嘉定都市网

[求解]嘉定电信宽带的认证?   boring 发表于 2003-11-11 09:49
  • TA的每日心情
    慵懒
    2012-10-15 21:36
  • 签到天数: 1 天

    [LV.1]初来乍到

    61
     楼主| 发表于 2003-2-19 22:07:48 | 只看该作者
    那你还要算服务器的折旧吧.怎么现在搞网站的都穷算到这个地步?当初烧钱的时候怎么没考虑到呢?
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    无聊
    2014-4-17 22:09
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    62
    发表于 2003-2-19 22:09:30 | 只看该作者
    原文由 boring 发表

    不开服机器也要折旧,当初烧钱的时候是网络圈地,那时候有赚头啊,现在全都是无偿的,全靠自己的兴趣使然。。。。
    回复 支持 反对

    使用道具 打印 举报

    该用户从未签到

    63
    发表于 2003-2-19 22:12:27 | 只看该作者
    电费什么的是不会心疼的,目前我这里还有300多个个人主页在运行,家人老说我电脑是给别人买的!10个人登陆一个主页空间,一下就3000人,如果能收费的话,那倒还可以收点补贴回来!但为了兴趣,这点开销还是很小的,有些人玩别的,我这个还不算!
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    无聊
    2014-4-17 22:09
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    64
    发表于 2003-2-19 22:14:00 | 只看该作者
    原文由 hotcy小炎 发表

    这种精神还是值得尊敬的
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    慵懒
    2012-10-15 21:36
  • 签到天数: 1 天

    [LV.1]初来乍到

    65
     楼主| 发表于 2003-2-19 22:15:31 | 只看该作者
    回复 支持 反对

    使用道具 打印 举报

    该用户从未签到

    66
    发表于 2003-2-19 22:18:47 | 只看该作者
    所以,小弟目前的个人空间出现在大大小小的论坛中,本来还是可以在线注册即时开通,但现在关闭了,想想自己的环境也不能充大亨啊!现在只提供一些较为优秀但无钱购空间的朋友,大都是在校学生!
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    慵懒
    2017-4-19 12:56
  • 签到天数: 1133 天

    [LV.10]以坛为家III

    67
    发表于 2003-6-3 12:57:06 | 只看该作者
    这个主题很有讨论的价值。。。抱歉,我才看到。

    找了点资料,据偶现在的了解和猜测回答楼主的几个问题。。。

    主要的“FTTB+LAN”认证方式
     由于需求的差异性,目前由国外公司主导制定的LAN技术相关国际标准几乎没有涉及用户认证问题,我们现在采用或准备采用的“FTTB+LAN”认证方式都是基于各省电信公司的实际得来的,主要包括三种:基于端口的认证、基于PPPOE协议的认证和基于WEB的认证。
     基于端口的认证是“FTTB+LAN”发展初期的主要认证方式,在该种认证方式下,系统实际上并没有对用户进行特别的认证只是通过底层交换机的端口开/关状态来控制用户的接入。基于端口的认证实现起来比较简单并因此具有了较高的可靠性。但这种认证方式不能够满足电信级规模的用户管理,在开展宽带增值业务的时候也缺少灵活性,目前使用环境都是独自经营的社区或酒店而在未来的电信公司运营的宽带接入网中继续存在的可能性不大。
     基于PPPOE协议的认证方式原来主要应用于ADSL接入。顾名思义,PPPOE就是在以太网上建立PPP连接,具体的协议堆栈如图一所示。由于传统的拨号上网就是基于PPP协议实现的,与此相应的是我们已经建立了成熟的用户管理和计费系统,所以在以太网上继续使用PPP连接协议能够充分利用以前的运行维护经验,这种认证方式基本上得到了电信公司的认可。但是PPP这种点到点的连接协议并不是完全适合以太网这种基于广播式的开放网络,至少不能充分发挥LAN技术的优点,这在后面会详细描述。



     基于WEB的认证实际上是一系列认证方式的统称。这些认证方式的共同特点是:在宽带接入网中设置认证服务器,用户端需要启动IE等浏览器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址,认证服务器控制网络交换机将用户划入设定好的VLAN中接入宽带网。目前,各个厂商在用户与认证服务器的交互过程、对交换机控制方式上不尽相同,暂时没有统一的标准。基于WEB的认证是随着国内“FTTB+LAN”建设的发展而发展的。由于“FTTB+LAN”接入方式非常具有中国特色,我们没有办法充分利用国际成熟的协议或技术来实现电信级的管理,基于WEB认证方式虽然需要一段时间以更加完善,但是很可能成为LAN技术认证技术发展的方向。与基于PPPOE的认证技术相比,基于WEB的认证方式具有很好的扩展性,更能发挥LAN网络的优点。

     3、 PPPOE认证与基于WEB认证两种主要认证方式的比较
     目前,PPPOE的认证方式和基于WEB认证都具备了进行商业使用的条件,但各自都具备比较明显的优点和缺点,以下是二者的主要特点比较。

    比较项目
    PPPOE方式
    基于WEB的认证方式
    实际应用中的

    评价

    客户端软件
    需要安装
    无需安装
    在商业应用中无需安装软件带来很大的方便

    实现的网络层面
    服务器(BRAS)只能穿透二层交换机与用户相连
    认证服务器可以透过二层、三层交换机与用户相连
    由于二层的网络不能做的很大,PPPOE的这一特点会导致我们使用很多分布的BRAS

    支持组播情况
    在用户端与BRAS之间无法支持组播
    对组播无影响
    目前Internet还不能够支持组播协议

    对网络的影响
    汇聚所有用户数据流,可能成为网络的瓶颈
    只在用户认证过程起作用,认证结束后与网络无关
    PPPOE社区本身提供的业务不能够很好的支持,详细的描述在后面讨论

    带宽大小的控制
    易于实现
    认证本身无法控制带宽大小,可以配合具体设备实现带宽控制
    社区宽带应用中对于带宽控制的需求并不多

    成熟度
    非常成熟
    目前各个公司刚刚开始应用,但该技术难度不大
    对于WEB认证方式在采用前需要对厂商的具体方案进行验证

    标准化
    已经成为国际标准
    厂商只能够在自己的部分设备上实现
    IETF已经形成了802.1X标准的草案

    实现可靠性
    比较可靠
    由于包括DHCP、认证服务器等多个设备,并且握手过程比PPPOE复杂,故障点相对多
    厂商再投入适当的研发后,可靠性的问题可以完全解决

    成本
    相对高
    相对低
    基于WEB式的认证只要几台PC或低档工作站即可实现

    集中认证
    支持
    支持
    二者都支持基于RADIUS的用户管理

    计费方式
    支持基于流量、时长计费
    支持对时长的计费,结合设备进行流量计费
    目前主要费方式是包月制和按时长计费

    FTTB+LAN的接入方式必须具有认证的功能。在我们的两种主要宽带接入方式中,ADSL接入适于采用PPPOE认证方式,而结合LAN网的特点,基于WEB的认证方式相对更为合适。在进一步深入的对基于WEB认证技术进行技术分析后,在与相关厂商共同努力下,该技术可以成为LAN网的主流认证技术。




    ----------------------------------------
    以上是偶转的一点资料,应该大家有个清楚的认识

    文中所说的“在宽带接入网中设置认证服务器”,偶估计是在小区的出口,或者说是用户TRACERT后,某个路由器那里设置了用户认证服务器,或者说是防火墙(防火墙应该放在路由器后面)那里自定义了新的用户认证服务,当从用户那里提交IE请求后,出口默认先定义到认证服务器级别上,通过认证服务的验证,通过后,再定义到内网DHCP服务器上,给验证通过的用户分配IP,然后进行正常网络用途,了解CISCO的朋友应该知道写AAA的命令吧,偶估计就是这个做的限制。。。


    接着,偶说说偶认为认证是怎么做的。。。

    我觉得认证是采用CA用户认证的方式,可能嘉定FTTB可能使用的是上海CA中心颁发的用户,或者只是城域网内部使用的小CA,通过设置authserver服务器,以及CA中心,来达到对认证用户的认证。

    怎么实现呢?偶简单说一下,先是CA中心,通过根证书的建立,以及用户证书的颁发,以usb_key或者以其他存储介质的方式储存颁发给用户的认证密钥,在发证服务器上有相应的数据库进行记录,可以统一检索。通过RADIUS协议,用户登陆后验证,将提供给用户手中的密钥传给认证服务器进行认证,认证服务器对数据库进行检索,判断是否有同一性。通过后,认证通过,用户合法,保持会话建立。



    这只是偶的初步想法,也没有经过做FTTB网络拓扑的朋友的鉴定,但偶估计万变不离其综了,有兴趣的也可以和偶探讨一下。


    请别打击偶的积极性,探讨一下吧。。。


    还希望大家多多讨论。
           

           

    此贴由 xuanren 在 2003-06-04 12:15:03 最后编辑
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    慵懒
    2012-10-15 21:36
  • 签到天数: 1 天

    [LV.1]初来乍到

    68
     楼主| 发表于 2003-6-4 23:18:36 | 只看该作者
    你的猜测完全有问题:
    DHCP是在认证前就分发了IP地址的。而且这时候域名解析也正常。
    看了初始页面上“华为”的字样,我觉得他们是靠配置硬件路由器实现的,就是每个人的网关。
    看起来我们一开始就能PING通网关,可是我觉得这时候网关并未建立ARP双向连接。直到认证了以后它才更新了MAC-IP的对应表。
    我觉得它也利用了控制底层交换机实现了控制连接速度10M并且同时仅支持单一IP连接。
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    无聊
    2014-4-17 22:09
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    69
    发表于 2003-6-5 07:51:20 | 只看该作者
    希望华为打官司早点打到破产。。。
    回复 支持 反对

    使用道具 打印 举报

  • TA的每日心情
    慵懒
    2017-4-19 12:56
  • 签到天数: 1133 天

    [LV.10]以坛为家III

    70
    发表于 2003-6-5 09:18:36 | 只看该作者
    第1,小区的网关肯定首先是接入层级别的交换机,然后通过交换机再连到上层路由器
    第2,控制用户带宽速率是很容易完成的问题,在CISCO设备上设置也很简单,即使使用的是华为的设备,其核心技术应该与CISCO的相同。
    第3,boring所与偶的想法的冲突之处,就是先认证用户,还是先分配地址,这可能我没你们清楚,因为我没有测试环境,难道在没有输入密码验证用户之前,就可以PING通某些域名么?
    第4,你所说的建立MAC-IP对应表,我听朋友说,华为确实有MAC-IP绑定的设备,也就是在三层路由设备里;华为的我没有接触过,但CISCO我知道在2层设备里有MAC与端口的绑定,三层里有MAC和VLAN的绑定(2层里也有设置命令,困惑),至于三层设备里MAC和IP之间的绑定还不确定是否存在,等我咨询一下。

    还希望我们多多交流,谢谢。
           

    此贴由 xuanren 在 2003-06-05 09:23:59 最后编辑
           

    此贴由 xuanren 在 2003-06-05 09:28:00 最后编辑
    回复 支持 反对

    使用道具 打印 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    发表新贴 返回顶部