基于SDN的寬帶接入網(wǎng)用戶(hù)認(rèn)證范文
本站小編為你精心準(zhǔn)備了基于SDN的寬帶接入網(wǎng)用戶(hù)認(rèn)證參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。
《移動(dòng)通信雜志》2014年第z1期
1OpenFlow概述
軟件定義網(wǎng)絡(luò)(sdn)的核心理念是使網(wǎng)絡(luò)軟件化并提供靈活的開(kāi)放接口,使得網(wǎng)絡(luò)能夠像軟件一樣便捷、靈活,從而提高網(wǎng)絡(luò)的創(chuàng)新能力。如圖1所示,軟件定義網(wǎng)絡(luò)(SDN)的邏輯架構(gòu)由基礎(chǔ)設(shè)施層、控制層和應(yīng)用層組成。其中,基礎(chǔ)設(shè)施層主要為轉(zhuǎn)發(fā)設(shè)備,實(shí)現(xiàn)轉(zhuǎn)發(fā)功能;控制層由SDN控制軟件組成,可通過(guò)標(biāo)準(zhǔn)化協(xié)議與下層進(jìn)行通信,實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施層的控制;應(yīng)用層不同的應(yīng)用邏輯可通過(guò)控制層開(kāi)放的API管理能力控制設(shè)備的報(bào)文轉(zhuǎn)發(fā)功能。如圖1所示,軟件定義網(wǎng)絡(luò)(SDN)具有2種不同的網(wǎng)絡(luò)API接口:北向接口和南向接口。OpenFlow是一種業(yè)界普遍認(rèn)可的標(biāo)準(zhǔn)化南向API,該協(xié)議由負(fù)責(zé)監(jiān)管OpenFlow協(xié)議的標(biāo)準(zhǔn)組織開(kāi)放式網(wǎng)絡(luò)基金會(huì)(ONF)制定。其中,OpenFlow交換機(jī)是整個(gè)OpenFlow網(wǎng)絡(luò)的核心部件,其轉(zhuǎn)發(fā)行為由流表進(jìn)行控制。OpenFlow交換機(jī)接收到數(shù)據(jù)包后,首先在本地的流表上查找轉(zhuǎn)發(fā)目標(biāo)端口,如果匹配則執(zhí)行流表指定的動(dòng)作,如果不匹配則將數(shù)據(jù)包轉(zhuǎn)發(fā)給控制器,由控制層決定轉(zhuǎn)發(fā)端口。控制器和交換機(jī)之間的信息交互采用OpenFlow協(xié)議,交換機(jī)的流表也由控制器通過(guò)OpenFlow協(xié)議下發(fā)。
2現(xiàn)有寬帶接入網(wǎng)的認(rèn)證方式分析
目前運(yùn)營(yíng)商采用的認(rèn)證技術(shù)主要包括IPoE和PPPoE這2種方式。PPPoE認(rèn)證過(guò)程如圖2所示。PPPoE是運(yùn)營(yíng)商廣泛采用的接入認(rèn)證技術(shù),利用以太網(wǎng)發(fā)送PPP包的傳輸方法在同一以太網(wǎng)上建立多個(gè)PPP連接。其中PPP協(xié)議提供了通訊雙方身份驗(yàn)證的功能,從而實(shí)現(xiàn)用戶(hù)接入認(rèn)證和管理。但是,PPP協(xié)議是一種點(diǎn)對(duì)點(diǎn)的協(xié)議,協(xié)議中沒(méi)有提供地址信息,必須使用PPPoE再進(jìn)行一次封裝提供在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對(duì)點(diǎn)通信的能力。IPoE使用DHCP(DynamicHostConfigurationProtocol,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議進(jìn)行動(dòng)態(tài)地址配置,DHCP協(xié)議本身并沒(méi)有用來(lái)認(rèn)證的功能,但是DHCP可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證,如DHCP+Web方式、DHCP+客戶(hù)端方式和利用DHCP+Option擴(kuò)展字段進(jìn)行認(rèn)證,所有這些方式都統(tǒng)稱(chēng)為DHCP+認(rèn)證。國(guó)內(nèi)運(yùn)營(yíng)商的IPTV、WLAN業(yè)務(wù)普遍采用了IPoE的認(rèn)證方式。IPoE認(rèn)證的過(guò)程比較簡(jiǎn)單,以DHCP+Option擴(kuò)展字段認(rèn)證為例,主機(jī)和DHCP服務(wù)器之間只需通過(guò)DHCPDiscover、DHCPOffer、DHCPRequest、DHCPACK的交互即可完成認(rèn)證及地址分配(不包含DHCP與AAA之間的交互過(guò)程)。DHCP+Option擴(kuò)展字段認(rèn)證過(guò)程如圖3所示。
3PPPoE和IPoE認(rèn)證在SDN網(wǎng)絡(luò)中的實(shí)現(xiàn)方案
PPPoE和IPoE這2種認(rèn)證方式在現(xiàn)網(wǎng)中均有較大規(guī)模的應(yīng)用。從幀結(jié)構(gòu)上講,由于PPPoE經(jīng)過(guò)PPP和PPPoE兩層封裝,終端和接入服務(wù)器需要更復(fù)雜的處理過(guò)程,對(duì)設(shè)備的性能要求也較高。PPPoE需要專(zhuān)門(mén)的接入服務(wù)器終結(jié)PPP報(bào)文,還原出IP數(shù)據(jù)包,而IPoE則省略了這一過(guò)程。PPPoE幀結(jié)構(gòu)如圖4所示。在SDN技術(shù)構(gòu)建的網(wǎng)絡(luò)中,所有的轉(zhuǎn)發(fā)設(shè)備由OF交換機(jī)替代,部分業(yè)務(wù)網(wǎng)元功能也被應(yīng)用軟件虛擬化。BRAS(BroadbandRemoteAccessServer,寬帶遠(yuǎn)程接入服務(wù)器)/SR(ServiceRouter,全業(yè)務(wù)路由器)功能虛擬化后,仍然可以繼續(xù)采用PPPoE或IPoE來(lái)進(jìn)行認(rèn)證,這2種方式的網(wǎng)絡(luò)結(jié)構(gòu)和對(duì)設(shè)備的功能要求有較大區(qū)別。采用PPPoE方式需要在網(wǎng)絡(luò)中選擇1個(gè)設(shè)備節(jié)點(diǎn)解析PPP報(bào)文,那么可以采用以下2種方式:(1)在控制器上終結(jié)PPPoE。控制器需要解析每個(gè)PPP報(bào)文,深度參與數(shù)據(jù)包的轉(zhuǎn)發(fā),不但對(duì)控制器性能要求很高,也與SDN的控制與承載分離架構(gòu)不一致,相當(dāng)于BRAS網(wǎng)元增加了對(duì)下聯(lián)交換機(jī)的控制功能。(2)在某臺(tái)OF交換機(jī)上終結(jié)PPPoE。控制器不參與包轉(zhuǎn)發(fā)過(guò)程,但是目前OpenFlow協(xié)議中規(guī)定的OF交換機(jī)匹配域和行動(dòng)并不支持對(duì)PPPoE幀的匹配及剝離報(bào)文頭,因此需要對(duì)OpenFlow協(xié)議進(jìn)行擴(kuò)展,匹配域需要增加PPPoE的代碼(code)、會(huì)話(session)、PPP協(xié)議等字段的匹配,并將凈負(fù)荷還原出來(lái)。2種終結(jié)PPPoE方式的網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。采用IPoE方式的網(wǎng)絡(luò)結(jié)構(gòu)如圖6所示。控制器通過(guò)packetout消息獲取用戶(hù)的DHCP報(bào)文,與DHCP服務(wù)器和AAA服務(wù)器等配合完成用戶(hù)的認(rèn)證、地址分配過(guò)程,再通過(guò)packetin消息將DHCPOffer和ACK報(bào)文發(fā)給用戶(hù)主機(jī)。控制器根據(jù)用戶(hù)申請(qǐng)的業(yè)務(wù)和產(chǎn)品對(duì)交換機(jī)下發(fā)流表,控制轉(zhuǎn)發(fā)行為,此后控制器不再參與包轉(zhuǎn)發(fā)過(guò)程,直至用戶(hù)下線。用戶(hù)下線后,控制器拆除對(duì)應(yīng)的流表,并將時(shí)長(zhǎng)、流量等計(jì)費(fèi)信息發(fā)送給控制器。
4總結(jié)
根據(jù)上述分析,在SDN技術(shù)構(gòu)建的寬帶接入網(wǎng)絡(luò)中,采用PPPoE認(rèn)證方式需要在某臺(tái)OF交換機(jī)上終結(jié)PPPoE,需要對(duì)OpenFlow協(xié)議進(jìn)行擴(kuò)展;或者在控制器上終結(jié)PPPoE,需要控制器深度參與數(shù)據(jù)包的轉(zhuǎn)發(fā)過(guò)程,對(duì)控制器的性能要求高,也不符合控制與承載分離的架構(gòu),實(shí)現(xiàn)較為困難。而采用IPoE方式,控制器僅參與用戶(hù)認(rèn)證階段的DHCP報(bào)文轉(zhuǎn)發(fā),而后根據(jù)用戶(hù)業(yè)務(wù)屬性向交換機(jī)下發(fā)相應(yīng)的流表,實(shí)現(xiàn)起來(lái)較為簡(jiǎn)單。當(dāng)然,采用IPoE認(rèn)證方式還需要采取相應(yīng)的機(jī)制或策略來(lái)解決安全性、反地址欺騙、防DoS攻擊等問(wèn)題。
作者:劉漢江毛宇陳文華單位:中國(guó)電信股份有限公司廣州研究院