到RADIUS服务器请求认证。
- RADIUS服务器收到认证信息,对用户进行认证。如认证不通过,则返回拒绝报文,BRAS设备会终结与用户终端的会话;如认证通过,则给BRAS设备返回认证通过报文。
- BRAS设备收到认证通过报文后,向DHCP服务器发送IP地址请求报文。
- DHCP服务器根据用户不同的业务信息分配相应的IP地址。
- BRAS设备收到IP地址后向用户终端发送DHCP确认报文,成功接入用户终端。
- BRAS设备向RADIUS服务器发送开始计费报文,对用户上网行为进行计费。
IPoE认证方式
在上述用户接入认证流程中,BRAS设备根据用户终端的请求报文自动生成了认证信息,发送给RADIUS服务器进行认证,这种认证方式是DHCP认证。在实际应用中,IPoE还利用DHCP协议,将网络划分为前域和后域,用户在前域进行认证,认证通过后接入后域。这种类型的认证方式有以下三种:
- Web认证
Web认证,也称Portal认证,用户通过在Web页面输入用户名和密码接入网络,常用在校园网、火车站等公共场所的网络中。Web认证可以为运营商提供方便的管理功能,允许运营商在门户网站上开展广告、社区服务等个性化业务,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。Web认证分为主动Web认证和强制Web认证。
- 主动Web认证:用户主动访问位于Web服务器上的认证页面,输入用户名和密码并提交后,Web服务器获取用户名和密码并将用户名和密码发送给BRAS接入设备,BRAS接入设备与RADIUS服务器进行消息交互,共同完成用户认证。
- 强制Web认证:用户试图通过HTTP/HTTPS访问其他网站时,会被BRAS接入设备强制重定向到Web认证页面,只有输入用户名和密码并提交后,Web服务器才会将用户名和密码发送给BRAS设备,BRAS设备与RADIUS服务器进行消息交互,共同完成用户认证。
- Web+MAC认证
Web+MAC认证,也称MAC简化认证,是指用户首次上网时需要在Web页面输入用户名和密码,RADIUS服务器认证通过后,将自动记录的终端MAC地址与用户名关联在一起,后续一定时间内,使用相同终端接入的用户再次上网时,无需输入用户名和密码即可直接访问网络。
- 快速认证
快速认证是一种更为简化的认证方式,是指用户访问Web页面,但是无需输入用户名和密码,直接提交认证。BRAS设备根据用户接入的接口信息自动生成用户名和密码,进行认证。
IPoE与PPPoE相比有哪些不同?
目前,IPoE和PPPoE作为用户接入两大最常见的接入方式,已经实现了广泛的应用。虽然两者都属于用户接入认证的方式,但IPoE和PPPoE之间有很大的区别。
二者详细对比如下图所示。
IPoE与PPPoE对比图
IPoE和PPPoE两种认证方式适合不同的网络需求。IPoE可以自主管理IP地址的使用期限,可以在局域网范围内进行设置,无需客户端软件,操作简单,但是需要配合其他协议来进行认证,在IPTV和VoIP(Voice over IP,基于IP的语音传输)业务上应用比较广泛;PPPoE的认证方式可管理性强,具有较高的安全性,其代价是限制了网络的使用范围和组播业务的开展,因此在HSI(High Speed Internet)高速上网业务和光纤宽带拨号上网业务中应用比较广泛。
在安全性方面,PPPoE中点对点的封装和传输为用户的接入与认证提供了较高的安全保障;IPoE的安全性方面则需要家庭网关,网络接入设备,宽带网络网关协同工作,其保证策略包括:反地址欺骗,用户终端数限制,防 Dos 攻击,业务隔离,非法组播源抑制,端口隔离等。
- 作者: 王天舒
- 最近更新: 2022-11-23
- 浏览次数: 39693
- 平均得分:
