TA的每日心情 | 慵懒 2017-4-19 12:56 |
---|
签到天数: 1133 天 [LV.10]以坛为家III
|
这个主题很有讨论的价值。。。抱歉,我才看到。
找了点资料,据偶现在的了解和猜测回答楼主的几个问题。。。
主要的“FTTB+LAN”认证方式
由于需求的差异性,目前由国外公司主导制定的LAN技术相关国际标准几乎没有涉及用户认证问题,我们现在采用或准备采用的“FTTB+LAN”认证方式都是基于各省电信公司的实际得来的,主要包括三种:基于端口的认证、基于PPPOE协议的认证和基于WEB的认证。
基于端口的认证是“FTTB+LAN”发展初期的主要认证方式,在该种认证方式下,系统实际上并没有对用户进行特别的认证只是通过底层交换机的端口开/关状态来控制用户的接入。基于端口的认证实现起来比较简单并因此具有了较高的可靠性。但这种认证方式不能够满足电信级规模的用户管理,在开展宽带增值业务的时候也缺少灵活性,目前使用环境都是独自经营的社区或酒店而在未来的电信公司运营的宽带接入网中继续存在的可能性不大。
基于PPPOE协议的认证方式原来主要应用于ADSL接入。顾名思义,PPPOE就是在以太网上建立PPP连接,具体的协议堆栈如图一所示。由于传统的拨号上网就是基于PPP协议实现的,与此相应的是我们已经建立了成熟的用户管理和计费系统,所以在以太网上继续使用PPP连接协议能够充分利用以前的运行维护经验,这种认证方式基本上得到了电信公司的认可。但是PPP这种点到点的连接协议并不是完全适合以太网这种基于广播式的开放网络,至少不能充分发挥LAN技术的优点,这在后面会详细描述。
基于WEB的认证实际上是一系列认证方式的统称。这些认证方式的共同特点是:在宽带接入网中设置认证服务器,用户端需要启动IE等浏览器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址,认证服务器控制网络交换机将用户划入设定好的VLAN中接入宽带网。目前,各个厂商在用户与认证服务器的交互过程、对交换机控制方式上不尽相同,暂时没有统一的标准。基于WEB的认证是随着国内“FTTB+LAN”建设的发展而发展的。由于“FTTB+LAN”接入方式非常具有中国特色,我们没有办法充分利用国际成熟的协议或技术来实现电信级的管理,基于WEB认证方式虽然需要一段时间以更加完善,但是很可能成为LAN技术认证技术发展的方向。与基于PPPOE的认证技术相比,基于WEB的认证方式具有很好的扩展性,更能发挥LAN网络的优点。
3、 PPPOE认证与基于WEB认证两种主要认证方式的比较
目前,PPPOE的认证方式和基于WEB认证都具备了进行商业使用的条件,但各自都具备比较明显的优点和缺点,以下是二者的主要特点比较。
比较项目
PPPOE方式
基于WEB的认证方式
实际应用中的
评价
客户端软件
需要安装
无需安装
在商业应用中无需安装软件带来很大的方便
实现的网络层面
服务器(BRAS)只能穿透二层交换机与用户相连
认证服务器可以透过二层、三层交换机与用户相连
由于二层的网络不能做的很大,PPPOE的这一特点会导致我们使用很多分布的BRAS
支持组播情况
在用户端与BRAS之间无法支持组播
对组播无影响
目前Internet还不能够支持组播协议
对网络的影响
汇聚所有用户数据流,可能成为网络的瓶颈
只在用户认证过程起作用,认证结束后与网络无关
PPPOE社区本身提供的业务不能够很好的支持,详细的描述在后面讨论
带宽大小的控制
易于实现
认证本身无法控制带宽大小,可以配合具体设备实现带宽控制
社区宽带应用中对于带宽控制的需求并不多
成熟度
非常成熟
目前各个公司刚刚开始应用,但该技术难度不大
对于WEB认证方式在采用前需要对厂商的具体方案进行验证
标准化
已经成为国际标准
厂商只能够在自己的部分设备上实现
IETF已经形成了802.1X标准的草案
实现可靠性
比较可靠
由于包括DHCP、认证服务器等多个设备,并且握手过程比PPPOE复杂,故障点相对多
厂商再投入适当的研发后,可靠性的问题可以完全解决
成本
相对高
相对低
基于WEB式的认证只要几台PC或低档工作站即可实现
集中认证
支持
支持
二者都支持基于RADIUS的用户管理
计费方式
支持基于流量、时长计费
支持对时长的计费,结合设备进行流量计费
目前主要费方式是包月制和按时长计费
FTTB+LAN的接入方式必须具有认证的功能。在我们的两种主要宽带接入方式中,ADSL接入适于采用PPPOE认证方式,而结合LAN网的特点,基于WEB的认证方式相对更为合适。在进一步深入的对基于WEB认证技术进行技术分析后,在与相关厂商共同努力下,该技术可以成为LAN网的主流认证技术。
----------------------------------------
以上是偶转的一点资料,应该大家有个清楚的认识
文中所说的“在宽带接入网中设置认证服务器”,偶估计是在小区的出口,或者说是用户TRACERT后,某个路由器那里设置了用户认证服务器,或者说是防火墙(防火墙应该放在路由器后面)那里自定义了新的用户认证服务,当从用户那里提交IE请求后,出口默认先定义到认证服务器级别上,通过认证服务的验证,通过后,再定义到内网DHCP服务器上,给验证通过的用户分配IP,然后进行正常网络用途,了解CISCO的朋友应该知道写AAA的命令吧,偶估计就是这个做的限制。。。
接着,偶说说偶认为认证是怎么做的。。。
我觉得认证是采用CA用户认证的方式,可能嘉定FTTB可能使用的是上海CA中心颁发的用户,或者只是城域网内部使用的小CA,通过设置authserver服务器,以及CA中心,来达到对认证用户的认证。
怎么实现呢?偶简单说一下,先是CA中心,通过根证书的建立,以及用户证书的颁发,以usb_key或者以其他存储介质的方式储存颁发给用户的认证密钥,在发证服务器上有相应的数据库进行记录,可以统一检索。通过RADIUS协议,用户登陆后验证,将提供给用户手中的密钥传给认证服务器进行认证,认证服务器对数据库进行检索,判断是否有同一性。通过后,认证通过,用户合法,保持会话建立。
这只是偶的初步想法,也没有经过做FTTB网络拓扑的朋友的鉴定,但偶估计万变不离其综了,有兴趣的也可以和偶探讨一下。
请别打击偶的积极性,探讨一下吧。。。
还希望大家多多讨论。
此贴由 xuanren 在 2003-06-04 12:15:03 最后编辑 |
|
|
|
|
|
|