目前，電信運營商發展寬帶接入業務主要采用的是PPPoE接入控制，Radius認證的方式管理用戶。這種方式采用動態分配IP地址，對每用戶帶寬進行控制，很好地支持了寬帶業務的發展。由于寬帶應用業務呈現多樣化的發展趨勢，特別是三網融合試點工作的啟動，IPTV等流媒體業務和智能設備接入應用業務不同于一般的網頁內容推送寬帶業務，PPPoE接入方式已不能滿足發展要求。IPoE接入控制方式不需要安裝客戶端程序，不需要輸入用戶名和密碼，屬于零配置部署，非常適合新型的網絡終端設備，如IPTV機頂盒，WLAN，手持IP終端，視頻監控，VoIP等零配置需求的終端。在三網融合的大背景下，IPoE方式提供規模發展IPTV業務的接入控制解決方案尤其有深遠意義。目前，主流的接入認證控制技術主要包括PPPoE和IPoE。


PPPoE(PolntoPoilltProtocaloverEtherne）指在以太網上承載PPP協議，利用以太網將大量的主機組成網絡，接入因特網，并對接入的每一個主機實現控制。PPPoE是在以太網上對PPP的封裝，提供了在以太網廣播鏈路上進行點對點通信的能力。PPP協議通過3個協議協商階段：鏈路控制協議LCP，認證協議（PAP，CHAP)，網絡控制協議NCP，解決了鏈路建立、維護、拆除、上層協議協商、認證等問題。撥號后，用戶計算機和局端接入服務器（BRAS）在LCP階段協商底層鏈路參數；在認證階段將用戶名和密碼發送給接入服務器認證，接入服務器可以進行本地認證，可以通過RadiSS協議將用戶名和密碼發送給AAA服務器進行認證。認證通過后，在NCP(IPCP）協商階段，接入服務器給用戶計算機分配網絡層參數（如IP地址等）。經過PPP的3個協商階段成功后，用戶就可以發送和接受網絡報文，用戶收發的所有網絡層報文都封裝在PPP報文中。PPP協議具備的身份驗證功能很好地解決了以太網上的用戶安全管理問題。

PPPoE認證因其標準性、互通性好的特點而被廣泛應用，商用成熟；PPPoE認證撥號軟件與主流的PC操作系統可以良好地兼容，或已經內置于操作系統中；PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性，被廣泛應用于寬帶接入認證。

PPPoE的認證機制相對復雜，對設備處理性能。內存資源要求較高，而且用戶需要一個認證的等待過程。因PPPoE終結于BRAS，BRAS與主機之問通過PPP建立起來的大量點到點的連接，所經過的交換機不能識別PPPoE報文格式，只能迸行轉發，無法迸行針對VLAN等信息的組播復制，使組播復制點只能選擇在BRAS設備上。BRAS設備暴露出的局限性無法滿足寬帶多媒體業務迅速發展的需求。


IPoE利用DHCPOPTION信息實現了業務終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實現認證和自動配置，也可以通過DHCP+Web方式實現基于用戶名和密碼的認證。

DHCP是指動態主機配置協議，通過DHCP客戶端，利用自動發現機制嘗試與DHCP服務器建立通信。DHCP提供IP配置參數，對用戶端的IP層進行配置。DHCP協議沒有認證的功能，但可以配合其他技術實現認證，比如DHCP+Web方式，DHCP＋客戶端方式和利用DHCP+OPTION擴展宇段進行認證。這些方式都統稱為DHCP＋認證。現討論的主要是DHCP+OPTION擴展字段進行認證，又稱為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132）和OPTION82(RFC3046）。其中，OPTION60中帶有Vendor和Service Option信息，是用戶終端發起DHCP請求時攜帶的信息，網絡設備只需透傳即可。其作用是用來識別用戶終端類型，進而識別用戶業務類型，DHCP服務器可以據此分配不同的業務IP地址。OPTION82信息是由網絡設備插入在終端發出的DHCP報文中，主要用來標識用戶終端的接入位置，實現用戶和線路的精確綁定，保證了DHCP接入的安全性和真實性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進行插入。

作為IPoE客戶端的用戶終端設備，產生DHCP消息，中間設備插入各種DHCP Option進行用戶綁定，業務綁定等。BRAS或SR等寬帶網絡網關控制設備（Broadband Network Gatewny）負責DHCP消息到Radius認證消息的翻譯。與Radius進行認證、授權、計費功能。認證通過后，下放Radius返回的每用戶QoS，訪問控制的列表等功能，同時對通過設備的流量/時長進行計費。Radius等IPoE業務控制系統，能夠動態調整每用戶的帶寬和QoS屬性，提供基于預付費、流量、時長等多種計費手段。對用戶管理控制，并提供差異化的服務。

·基于用戶物理位置（VLANyVCID標示）的認證和計費，連接網絡時不需輸入用戶名和密碼，對于永遠在線的應用和不愿意輸入用戶名和密碼的用戶非常適合。

·DHCP+（option60/Option82）對DHCP協議進行了擴展，增加了安全（防DoS攻擊及地址仿冒）、監控、用戶識別等特性。與Radius相結合提供計費功能，便于運營。

·組播部署靈活，可高效實現組播復制，井把組播復制點下移至小區交換機、DSLAM等網絡末梢。減輕網絡壓力，節約接入網的帶寬。
門IPoE認證的安全措施

IPoE認證沒有像PPPoE認證那樣在網絡層面提供惟一的點到點的通信機制，運營商在部署IPoE認證時，要重點關注安全問題。網絡各層面的設備通過協同工作，增強網絡的安全性。具體的安全保障措施如下：

·防地址欺騙

DHCP屬于數據和認證分離的控制方式，安全性不及PPPoE，為防止用戶靜態配置IP地址，或者網絡盜用，可以在接入設備或者業務路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節點，在偵聽到DHCP Offer消息時，生成IP和MAC的綁定關系，只有源MAC和IP匹配的IPoE幀才可以通過，否則丟棄。這樣只有經過DHCP認證的用戶才可以得到網絡服務，未經認證，或者靜態配置IP地址的終端不能得到服務。還可以基于OPTION82信息對用戶的線路號進行識別認證來保證安全性。

·用戶終端數限制通過系統將每個業務接入點連接的用戶終端數量進行限制。

·防DOS攻擊

在Radius中將用戶的MAC地址和線路號綁定。在Radius數據庫中查詢到MAC地址和線路號，DHCP的請求方可經Radius服務器認證通過后被送到DHCP Server，才能獲得IP地址。這種方式降低了通過發送大量的DHCP請求，模擬不同MAC地址的請求，攻擊DHCP Server的風險。

在用戶通過認證獲得IP地址之前，設定DHCP數據包能夠通過的數量限制，降低Radius Server的壓力。如對來自同一個DSLAM線路號的Radius請求數量作控制，比如1s內，最多允許1個請求，如連續出現多個請求，則認為發生攻擊，直接丟棄Radius數據包。依靠這種機制解決大量的DHCP請求發送到Radius服務器的風險。

·其它安全措施

禁止用戶端口間直接轉發的端口隔離；通過VLAN隔離方式進行業務隔離。

2.3 PPPoE和IPoE對比分析

引入IPoE系統之后，IPoE可以完成原有PPPoE系統的所有功能，同時還能提供如下優勢：

（1）終端支持

所有支持IP協議的設備都支持，不需要安裝第三方撥號軟件，可以廣泛支持各種手持設備、移動設備、視頻設備等。

（2）報文開銷

由于PPPoE報文引入了PPPoE頭（6Bytes）和PPP頭(2Bytes），所以在所有用戶流量里面增加了8個字節的協議開銷，對于高帶寬的應用（8M的高清電視等），處理能力不高的終端設備壓力很大。

（3）組播復制

由于PPPoE報文是在BRAS設備和用戶之間建立點對點連接，中間的交換機層次不能很好地理解PPPoE報文格式，只能進行轉發，無法進行針對VLAN等信息的有效組播復制。所以采用PPPoE迸行組播業務的開展，組播復制點只能是BRAS設備，而采用IPoE，可以把組播復制點下移到DSLAM，一方面減少了BRAS設備的壓力，另一方面也極大地節約了網絡接入層帶寬。

（4）用戶冗余

IPoE方式可以對接入的用戶數量進行控制，如采用Portal方式，其增值業務能力較強。

根據上述討論，在終端支持、封裝開銷和組播支持認證效率等方面，IPoE認證具有較明顯的優勢。缺點是對用戶的控制力度不足，在用戶認證／策略控制／地址分配／會話監控等方面有待完善。

3 業務按入控制技術實現

3.1單邊緣與多邊緣接入控制分析

由于IPoE在IPTV等新型業務承載方面具有的明顯優勢，可能成為未來的主要認證方式。而PPPoE作為目前寬帶業務的主要認證方式也將長期存在。根據不同的業務類型，靈活選擇IPoE和PPPoE認證方式，可用同一套Ra山us系統支持兩種認證方式。通過部署多邊緣接入架構，實現對每用戶／每業務的精細化控制和QOS保證，是業務融合的方向。

(1）單邊緣接入控制

如圖1所示，單邊緣業務接入模式是指用戶的寬帶上網業務和IPTV業務共用相同的接入控制點BRAS。PC使用PPPoE方式接入BRAS，TV既可采用PPPoE方式，也可使用DHCP／專線的方式接入BRAS。當使用PPPoE方式時，可以利用不同的域名或不同的VP/LVACN來區分接入是來自機頂盒，還是來自PC；當采用DHCP方式時，可以利用機頂盒的MAC地址和DHCP Option60，或DHCP Option82控制對機頂盒分配地址。寬帶網承載的NGN語音業務，可以采用BRAS兼作PE構建MPLSVPN。

圖1 單邊緣接入方式

（2）多邊緣接入控制

如圖2所示，多（雙）邊緣接入模式是指寬帶上網業務和IPTV業務分別由專用的業務接入控制點提供。寬帶上網業務仍由原有的BRAS作為業務控制點；IPTV業務則使用SR作為控制點，STB采用DHCP／專線接入方式；NGN語音業務使用另外的SR作為控制點，或者與IPTV業務共用SR。不同的業務一般由匯聚交換機根據VLANID分離后，進入相應的業務控制設備。

圖2 多邊緣接入方式

（3）業務接入控制方案

如采用單邊緣接入，隨著IPTV用戶數量的增加將會加重BRAS負荷，造成端口的帶寬緊張。BRAS如再兼作PE，設備可能將不堪重負。在理論上，上網業務，IPTV業務，NGN語音業務可以共用BRAS接入，但實際應用時需考慮設備的承載能力，考慮設備的設計定位。

如采用多（雙）邊緣接入控制方式，需從終端起，在二層接入網絡中為每個用戶的每種業務部署不同的二層虛通道PV(/LVAC)，將增加二層網絡的復雜性。為減輕復雜性，可采用單通道接入，再利用匯聚交換機具備的業務感知能力分離不同的業務。這種方式使不同的業務接入控制點之問，難以進行不同業務間的流量控制和協調。

在建網初期，可以將BRAS作為IPTV業務的接入網關，但隨著用戶數的增長，BRAS承載壓力加大。所以可以單設SR作為IPTV業務業務接入控制點（見表1）。

表1　接入控制方式的選擇

如果城域網的POP點用戶規模偏大，建議采用雙邊緣／多邊緣方式，部分業務量偏少，業務發展潛力不大的縣級POP點采用單邊緣方式。在同一城域網內盡可能地使用一種方案。如IPTV業務由BRAS作為業務控制點，則通常采用PPPoE的方式提供，Radius認證。如果由SR作為業務控制點，通常采用IPoE方式提供，DHCP認證。

3.2寬帶網絡業務網關

從前面的技術分析看出，IPoE和PPPoE將在一段時期內并存，滿足不同業務需求。無論采用何種認證機制，都需要部署業務接入控制網關來對用戶的接入。認證、會話及QOS等策略進行管理。網絡邊緣業務控制設備從僅支持PPPoE的設備（如BRAS）向TR101架構定義的寬帶網絡業務網關（BNG同時支持PPPoE和IPoE）演進。傳統的BRAS是為支持PPPoE協議而設計的設備，通過增加IPoE功能演變為BNG設備。傳統的業務路由器支持高帶寬的IPoE用戶控制，通過增加PPPoE功能而演進為BNG設備。

接入網是城域網的帶寬瓶頸，小區以太網交換機的QOS控制機制弱。需在網關設備上部署H-QOS機制，以降低接入網設備的QOS性能要求，簡化QOS管理。要求BNG最多可達三級調度，實現針對每用戶、每業務、每應用的QoS策略，從而實現帶寬的靈活調度及業務管理。

3.3 IPoE部署方案

IPoE分為非Session級和Session級出RAS集中控制用戶會話，先認證后分配地址）兩種方式。若采用多邊緣方式提供IPTV業務，對Session級控制無需求，可采用非Session級方式，否則，采用Session級方式。Session級IPoE更適合現在和未來業務的部署，實現多業務承載和業務精細化運營。

(1)IPoE的部署基于BRAS的IPoE部署

·現網可支持IPoE的大容量BRAS，通過軟件升級、硬件板卡擴容等方式進行部署，實現綜合業務承載的單邊緣架構。

·現網無法支持IPoE的小容量BRAS，應保持現狀以承載PPPoE為主。同時在其位置新部署大容量BRAS設備，承載IPoE業務，即PPoE+IPoE的雙邊緣架構。待小容量BRAS逐步退網后，大容量BRAS實現綜合業務承載的單邊緣架構。

(2)IPoE的部署基于BRAS,SR分散承載的IPoE部署

結合現有設備的部署現狀，也可以部署SR專門承載IPTV等視頻業務，使BRAS,SR分散承載業務，負荷分擔。
　　
(3)DHCPServer系統的部署

在IPTV業務中，建議IPTV業務的地址統一管理，集中部署DHCP Serve系統（實際上包括DHCPServer，認證服務器和數據庫三部分），為IPTV終端分配P地址，業務路由器（SR）啟用DHCP Relay功能，而不是內置的DHCP Server。DHCP Server系統是IPoE業務網絡迸人認證的核心，負責用戶的認證和地址分配。集中部署DHCP Server便于部署統一的地址分配策略，這些地址分配策略與其它網絡控制、管理策略相結合，可以提供差異化服務，從而衍生出一系列的增值產品，如VIP客戶的地址池與網絡QoS相結合，可以保證VIP客戶的IPTV業務體驗。