基于DHCP的宽带多业务接入认证与地址管理解决方案.ppt

下载

下载

16积分

20积分

下载

20积分

VIP价：16积分

点击此处添加标题 基于DHCP的宽带多业务接入认证与地址管理解决方案 方案背景 业务需求 建设方案 系统部署 Q&A 议题 方案背景 随着宽带时代的挺进，越来越多的宽带应用被逐步的实现，如宽带上网（有线、无线）、IPTV、VOIP、视频监控等。 但是目前实现这些应用，对于电信运营商而言，仍存在一些问题： 用户端和宽带接入服务器之间仍是点对点的通道，接入和认证方式对于有些个性化业务的开展并不适合； 业务背景描述 从数据网的现状来看，随着承载业务的丰富，特别随着语音、视频的丰富，其他市场范围的发展会成为必然趋势。 IPTV、家庭网关、视频通话、WLAN业务的认证，需要对于现有的认证方式有所突破 IPoE认证方式是大势所趋……… DHCP协议本身并没有用来认证的功能，但是DHCP可以配合其他技术实现认证，即DHCP+认证方式： DHCP + web方式； DHCP + 客户端方式； 利用DHCP+option。 DHCP核心技术及主流方案 DHCP核心技术及主流方案 DHCP（Dynamic Host Configuration Protocol）是TCP／IP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。 DHCP运行分为四个基本过程，分别为请求IP租约、提供IP租约、选择IP租约和确认IP租约。 客户端 服务端 DHCP发现 DHCP提供 DHCP请求 DHCP确认 broadcast broadcast unicast unicast 客户在物理子网上发送广播来寻找可用的服务器。 DHCP服务器收到IP租约请求，提供一个IP租约。 客户收到一个IP租约提供时，告诉所有其他的DHCP服务器它已经接受了一个租约提供 当DHCP服务器收到来自客户的DHCPREQUEST消息后，它就开始了配置过程的最后阶段。 新一代DHCP技术概念 新发展的DHCP应用系统架构已经改变了传统的技术概念，DHCP仅是前端的一个功能模块，而其后台的策略和权限控制及其与业务系统和营业系统打通的接口构建了一整套完善的可运营的业务流程，除DHCP Client与承载网络设备没有改变之外其他服务器部分完全是新扩展的。 例如，在IPTV解决方案中，系统的DHCP部分是一个逻辑简单的地址分配单元，只是整套系统的一个功能模块，DHCP模块需要的是高性能，而真正复杂的是后台对运营能力起重要作用的完善的地址分配逻辑和地址的管理与回收机制。在实际运营中要能够根据各种不同的策略进行认证授权、地址分配、绑定和解绑定，对用户的移机、拆机、设备及线路维护更换、业务变更、地址盗用、各种攻击以及未知问题等实际运营中会出现的正常需求和来自各方面的风险要有完善的考虑和成熟的解决方案，实际需要的不只是一套地址分配系统，而是一套完善的可运营的系统解决方案。 方案背景 业务需求 建设方案 系统部署 Q&A 议题 IPoE系统并非适合所有业务模式 适合业务模式 IPTV HGW VC WLAN … NGN业务主要需求 根据OPTION60识别终端设备类型； 根据OPTION60与终端所在子网自动为终端返回其相应的指定软交换服务器地址与端口参数（OPTION176或厂商终端适配）,实现终端自动接入配置； 根据OPTION60与终端所在子网和MAC为需要启动配置文件的SIP和终端通过OPTION66或OPTION150返回其相应的指定TFTP服务器参数； 根据OPTION60、OPTION82和MAC按预定义的地址分配策略为终端分配指定的IP地址； 分配IP地址之前对终端的MAC地址进行认证，以防范非法设备入网，防止用户PC或其他用户设备错接网口时获得VoIP网络地址而占用地址资源、影响用户正常上网或病毒等来自用户的安全隐患对SoftSwitch造成攻击； 方便的地址扩容能力，灵活的DHCP RELAY接口与地址池任意组合功能； IPTV业务需求 基于IPTV业务的特殊性要求，对接入系统的要求如下： 能够支持组播应用的顺利开展，减少运营商在核心网络扩容改造方面的巨额投资； 能够区分不同的终端类型以进行业务分离，顺利支持增值业务的开展； 实现认证流和业务流分离，接入认证和业务认证分离，以提高宽带视频等多媒体增值业务的提供效率； 能够控制同一用户的终端类型及数量，方便运营商对终端设备采取集中式管理，提高自身的运营效率； 具备高并发IP地址请求处理能力，保证所有用户能够顺利登录网络并接受服务； 认证系统必须具有强大的可扩展性和稳定性，能够可靠提供业务并顺应IPTV等新型业务快速发展的趋势。 无线城域网 无线城域网为人们的移动办公提供了便利条件，无线接入时的地址分配亦需要提供一致的便利性。 对于需要按使用时长进行收费的场所可以使用DHCP+CLIENT接入认证方式；不需要收费的场所可以考虑直接使用单纯的DHCP模式分配地址，可以按实际使用的需求来灵活的选用不同的接入策略。 DHCP+CLIENT用户名、密码认证方式下，用户开机即获得一个受限的地址，在使用浏览器访问网络时由网络设备将其重定向到门户网站，可以进行开户注册、登录认证等。 家庭网关 家庭网关管理地址分配； 终端地址分配： 在同一VLAN内挂接多种类型终端时，需要根据Option60分配不同子网地址； 所挂接的终端均通过独立VLAN接入时，需要支持灵活的Option82绑定策略； 宽带业务认证与地址管理现状 发起PPPOE认证请求 1.启动后发起PPPOE请求 将报文发到BAS设备 发起Radius请求到AAA进行认证 4.根据用户帐号进行认证 5.认证通过后给PC分配地址 认证方式 PPPoE认证 DHCP+认证 接入控制 PPP连接 DHCP Option 82 DHCP Option 60 客户端支持 支持 目前STB支持DHCP Option 60的相对较少 组播支持 不支持 支持 业务流封装开销 单播VoD为PPP封装 组播为以太网封装 以太网封装 IP地址分配方式 IPCP DHCP IP地址分配流程 先认证后分配IP 通过DHCP Option 82& 60进行认证 协议标准 标准协议 非标准协议 与RADIUS Server配合 标准协议 非标准协议 附加设备 RADIUS Server DHCP Server 用户异常离线检测时间 快 较慢 DHCP+ VS PPPOE PPPoE认证方式更适合上网这样需要 能对用户进行实时计费的业务 DHCP+认证方式更适合IPTV这样通过包月方式 进行运营，需要通过组播方式进行开展的业务 针对IPTV等大带宽业务认证与地址管理解决方案 1.启动后发起DHCP请求 根据用户的位置信息，将DHCP报文增加到OPTION82后发送到DHCPServer 3.把OPTION信息封装到RADIUS扩展字段进行认证 4.根据OPTION信息进行认证 5.认证通过后给PC分配地址 采用集中DHCP带来的好处 内置DHCP 外置DHCP 性能/容量 并发数约为350sessions/sec；容量为几万级 并发数大约为2100sessions/sec；容量为百万级 地址规划/管理 地址规划按照PPPoE模式；地址调整变更困难；只能通过CLI方式进行配置和管理 管理功能强，地址规划和调整容易；可通过GUI和CLI方式进行配置和管理 对option值支持 对option值支持有限，大部分服务器都不支持option60值 对option值支持程度高，支持常用的option值，例如option60，82等 冗余备份机制 不具备 具备冗余备份机制，支持1：1，有些系统支持N：1 扩展/安全/可靠性 扩展性弱，安全/可靠性依靠MSE本身 扩展性高，扩容容易；具有安全机制；可靠性程度高 外置DHCP IPoE IPTV vs PPPOE IPTV BAS SR 汇聚交换机/OLT DSLAM/ONU RG 每用户多PVC接入，IPTV与上网业务采用不同PVC； IP MAN/PIM域 BAS作为末级组播复制控制点，组播流提供PPPOE以单播的方式推送到STB RG Internet IPTV 汇聚交换机/OLT承载IPTV业务与PPPOE互联网业务没有任何区别 STB STB为PPPOE客户端 BAS SR 汇聚交换机/OLT DSLAM/ONU RG 每用户多PVC接入，IPTV与上网业务采用不同PVC； 一平面 SR作为组播业务控制网关 RG 汇聚交换机/OLT支持L2组播协议IGMP Snooping功能 STB STB为DHCP客户端 STB STB DSLAM/ONU只需与互联网业务一样透传PPPOE业务 DSLAM/ONU需要支持IGMP，DHCP Relay，支持Option 82 PPPOE IPTV业务网路模型 IPOE IPTV业务网络模型 二平面 PIN 域 IPoE IPTV vs PPPoE IPTV vlan 3090 带宽的节省： 相对于目前BRAS PPPoE的IPTV组播业务，采用IPoE组播后，SR与汇聚交换机之间的带宽将极大的节省；IPTV用户越多，带宽节省越大；参考右边说明； 组播复制点下移，减轻业务层面SR/BRAS的复制压力；因为在SR上IPoE不是逐用户复制； 由于IPoE省去了PPP协议层，节省了协议头开销，也简化了机顶盒的流量处理开销； 跨vlan复制 BRAS SR RG IP MAN/PIM domain RG GE GE vlan 3090 vlan 3090 假设有100个组播频道，每个频道2M； IPTV 假设有1000个用户收看组播频道，则PPPoE模式下，BRAS与汇聚交换机之间需要2G带宽； IPoE模式下，SR与汇聚交换机之间只需要200M带宽承载全部组播流，与用户数无关，用户数越大，带宽占用越有优势； 组播复制点下移到DSLAM，DSLAM设备需支持跨VLAN组播复制；IGMP snooping/option82插入功能； 汇聚交换机支持vlan/选择性qinq；支持链路捆绑功能(可选)； 家庭网关RG工作于桥模式（Bridged）；机顶盒启用IPoE+DHCP方式； SR需支持DHCP RELAY，支持QoS、防DOS攻击、支持PIM协议； 汇聚交换机 /PON-OLT DSLAM /ONU RG RG GE GE GE GE 二平面 /PIM domain Internet IPTV 一平面 IPoE IPTV对各层网络设备功能的要求 对于WLAN、IPTV、家庭网关三种业务是如何支持的？ 通过家庭网关划分VLAN来区分不同业务 方案背景 业务需求 建设方案 系统部署 Q&A 议题 保持现有RADIUS用户控制架构不变（兼容PPPoE业务） 采用DHCP‘动态主机配置机制’技术进行IP地址的集中管理与分配 在DSLAM/PON中插入Option82‘线路信息规程’，为接入认证提供物理网络通路的定位信息 利用终端设备MAC地址(Media Access Code介质访问代码）‘终端固有网络物理属性’进行身份识别、鉴权 MAC地址共48位，最大可为280万亿个终端不重复排序， ---可称之为:‘IP指纹’ 综合上述四种机制单元，“利用Option82线路信息与MAC地址这终端固有物理网络属性进行用户的身份识别、确认后由DHCP主机自动分配网络地址”的方式组成了称之为：‘IPoE认证体系’。 何为IPOE IPTV认证系统构成 MSE DHCP Server Discovery Relay Offer Offer Request Request Ack Ack UE AAA ACCEPT REQUEST SESSION级IPOE 非SESSION级IPOE IPoE的演进路线 简单DHCP IPoE 非Session级IPoE Session级IPoE 业务的安全性、部署能力、可管可控能力 IPoE的演进——非Session级IPoE MSE/SR DHCP Server Discovery Relay Offer Offer Request Request Ack Ack AAA REQUEST ACCEPT UE 支持DHCP Relay 支持DHCP Snooping 将DHCP Option中用户名密码等信息转换成Radius属性 根据规则为用户分配IP地址 根据DHCP Server送过来的用户名、密码，进行认证，并返回结果 IPoE的演进——Session级 IPoE MSE DHCP Server Discovery Relay Offer Offer Request Request Ack Ack UE AAA ACCEPT REQUEST 将DHCP Option中的用户名密码等信息转换成Radius属性，通过AAA认证 支持DHCP Relay 支持DHCP Snooping； 根据规则分配IP地址 根据认证请求，提取用户名、密码进行认证； 提取NAS-Port-ID进行用户绑定； IP SESSION IPoE的演进——方案比较 非Session级IPoE Session级IPoE 会话控制 总体流程 改造复杂度 有session控制，能够实现比较精确的时长、流量等计费方式，与PPPoE类似 无session控制，只能根据租约时间进行较粗略按时长计费 MSE设备是整个系统的核心，进行接入控制，与PPPoE方式类似。DHCP Server只完成地址分配功能。 DHCP Server是整个系统的核心，提供认证计费代理以及地址分配功能。设备只要求做DHCP Relay和DHCP Snooping。 需要新增MSE设备，或对现有的设备进行升级，改造的复杂度较大。 只需新增DHCP系统，并利用SR设备进行IPoE接入。无须对现有设备升级，改造复杂度较小。 成熟度 较成熟，基本具备部署的条件 需设备支持 用户机顶盒的IPOE认证方式 方式 处理机制 Radius数据库的处理 MAC 将机顶盒DHCP请求中的S-MAC作为认证信息 网关将DHCP请求中的S-MAC转成Radius属性送给Radius进行认证 用NAS port id进行用户端口绑定 预置机顶盒MAC信息和对应用户策略 Option 82 将DHCP option82中的circuit id或circuit id+remote id或remote id作为认证信息（remote id一般为终端MAC） 一般由接入设备（OLT/DSLAM）插入option 82，也可由网关插入 网关将DHCP请求中的option 82转成Radius属性送给Radius进行认证 预置机顶盒线路信息或线路+MAC信息或MAC信息，和对应用户策略 MAC @ Option 60 将业务名称(如IPTV)作为 option 60并结合DHCP请求中的S-MAC共同作为认证信息 机顶盒上配置option 60，标识业务名称(如IPTV) 网关提取DHCP请求中的option 60信息和S-MAC，组成MAC@option60字段并转成Radius属性送给Radius进行认证 用NAS port id进行用户端口绑定 预置机顶盒MAC@业务名称信息，和对应用户策略 Option61@ Option60 （建议方式） 将机顶盒SN作为option61，业务类型名(如IPTV)作为 option 60，共同作为认证信息 机顶盒上配置option61标识SN，option60标识业务名称（如IPTV） 网关提取DHCP请求中的option 61和60信息，组成option61@option60字段并转成Radius属性送给Radius进行认证 用NAS port id进行用户端口绑定 预置机顶盒SN@业务名称信息，和对应用户策略 将用户名作为option61,业务名称(如IPTV)作为option60, 共同作为认证信息 机顶盒上配置option61标识用户名/口令(可以使用和宽带上网相同的用户名/口令), option60标识业务名称（如IPTV） 网关提取DHCP请求中的option 61和60信息，组成option61@option60字段并转成Radius属性送给Radius进行认证 用NAS port id进行用户端口绑定 预置用户名@业务名称信息，和对应用户策略 非SESSIONS级IPOE用户接入流程 SESSIONS级IPOE用户接入流程 * 在IPoE接入方式下，用户认证并获得业务授权的业务流程如下： 1. 用户的业务终端发出DHCP Discover消息，该消息通过二层接入设备中继至SR，二层接入设备可以根据要求在DHCP Discover中插入Option 82，提供用户的线路信息； 2. SR保持住用户的DHCP Discover，提取相关信息（例如MAC、Option 82），并利用RADIUS协议与BIAS平台的RADIUS服务器进行交互，对用户进行认证，获取用户的业务控制以及QoS策略；RADIUS服务器基于用户的MAC地址或线路信息对用户进行认证，确定用户的业务类型，并下发相关的业务授权及QoS策略给SR； IPoE业务接入流程 * 3. 认证过程完成后，SR将DHCP Discover转发给BIAS平台的DHCP服务器； 4. DHCP服务器与用户终端进行交互，完成动态IP地址分配过程，用户终端获得IP地址，SR将用户的业务控制和QoS策略与该IP地址绑定； 5. 用户终端可以访问相应的业务系统使用相应的业务，例如NGN电话机可以使用NGN话音业务，IPTV终端可以使用IPTV业务。 IPoE业务接入流程 IPoE认证体系解决方案除了具备标准IPoE的通用优势外，还充分考虑了： （1）安全性 （2）业务过渡的平滑性 （3）技术标准的规范性 几个因素，在体现技术优势的同时，考虑对业务的支持优势 实现IPOE重点考虑 （1）IPoE解决方案的安全性考虑 接入设备 业务路由器 DHCP 中继 DHCP 中继 DHCP 响应 DHCP 集中认证与 IP地址管理 RADIUS认证 Radius DHCP Snooping DHCP 响应 认证层面DHCP与RADIUS相结合，解决DHCP的安全问题 采用先认证后分配地址的机制，使IPoE具备和PPPoE相同的安全性 确保IPoE体系下的DHCP具备与Radius同等级的安全级别 这一特点在国内尚处首创，较为彻底的解决了DHCP的安全隐患 网络安全性 通过Option82‘线路信息规程’ 精确绑定用户线路，防止业务盗用 通过DHCP Snooping‘地址侦测机制’ 防止已分配的IP地址被盗用 DHCP Snooping 仿冒DHCP SERVER 采用VLAN 隔离的方式，实现用户之间的隔离，避免恶意用户私自架设DHCP Server 对其他用户的影响 二层网络开启DHCP Snooping，将下行端口配置非信任端口，在非信任端口上不接受DHCP Offer 报文 采用DHCP 认证的相应机制，实现DHCP Client 和DHCP Server 间的认证；但此种方式需要Client 端支持相应的Option 及其相关的处理功能。 用户DHCP泛洪攻击 限制MSE发送过来的Radius 请求速率。要求MSE 设备基于设备级限制每秒只发送一定数量的Radius 请求到Radius Server，可以实现Radius Server 的保护；支持基于用户级限制处理DHCP 请求的数量，实现用户级的控制，有效限制用户的DHCP 泛洪攻击。 可以在二层接入网，基于用户的接入端口，限制每用户端口允许的MAC 地址数量，配合进行安全控制。 （2）IPoE解决方案充分考虑标准的兼容性 充分借鉴WT-146标准规范，确保整个技术方案对国际标准的兼容 而WT-146规范中充分考虑了PPPoE的现状，因此首次提出了PPPoE与IPoE的过渡规范，强调了IPoE与PPPoE的并存； IPoE认证体系解决方案同样支持IPoE与PPPoE业务的同平台共存 （3）IP地址资源集中分配与管理 由于采用了集中式DHCP技术，实现了全网IP地址统一调配、统一管理，简化业务实施部署流程、提高地址的使用率 为保障IP地址分配的安全性，IPoE认证机制与RADIUS配合，采用先认证后分配地址，保证地址分配的合理性 DHCP技术采用与RADIUS相同的电信级冗余保护机制，保障IP地址分配的可靠性 DHCP技术还采用了特定的基于散列优化算法，保证全网用户IP地址分配的高效性、唯一性 经严格压力测试，单机可达百万用户级，并支持群组结构，具备电信级特点 * | workshop | March 2008 （4）现有业务方式的兼容考虑 传统上网业务 可继续走PPPoE 新型宽带业务 直接走IPoE 可靠原则 减少对于现有网络的影响和改造 平滑过渡 原有宽带上网方式不变，主要针对新增业务 稳定原则 尽量减少对于现有系统的影响，保持稳定 * 根据上述需求AIOBS系统建设需要以下几部分： 1、DHCP server模块 2、基本协议解析模块 3、IP地址数据库管理模块 4、策略管理模块 5、业务策略下发模块 6、Radius改造模块 7、唯一在线改造模块 8、业务管理模块 9、网管监控模块 10、统计查询模块 11、自服务查询模块 业务建设方案 * 协议解析要求： 主要负责协议的解析、包解析、Option82解析，接收DHCP IP池管理模块返回ip分配信息，获得ip地址，并将获得的IP包组装处理,下发给client端。 统一IP池管理要求： 主要IP地址的统一管理和分配，IP地址的回收、续租，数据同步管理等功能。 DHCP系统的基本管理： 负责管理SR/BRAS，以及其所管辖的IP地址池； IP地址池记录的增删改查等。 DHCP SERVER模块建设 DHCP系统功能要求 地址分配功能 标准DHCP协议地址分配 DHCP OPTION 属性解析 根据OPTION 属性进行地址分配（支持OPTION82和OPTION60） 根据MAC进行地址分配 根据OPTION 属性＋MAC组合进行地址分配 自动与手动地址授权绑定 不同情况下的解绑定处理 灵活组合的地址分配策略 完善的地址管理能力 多地址池共享功能 任意网关与任意地址池灵活绑定 地址池业务属性配置与按终端业务类型自动匹配分地址 分配地址同时按策略动态返回终端所需OPTION * 根据DHCP协议交互过程中所携带的用户物理或逻辑信息，Option 61/60标识进行认证。 认证服务器系统建设 认证系统与原宽带认证计费系统共用。 针对线路信息等的属性字段进行认证。 具备批量数据割接导入功能。 具备与受理系统和IPTV业务平台对IPOE的用户信息同步功能。 认证系统建设 * 集中策略管理功能的建设 负责SR的控制策略的对应管理，包括策略的增加、修改、删除等功能。 策略下发管理系统建设 管理IPOE认证系统的业务策略，并为各业务系统进行策略下发，包括针对Radius认证的认证策略，针对DHCP IP地址资源管理系统的地址分配策略，针对IP地址分配系统动/静态地址分配功能的绑定策略等。 策略管理功能建设 * AIOBS系统用户管理系统需按照BSS综合受理系统的账户开户、销户等流程的要求对接入账户进行增、删、改等操作，即设置与外围系统的业务受理接口，实现用户开户、销户、变更等等的相关受理功能；根据设备与网络资源系统的数据同步用户对应的终端MAC地址或DHCP的线路及终端option信息。 机顶盒第一次在IPTV平台完成业务认证时，IPTV平台通知AIOBS系统将此时的接入信息（MAC或option82）记录并绑定为用户识别信息。 用户管理系统建设 * 新增IPOE业务管理主要包括：OPTION管理、设备管理、业务信息管理、IPOE方式管理等。 新增IPOE在线信息管理系统：记录完善的用户在线信息，对接入的同时在线数进行控制。 新增IPOE综合查询：地址使用情况查询、在线用户查询、故障信息查询、IP地址分配历史信息查询等。 新增IPOE监控告警：地址池监控、系统监控、服务监控、告警管理、告警通知。 新增IPOE综合接口系统：负责IPOE系统平台与外围支撑系统的接口，包括认证接口和受理接口。 AIOBS其他模块改造 * 本工程建设系统的接口，分为系统内部接口和外部接口两大类： （1）系统内部接口：系统内部各个模块之间的数据流、控制流的数据传递接口。 （2）外部接口：本系统与SR系统、BSS受理系统、工单系统、资源管理系统等需建立接口。 （3）与BSS系统接口：BSS系统需要将IPTV业务开通信息同步到AIOBS，认证信息需要通过接口同步（采用/OPTION 61@60方式需要同步用户名@IPTV),系统同时支持OPTION 82方式。 AIOBS系统接口 * 模块名称 子模块名称 功能简介 DHCP Server模块 ip数据管理模块 完成IP地址池的数据管理功能 ip地址分配策略管理 对ip提供集中管理，按一定分配原则，业务，物理位置，用户分配不同的地址，对地址进行租约管理，可以有效回收再分配；支持静态IP地址分配 ip通讯模块 接收基本协议解析器发送的数据信息，并将IP分配结果进行返回 ip缓存数据管理 将IP地址的分配情况在内存中进行保存。 参数文件管理 根据参数文件的定义完成负载分担Dhcp和主备设计，保证系统的节点都有备份，无单点运行设备。在出现故障时候，备份设备自动接管业务。根据配置的DNS，下发不同的DNS数据包 WEB服务器管理 支持通过WEB管理界面对IP地址进行查询及配置管理，提供web页面管理模式，使管理更加人性化，操作简单，方便，进行必要的合法性判断，有效避免人为错误 DHCP协议解析 数据包接收模块 可接收广播及单播的DHCP数据包格式 数据包解析模块 将数据包进行格式化后发送到DHCP Server申请IP地址 OPTION82解析模块 支持OPTION82解析，将数据根据配置格式解析成可理解的形式 数据包下发处理模块 将DHCP Server分配地址进行下发 参数配置模块 通过配置文件支持负载分担及主备模式 DNS处理模块 通过配置DNS，可为不同IP地址段，下发不同的DNS 业务建设软件模块内容 * IP地址资源管理 地址空间管理、地址段管理、地址池管理、地址池设备关联管理、地址邦定管理 策略管理模块 根据不同产品定义不同策略管理内容，定义相应的策略管理内容。 Radius改造模块 用户认证模块 支持使用OPTION82信息做为用户的认证模式，或使用MAC地址做为用户的认证模式 业务策略下发 根据用户订购的不同策略模块下发相应的策略内容。根据业务需要通过，向不同设备厂商下发COA及DM指令。 LM改造模块 记录完善的用户在线信息。 AIOBS改造 BMS改造，增加对OPTION、设备和业务信息的管理 综合查询改造 增加地址使用情况查询、在线用户查询、故障信息查询、IP地址分配历史信息查询 统计分析改造 增加地址池利用率统计分析、用户地址分配统计分析等 监控告警 地址池监控、系统监控、服务监控、告警管理、告警通知等 综合接口改造 改造与BSS的业务受理接口、改造计费帐务接口等，增加与设备的策略管理接口 业务建设软件模块内容 DHCP系统架构 协议解析服务器 …… …… 数据库服务器 本地认证/计费服务器（可选） …… 地址分配服务器 …… …… 业务管理服务器 数据总线 网络连接 三层交换机 负载均衡设备 产品介绍——部署方式 总体系统功能及实现 系统特点——功能特点 支持多业务的识别，以及根据业务类型进行地址分配 多业务支持 地址分配 支持固定地址、固定地址池、按业务类型、随机等多种地址分配方式 多IPoE方式 同时支持Session级和非Session级IPoE方式 地址管理监控 统一的地址池管理、地址池监控、地址池统计功能 Option支持 支持多种Option信息，支持Option模板配置 地址资源管理 多地址空间管理，地址池与地址段相结合的管理方式 系统特点 电信级DHCP平台产品 功能 性能 安全性 高可用性 系统特点——高性能 地址分配服务器B 内存库 数据库服务器 关系数据库 地址分配服务器A 内存库 协议解析服务器A 协议解析服务器B 数据总线 同步 同步 负载均衡设备 网络 管理门户平台 地址分配采用内存数据库机制,在内存数据库与数据库之间采用同步机制,摆脱系统对数据库的紧依赖性 数据库异常时，由于有内存数据库，地址分配不受影响 系统特点——安全性 防伪DHCP服务器 在二层设备（交换机）上对每个用户划分VLAN，这样做到了端口隔离，用户之间不受伪DHCP SERVER的影响 在三层网络中，认为网络是由运营商管理的，受控系统，不考虑伪DHCP SERVER的问题 在网络中部署多套DHCP系统时，可采用在三层设备上区分做不同的DHCP RELAY 来避免伪DHCP SERVER的产生 防地址盗用 网络设备上启用DHCP SNOOPING功能，由设备自我学习保存IP与MAC地址的对应关系表。对于客户请求，网络设备检查客户信息是否符合IP和MAC的对应关系，不符合的客户端将被拒绝使用网络，从而达到防止地址盗用的功能。 防流量攻击和耗竭攻击 DHCP系统进行限速控制：DHCP系统按照线路信息对用户数据包数目进行统计，对数目超过阀值的线路，则一定时间内做丢弃处理，保证整个DHCP系统的稳定安全运行。 * * * * * * * * * * * * * * * * * * * * * 单纯的DHCP协议，在设计之初主要是针对简单的局域网应用； 简单的实现地址的分配，实现功能简单，业务部署能力弱，在多业务环境下，无法根据用户特征分配对应的地址段； 在安全性方面没有太多的考虑，容易受到攻击，影响业务正常提供； 在用户方面，无法实现用户的认证、授权、计费； 用户没有session，无法实现基于用户的动态管理和控制； * * * * * * * * * * * * 考虑到业务部署的时候，已经采用的 VLAN 来标识、区分和隔离用户，如： PUPV 已经实现了用户间的隔离。是可以有效防止仿冒DHCP Server 攻击的。建 议采用此种方式。 全网二层网络开启 DHCP Snooping 的工作量较大； DHCP 认证的方式，需 要DHCP Server 和DHCP Client 端进行相应的支持，需要进行额外的开发，并且 用户终端的改造量较大。 * * * * * * * * * * * * * * * *