三種認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)比資料

寬帶認(rèn)證計(jì)費(fèi)系統(tǒng)介紹1.1認(rèn)證的主要方式在寬帶接入中，按用戶(hù)與網(wǎng)絡(luò)設(shè)備之間的通信方式，可將認(rèn)證分為以下三種：PPPOE（包括PPPOA、PPTP等）Portal認(rèn)證802.1x認(rèn)證由于以上幾種方式各有各的優(yōu)缺點(diǎn)、在實(shí)際的使用場(chǎng)合業(yè)有很大的區(qū)別，以下將逐個(gè)介紹這三種認(rèn)證計(jì)費(fèi)系統(tǒng)。1.1.1PPPOE計(jì)費(fèi)認(rèn)證近年來(lái)，網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)發(fā)展迅速，寬帶用戶(hù)呈爆炸式的增長(zhǎng)，運(yùn)營(yíng)商在采用xDSL，LAN，HFC，無(wú)線等多種接入方式的同時(shí)，為了構(gòu)建一個(gè)可運(yùn)營(yíng)、可管理、可盈利的寬帶網(wǎng)絡(luò)，十分關(guān)心如何有效地完成用戶(hù)的管理，PPPoE就是隨之出現(xiàn)的多種認(rèn)證技術(shù)中的一種。?PPPoE(PPPoverEthernet)的工作原理現(xiàn)代訪問(wèn)技術(shù)面臨幾個(gè)相互矛盾的目標(biāo)：既要求通過(guò)一個(gè)遠(yuǎn)程客戶(hù)端實(shí)現(xiàn)多用戶(hù)的連接，又要求提供類(lèi)似于PPP的訪問(wèn)控制和計(jì)費(fèi)。PPPOE解決了這個(gè)矛盾。通過(guò)他每個(gè)用戶(hù)都可以有其自己的PPPstack、AccessControl>Billing、TypeofServiceo它是在以太網(wǎng)上建立PPP連接，由于以太網(wǎng)技術(shù)十分成熟且使用廣泛，而PPP協(xié)議在傳統(tǒng)的撥號(hào)上網(wǎng)應(yīng)用中顯示出良好的可擴(kuò)展性和優(yōu)質(zhì)的管理控制機(jī)制，二者結(jié)合而成的PPPoE協(xié)議得到了寬帶接入運(yùn)營(yíng)商的認(rèn)可并廣為采用。PPPoE建立過(guò)程可以分為Discovery階段和PPP會(huì)話階段。Discovery階段是一個(gè)無(wú)狀態(tài)的階段，該階段主要是選擇接入服務(wù)器，確定所要建立的PPP會(huì)話標(biāo)識(shí)符SessionID，同時(shí)獲得對(duì)方點(diǎn)到點(diǎn)的連接信息；PPP會(huì)話階段執(zhí)行標(biāo)準(zhǔn)的PPP過(guò)程。一個(gè)典型的Discovery階段包括以下4個(gè)步驟：(1)主機(jī)首先主動(dòng)發(fā)送廣播包PADI尋找接入服務(wù)器，PADI必須至少包含一個(gè)服務(wù)名稱(chēng)類(lèi)型的TAG，以表明主機(jī)所要求提供的服務(wù)。(2)接入服務(wù)器收到包后如果可以提供主機(jī)要求01234567890123456789012345678901以太網(wǎng)類(lèi)=0x8863/8864版本(Ver)類(lèi)型(Type)編碼(CODE)會(huì)話ID(SessionID)長(zhǎng)度(Length)凈荷(Payload)主機(jī)在回應(yīng)PADO的接入服務(wù)器中選擇一個(gè)合適的，并發(fā)送PADR告知接入服務(wù)器，PADR中必須聲明向接入服務(wù)器請(qǐng)求的服務(wù)種類(lèi)。接入服務(wù)器收到PADR包后開(kāi)始為用戶(hù)分配一個(gè)唯一的會(huì)話標(biāo)識(shí)符SessionID，啟動(dòng)PPP狀態(tài)機(jī)以準(zhǔn)備開(kāi)始PPP會(huì)話，并發(fā)送一個(gè)會(huì)話確認(rèn)包PADS。主機(jī)收到PADS后，雙方進(jìn)入PPP會(huì)話階段。在會(huì)話階段，PPPoE的以太網(wǎng)類(lèi)域設(shè)置為0x8864,CODE為0x00，SessionID必須是Discovery階段所分配的值。PPP會(huì)話階段主要是LCP、認(rèn)證、NCP3個(gè)協(xié)議的協(xié)商過(guò)程，LCP階段主要完成建立、配置和檢測(cè)數(shù)據(jù)鏈路連接，認(rèn)證協(xié)議類(lèi)型由LCP協(xié)商(CHAP或者PAP)，NCP是一個(gè)協(xié)議族，用于配置不同的網(wǎng)絡(luò)層協(xié)議，常用的是IP控制協(xié)議(IPCP)，它負(fù)責(zé)配置用戶(hù)的IP和DNS等工作。PADT包是會(huì)話中止包，它可以由會(huì)話雙方的任意一方發(fā)起，但必須是會(huì)話建立之后才有效。PPPoE的特點(diǎn)PPPoE不僅有以太網(wǎng)的快速簡(jiǎn)便的特點(diǎn)，同時(shí)還有PPP的強(qiáng)大功能，任何能被PPP封裝的協(xié)議都可以通過(guò)PPPoE傳輸。?PPPOE具有如下優(yōu)點(diǎn):PPPoE很容易檢查到用戶(hù)下線，可通過(guò)一個(gè)PPP會(huì)話的建立和釋放對(duì)用戶(hù)進(jìn)行基于時(shí)長(zhǎng)或流量的統(tǒng)計(jì)，計(jì)費(fèi)方式靈活方便。PPPoE可以提供動(dòng)態(tài)IP地址分配方式，用戶(hù)無(wú)需任何配置，網(wǎng)管維護(hù)簡(jiǎn)單，無(wú)需添加設(shè)備就可解決IP地址短缺問(wèn)題，同時(shí)根據(jù)分配的IP地址，可以很好地定位用戶(hù)在本網(wǎng)內(nèi)的活動(dòng)。?PPPOE還具有以下缺點(diǎn)：需要專(zhuān)門(mén)購(gòu)置PPPOE接入設(shè)備一BAS設(shè)備(認(rèn)證計(jì)費(fèi)網(wǎng)關(guān))，BAS設(shè)備作為ATM為核心技術(shù)的認(rèn)證計(jì)費(fèi)設(shè)備，主要用在ATM網(wǎng)與IP網(wǎng)的網(wǎng)關(guān)處，該接入設(shè)備通常比較昂貴。由于PPP協(xié)議需要被再次封裝到以太網(wǎng)幀中，所以封裝效率稍低。1.1.2Portal認(rèn)證?認(rèn)證步驟：(1) 用戶(hù)主機(jī)上電啟動(dòng)，系統(tǒng)程序根據(jù)配置，通過(guò)DHCP由BAS做DHCP-Relay，向DHCPServer要IP地址。(2) BAS為該用戶(hù)構(gòu)造對(duì)應(yīng)表項(xiàng)信息(基于端口號(hào)、IP)，添加用戶(hù)ACL服務(wù)策略(讓用戶(hù)只能訪問(wèn)Portalserver和一些內(nèi)部服務(wù)器，個(gè)別外部服務(wù)器如DNS)(3)Portalserver向用戶(hù)提供認(rèn)證界面。在該頁(yè)面中，用戶(hù)輸入賬號(hào)和口令，并單擊“l(fā)ogin”按鈕。

Portal認(rèn)IE方立用戶(hù)死機(jī)或異?？稍O(shè)時(shí)間ABP方式喔手橙查終止計(jì)費(fèi)map靖求DICPKELATmCP請(qǐng)求返回桐造TIAN/IP/MAag息設(shè)EACL，只蠹，問(wèn)和11胞PUW■用戶(hù)界面用戶(hù)logIn，啟動(dòng)JATA-SBF賑號(hào)/IPJS^^RadiuBClientBadiusJl回認(rèn)迎皓果1建立動(dòng)卷ACL向Judins發(fā)送計(jì)費(fèi)信息8DICPRELEASE中止計(jì)我消息包，消息包中有用戶(hù)春星（4）該按鈕啟動(dòng)portalserver上的JAVA程序，該程序?qū)⒂脩?hù)信息（IP地址，賬號(hào)和口令）送給網(wǎng)絡(luò)中心設(shè)備BAS。（5）BAS利用IP地址將到用戶(hù)的二層地址、物理端口號(hào)（如vlanID,ADSLPVCID,PPPsessionID）.利用這些信息，對(duì)用戶(hù)的合法性進(jìn)行檢查。便于以后的合法性檢查。（6） RadiusServer返回認(rèn)證結(jié)果給網(wǎng)絡(luò)設(shè)備。（7） 認(rèn)證通過(guò)后，修改該用戶(hù)的ACL，用戶(hù)可以訪問(wèn)外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。（8） 用戶(hù)離開(kāi)網(wǎng)絡(luò)前，連接到portalserver上，單擊“斷開(kāi)網(wǎng)絡(luò)”按鈕，系統(tǒng)停止計(jì)費(fèi)，刪除標(biāo)記的ACL和轉(zhuǎn)發(fā)信息，限制用戶(hù)不能訪問(wèn)外部網(wǎng)絡(luò)。（9） 在以上過(guò)程中，要注意檢測(cè)用戶(hù)非正常離開(kāi)網(wǎng)絡(luò)的情況，如用戶(hù)主機(jī)死機(jī)，網(wǎng)絡(luò)斷開(kāi)，直接關(guān)機(jī)等。該認(rèn)證方式用戶(hù)操作簡(jiǎn)單，不需要專(zhuān)門(mén)安裝客戶(hù)端，只要裝有瀏覽器即可。但也有以下缺點(diǎn)：（1） 未認(rèn)證用戶(hù)就通過(guò)DHCPServer獲IP地址造成整個(gè)網(wǎng)絡(luò)的IP地址浪費(fèi)及網(wǎng)絡(luò)安全性差。（2） 所有的認(rèn)證都必須到7層上才能完成，使整個(gè)網(wǎng)絡(luò)的效率低下。1.1.3802.1x認(rèn)證工作流程（1）用戶(hù)主機(jī)通過(guò)802.1x的客戶(hù)端軟件發(fā)出802.1x請(qǐng)求；

（2） 設(shè)備上的802.1xserver端接受到請(qǐng)求后，提取出其中的EAP報(bào)文，交給Radiusclient模塊封裝后，發(fā)到radiusserver。（3）RadiusServer返回認(rèn)證結(jié)果給設(shè)備；（4） 設(shè)備把認(rèn)證結(jié)果通過(guò)EAPOL協(xié)議通知用戶(hù)，并記錄相關(guān)用戶(hù)信息；（5） 用戶(hù)側(cè)的客戶(hù)端軟件收到認(rèn)證通過(guò)結(jié)果后，發(fā)出DHCP請(qǐng)求；（6） 設(shè)備收到DHCP請(qǐng)求后，檢查是否轉(zhuǎn)發(fā)請(qǐng)求，如果符合轉(zhuǎn)發(fā)條件，則由DHCPRELAY模塊向制定的DHCPServer發(fā)送；（7） DHCPServer響應(yīng)DHCP請(qǐng)求；（8） 設(shè)備收到響應(yīng)，轉(zhuǎn)發(fā)給用戶(hù)主機(jī)。同時(shí)，設(shè)備記錄下用戶(hù)的VLAN，MAC,IP等，為用戶(hù)構(gòu)建轉(zhuǎn)發(fā)信息表；（9） 設(shè)備根據(jù)Radiusserver的認(rèn)證結(jié)果，動(dòng)態(tài)建立基于用戶(hù)源IP的ACL。以控制用戶(hù)的訪問(wèn)權(quán)限；（10） 設(shè)備檢測(cè)到用戶(hù)的上網(wǎng)流量，向Radiusserver發(fā)送計(jì)費(fèi)開(kāi)始的消息包。（11）用戶(hù)主機(jī)會(huì)發(fā)出DHCPRelease包。該包到達(dá)設(shè)備，網(wǎng)絡(luò)設(shè)備刪除用戶(hù)的ACL,刪除用戶(hù)的轉(zhuǎn)發(fā)信息。設(shè)備將向Radiusserver發(fā)一個(gè)終止計(jì)費(fèi)的消息包，該包同時(shí)也包含了用戶(hù)的流量。計(jì)費(fèi)結(jié)束。（12） 用戶(hù)主機(jī)死機(jī)或異常情況下，用戶(hù)主機(jī)未發(fā)出DHCPRelease包。網(wǎng)絡(luò)設(shè)備上增加ARP方式的主動(dòng)握手檢查，若一段時(shí)間內(nèi)，未檢測(cè)到用戶(hù)流量或用戶(hù)主機(jī)已經(jīng)不在線，則將斷開(kāi)網(wǎng)絡(luò)，向Radiusserver發(fā)一個(gè)終止計(jì)費(fèi)的消息包，該包同時(shí)也包含了用戶(hù)的流量。計(jì)費(fèi)結(jié)束。優(yōu)點(diǎn)：（1） 認(rèn)證和管理分開(kāi)，提高了網(wǎng)絡(luò)的運(yùn)行效率；（2） 不使用BAS設(shè)備，減少了網(wǎng)絡(luò)運(yùn)營(yíng)商的成本投入；（3） 透?jìng)鞫訕I(yè)務(wù)，方便今后業(yè)務(wù)的拓展。（4） 標(biāo)準(zhǔn)協(xié)議，網(wǎng)絡(luò)的安全性比較好，維護(hù)費(fèi)用少。1.1.3三種認(rèn)證方式的比較通過(guò)以上的分析，PPPOE和WEB認(rèn)證這種方式，不是傳輸效率低下，維護(hù)困難，就是業(yè)務(wù)擴(kuò)展有問(wèn)題，或者網(wǎng)絡(luò)的建設(shè)成本比較高等缺點(diǎn)，只有802.1x的認(rèn)證方式無(wú)論在接入成本和管理難易上，還是在今后網(wǎng)絡(luò)業(yè)務(wù)的擴(kuò)展能力上，都具有相當(dāng)?shù)膬?yōu)越性。認(rèn)證方式portalPPPOE802.1X標(biāo)準(zhǔn)廠家私有RFC2516IEEE標(biāo)準(zhǔn)封裝開(kāi)銷(xiāo)小小小接入控制方式設(shè)備端口用戶(hù)用戶(hù)IP地址認(rèn)證前分配認(rèn)證后分配認(rèn)證后分配多播支持好差好VLAN數(shù)目要求多無(wú)無(wú)支持多ISP較差好好客戶(hù)端軟件不需要而女而女設(shè)備支持廠家私有業(yè)界設(shè)備業(yè)界設(shè)備用戶(hù)連接性差好好對(duì)設(shè)備的要求高（全程VLAN）一般（BAS）低1.1.4總結(jié)建立完善的用戶(hù)安全管理控制系統(tǒng)，在新一代寬帶IP城域網(wǎng)提供信令與交換分離的網(wǎng)絡(luò)認(rèn)證體系。非常有利于構(gòu)建寬帶網(wǎng)絡(luò)的認(rèn)證模式，可以隨意擴(kuò)展接入網(wǎng)。支持業(yè)界最新的安全接入控制協(xié)議802.1x，通過(guò)將用戶(hù)賬號(hào),MAC地址與端口的捆綁實(shí)現(xiàn)高效的