三种认证计费系统对比资料
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宽带认证计费系统介绍
1.1认证的主要方式
在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种:
●PPPOE(包括PPPOA、PPTP等)
●Portal认证
●802.1x认证
由于以上几种方式各有各的优缺点、在实际的使用场合业有很大的区别,以下将逐个介绍这三种认证计费系统。
1.1.1 PPPOE计费认证
近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。
✧PPPoE (PPP over Ethernet) 的工作原理
现代访问技术面临几个相互矛盾的目标:既要求通过一个远程客户端实现多用户的连接,又要求提供类似于PPP的访问控制和计费。PPPOE解决了这个矛盾。通过他每个用户都可以有其自己的PPP stack、Access Control、Billing、Type of Service。它是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到
点的连接信息;PPP会话阶段执行标准的PPP过程。
一个典型的Discovery阶段包括以下4个步骤:
(1)主机首先主动发送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的
TAG,以表明主机所要求提供的服务。
(2)接入服务器收到包后如果可以提供主机要求
0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1
以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)
会话ID(Session ID)长度(Length)
净荷(Payload)
(3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR
中必须声明向接入服务器请求的服务种类。
(4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID,启动PPP
状态机以准备开始PPP会话,并发送一个会话确认包PADS。
主机收到PADS后,双方进入PPP会话阶段。在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,Session ID必须是Discovery阶段所分配的值。
PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。
PADT包是会话中止包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。
PPPoE的特点
PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输。
✧PPPOE具有如下优点:
(1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或
流量的统计,计费方式灵活方便。
(2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备
就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。
✧PPPOE还具有以下缺点:
(1)需要专门购置PPPOE接入设备-BAS设备(认证计费网关),BAS设备作为A TM为核心技术的认证计费设备,主要用在A TM网与IP网的网关处,该接入设备通常比较昂贵。
(2)由于PPP协议需要被再次封装到以太网帧中,所以封装效率稍低。
1.1.2 Portal认证
●认证步骤:
(1)用户主机上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址。
(2)BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问Portal server和一些内部服务器,个别外部服务器如DNS)
(3) Portal server 向用户提供认证界面。在该页面中,用户输入账号和口令,并单击“log in”按钮。
(4)该按钮启动portal server上的JAVA程序,该程序将用户信息(IP地址,账号和口令)送给网络中心设备BAS。
(5)BAS利用IP地址将到用户的二层地址、物理端口号(如vlan ID,ADSL PVC ID,PPP
session ID).利用这些信息,对用户的合法性进行检查。便于以后的合法性检查。
(6)Radius Server返回认证结果给网络设备。
(7)认证通过后,修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
(8)用户离开网络前,连接到portal server 上,单击“断开网络”按钮,系统停止计费,删除标记的ACL和转发信息,限制用户不能访问外部网络。
(9)在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断开,直接关机等。
该认证方式用户操作简单,不需要专门安装客户端,只要装有浏览器即可。但也有以下缺点:
(1)未认证用户就通过DHCP Server获IP地址造成整个网络的IP地址浪费及网络安全性差。
(2)所有的认证都必须到7层上才能完成,使整个网络的效率低下。
1.1.3 80
2.1x认证
工作流程
(1)用户主机通过802.1x的客户端软件发出802.1x请求;