《校园网计费系统的设计与实现毕业论文.doc》由会员分享,可在线阅读,更多相关《校园网计费系统的设计与实现毕业论文.doc(56页珍藏版)》请在三一办公上搜索。
1、渤海大学毕业论文(设计)题 目 校园网计费系统的设计与实现 完成人姓名 主修专业 计算机应用 所在院(系) 渤海大学培训学院 入学年度 2009年 完成日期 2010年10月26日 指导教师 校园网计费系统的设计与实现摘要:互联网技术的高速发展,使许多校园智能化成为现实,客户高速上网将是校园网建设的重要一块,但同时也面临着上网时间、流量、访问站点统计等诸多管理问题。由于高校网络节点众多,无法一体化管理众多的设备和用户。同时IP地址盗用、IP地址冲突、非法使用代理等问题日益严重,因此,选择一个合理的校园网管理计费设备已成为校方考虑的重中之重。利用多种先进技术手段,限制用户的不合理网络应用,防止用
2、户无限制的使用出口带宽,如使用BT、电驴等,避免出口拥塞,网络质量下降。国内领先的配合802.1x协议的认证解决方案与802.1x协议交换机配合,实现具备特色的二次认证方案和混合认证方案,保证更广泛的认证和安全效果。对于计费和运营完全支持具备校园网运营特点的计费策略设置,具备不同群体用户特征的访问权限设置,保证网络计费的准确性,可运营性。网关校园网认证计费解决方案采用高效率,专业实时操作系统开发的宽带接入网关作为接入和转发设备,配合校园网认证计费系统实现对于校园网的认证、管理和计费功能。 校园网自从拥有了管理计费设备,不同部门不同用户在基本需求得到满足的基础上,还能充分享受自己网络偏好的选择,
3、更是可以方便快捷的做到对用户的有效控制和管理。关键词:校园网;计费;802.1X协议Campus Network Design and Implementation of Accounting SystemAbstract:The rapid development of Internet technology, make many campus intelligent become reality, customers high-speed Internet access network construction is an important piece, but also faced I
4、nternet time, flow, the site statistics management issues. Due to the university network nodes, not many integrated management of equipment and users. At the same time, the network can quickly locate fault. The IP address of theft, IP address conflicts, a reasonable choice of campus network manageme
5、nt toll-collection devices has become the consideration of priority.Use of advanced technology, restrict user unreasonable, prevent user network applications use of unlimited bandwidth, such as the use of export, etc, to avoid its BT network congestion, export decline in the quality. The domestic le
6、ading 802.1 x agreement with authentication solutions and 802.1 x protocol realized with feature, switch of secondary certification scheme and mixed certification scheme, ensure the safety authentication and more widely. For billing and operation have different groups of users access features, guara
7、ntee the accuracy of the billing network, operation. Good customer relations management system, and effectively protect the users network investment and after-sales service. Network gateways authentication billing solutions use efficiency, professional development of real-time operating system as th
8、e access to broadband access shut, campus network and forwarding equipment for authentication billing system authentication, the campus management and function.Campus since have management toll-collection devices, different departments in the basic requirements of different customers, satisfy the ba
9、sis can fully enjoy yourself network preference,and can be more convenient for the users to effectively control and manage, greatly reduce accidents.Key words:campus network;billing;802.1 X protocol目 录一、引言1(一)校园网的现状1(二)校园网的规划、建设与应用2二、校园认证计费监控方案4(一)校园网遇到比较突出的几个问题4(二)解决方案特点5(三)一次方案特点13(四)二次方案特点14三、基于8
10、02.1x认证技术的应用分析19(一)802.1x认证体系19(二)802.1x认证流程20(三)802.1x认证组网应用21(四)小结27四、PPPoE协议分析33(一)PPPoE协议概述33(二)PPPoE在BAS上的实现34(三)小结41五、网络计费管理41(一)校园网网络管理计费的需求分析4(二)计费管理的研究5(三)计费管理的总体特征13(四)功能介绍(五)计费策略设置(六)小组账号与用户账号设置(七)计费和收费处理(八)安全措施14六、NetCharge网络计费系统19(一)网络计费系统分析19(二)NetCharge网络计费系统20(三)NetCharge网络管理计费系统特点21
11、(四)NetCharge网络计费系统工作原理27(五)深澜软件的解决方案(六)小结27七、结论33参考文献44一、 引言(一)校园网的现状校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。各个学校根据自身特点,选择一套合理、有效的认证计费系统是十分有必要的。中国的高校信息化建设经过从无到有的10年发展,许多高校正在或已经完成了校园网的建设,并经过一段时间的运行,校园网已为教育的信息化做出了贡献。根据目前我国校园网的建设情况来看,重点高校这部分,认证计费已基本满足。学
12、校通过对办公区、学生区、家属区进行合理的收费,并把这些费用用在网络的扩容和维护上,实现“以网养网”可持续发展。但是在这个满足的基础上,仍然出现了各种各样的问题。 (二)校园网的规划、建设和应用在思想上充分认识到组建学校校园网的重要性和必要性。在现代信息社会中,飞速发展的信息技术已为教育改革提供了强有力的技术支持。事实上,现代教育技术正是建立在现代教育理论和现代信息技术基础上的,其中校园网建设则是目前现代教育技术的热门课题之一,它的主要目标就是为学校教师和学生进行教学科研提供信息化的教学环境。校园网的建成,为全校的教学、科研、教务、人事、行政、财务、图书、管理等提供了一个高效高性能的工作环境,对
13、提高全校的教学、科研、管理水平,进行国内交流,都会起到巨大的推动作用。从某种意义上讲,校园网是学校信息化教学环境的基础设施以及实现各项管理工作的物质基础,是实现“终身教育”的重要手段,因此,校园网的建设和应用必将对全面实施素质教育,提高全民素质产生其他信息化手段所无可比拟的巨大作用。培养人才的指导思想和评估标准也将发展质的变化。因特网和校园网的普及和发展,给教育领域带来了深刻的变化。三中心的教学模式的突破、人才观念的转变以及校园教育的延伸等等,这些新的问题都将无法回避地出现在各类学校和每一教育工作者的面前,这就要求我们师生尽快适应这样的思维模式和教学方式,主要体现在如下几个方面:第一,信息化的
14、教学环境拓宽了学生接受知识的渠道。学生不仅可以从传统的教学环境,即三中心教学模式(以教师、课堂和书本中心的模式)中学习知识,而且还可以从网上进行学习或讨论。这样,从集体学习向个体化学习模式发展,学生应用计算机技术,通过校园网共享多媒体资源进行学习,使学生成为学习的主体,教师成为学生学习的指导者和帮助者。学生的学习过程已不再是被动地接受知识,而包含有更多的创造性活动内容,因而最终形成以学生为中心的个体化学习模式。是目前素质教育真正的模式。第二,培养人才的指导思想和评估标准也将发展质的变化。培养学生适应在信息化环境中学习、生活和工作,将被导入必修的基础素质教育之一。在当前知识更新速度加快、学科之间
15、交叉和渗透日益显著的背景下,培养学生的继续深造能力和创新能力,显得比传授几门专业知识更重要。因此,今后评估人才的标准,不再仅以掌握知识多少为依据,而将着重考核其解决问题的能力和创新能力。第三, 由于多媒体计算机技术的采用,使网络教育具有交互功能和更加形象生动的特点,特别适合个体化学习模式,有利于受教育者的基本素质培养。因此有理由预测,今后校园内外进行学习的比例将会发生重大变化,教育进一步社会化将会成为我国教育现代化的重要内容。二、校园认证计费监控方案(一)校园网遇到比较突出几个问题校园网是一个功能复杂的网络,往往需要提供两大服务功能:提供校内信息共享服务和提供Internet 接入服务。而且,
16、校园网用户是一群最有活力的用户群体:掌握新技术最快,最会使用新技术,最有挑战欲望。同时,以太技术在校园网接入层的普遍采用,相对来讲,由于以太技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。当两者碰到一起的时候,校园网遇到比较突出几个问题: 1. 带宽管理的需求。目前的校园网出口带宽是有限的,若干用户无限制的使用出口带宽,或者使用某些特殊下载工具,如BT、电驴等,造成出口拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络出现拥塞,所有用户不能正常上网。2. 安全管理的需求。校园网的用户绝大多数为求知欲望和动手能力非常强的学生群体,
17、他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。同时由于校园网信息流动量大、受众特殊的特点,校园网也常常成为别有用心的网络攻击者的目标。3. 计费和运营的需求。校园网络同时具备了用户密度大,和用户类型多的特点。针对不同的用户群体,如:办公区,学生宿舍,院系机房,如何采取不同的运营管理和控制策略,在保证网络正常运行的情况下保证各项计费数据的采集,最终达到网络运营的目的。 4. 网络行为管理和访问日志的需求。盗用IP地址,修改MAC地址,用户名和密码的丢失,合法网络用户无法登陆网络,网络管理者如何解决?谁在访问非法网站?谁在恶意占用带宽?校园的特殊性使校园网的管理者必须对于
18、网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得,如何提交有效的网络访问记录呢,校园网认证计费解决方案就是校园网建设中一个理想的选择。 (二)解决方案特点1. 贴近校园网实际需求的用户行为管理。利用多种先进技术手段,限制用户的不合理网络应用,防止用户无限制的使用出口带宽,如使用BT、电驴等,避免出口拥塞,网络质量下降。 2. 国内领先的配合802.1x协议的认证解决方案与802.1x协议交换机配合,实现具备特色的二次认证方案和混合认证方案,保证更广泛的认证和安全效果。 3. 功能全面。对于计费和运营完全支持具备校园网运营特点的计费策略设置,具备不同群体用户特征的访问权
19、限设置,保证网络计费的准确性,可运营性。 4. 完备的网络行为管理和访问日志。完备的日志纪录帮助您实现网络用户行为的可查,易查,有效管理和规范用户行为。 5. 先进的解决方案架构。解决方案架构合理部署出口网关设备和后台软件的功能分配,保证了网关数据的转发性能,是国内领先的大并发用户量,大流量的认证计费解决方案。 6. 完备的售后服务。具备完善的客户关系管理系统,有效保护您的网络投资和售后服务跟踪。响应速度和技术能力业界领先。 网关校园网认证计费解决方案采用高效率,专业实时操作系统开发的宽带接入网关作为接入和转发设备,配合校园网认证计费系统实现对于校园网的认证、管理和计费功能。(三)一次方案特点
20、1. 接入方便。支持桥接方式和路由的方式接入,方便灵活,无缝融合。 2. 可管理支持Web、Telnet、SNMP、console口管理方式。能够控制用户带宽、会话数、支持报文过滤、Mac地址绑定等功能,可以实现用户帐户和IP、MAC、Vlan、NAS、Port的绑定。 3. 可运营支持多种后付费策略和种预付费策略。用户自服务子系统方便用户,减轻网络中心负担。 4. 安全性、可靠性。整体系统面向电信级运营商设计,硬件采取多项措施确保系统的防攻击、防病毒扩散能力, 计费管理系统采用了安全和成熟的操作系统,提供系统负荷分担、数据自动备份、安全检测等机制,确保后台系统的可靠运行。 5. 扩展性、开放
21、性。遵循IEEE、IETF、信产部、各大电信运营商标准,确保了网络运行产品的兼容性、标准性,保证网络的升级、扩展的能力。 6. 实用性、灵活性。产品和方案经过多年的市场检验,成功支持了多个不同类型的宽带校园网建设项目,性能优越,性价比极高,同时可以根据用户的特殊需求进行二次开发。 (四)二次方案特点宽带接入网关配合802.1x的交换机实施的校园网二次认证解决方案,是国内唯一专业的二次认证解决方案,是真正拥有成功案例,研发经验和最多配合经验的专业方案。 特点: 1. 安全性高。充分利用了802.1x交换机管理优势和同多个厂家的成功合作经验,实现802.1x交换机的多元素绑定认证和完备的网络日志查
22、询功能。 2. 充分利用出口带宽启用二次认证。合理区分内网和外网费率,促进学生理性思考和使用网络,确保网络资源合理利用和分配。 3. 与交换机厂商合作经验丰富。目前已经与DLINK、华为、神州数码、港湾等主流802.1X交换机厂商有过成功的合作经验,是国内领先的具备丰富对接经验的方案提供商。 4. 具备成熟方案实施经验。是国内对于二次认证与802.1X配合的领先实践者,目前已经拥有多年的实施经验和成功客户,在二次认证方案实施方面具备其他厂家不可比拟的优势。 5. 管理方便。方案体现为分布式二层接入,设备和用户通过后台宽带认证管理系统进行统一管理,管理系统以B/S结构设计,大大方便网络中心负责人
23、随时对学校运营情况的了解,体现优秀系统之分布接入集中管理的设计模式。 6. 激活内网资源。促进学生参与二次认证方案,充分提倡学校建设数字校园,丰富内网资源,接入费用降低或者0费用大大刺激学生接入网络的兴趣,培养学生创造能力,使学生对社会更具竞争力。三、基于802.1x认证技术的应用分析(一)802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报
24、文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。802.1x的体系结构如图3.1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图3.1 802.1x认证的体系结构1. 请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。2. 认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口
25、可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。3. 认证服务器系统认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器
26、;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。(二)802.1x认证流程基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不
27、同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图3.2所示。基于EAP-MD5的802.1x认证流程如图3.3所示,认证流程包括以下步骤: 图3.2基于EAP-MD5的802.1x认证系统功能实体协议栈图3.3基于EAP-MD5的802.1x认证流程(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;(2
28、)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户
29、端进行认证;(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;(10)如果认证通过,用
30、户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。(三)802.1x认证组网应用按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。1. 802.1x集中式组网(汇聚层设备集中认证)802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,
31、这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图3.4所示。图3.4802.1x集中式组网(汇聚层设备集中认证)2. 802.1x分布式组网(接入层设备分布认证)802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证
32、处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图3.5所示。图3.5802.1x分布式组网(接入层设备分布认证)802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播务器来的组播
33、流到达接入层认证系统,可以实现组播成员的精确粒度控制。3. 802.1x本地认证组网802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。(四)小结802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问
34、题,是各种认证技术中最为简化的实现方案。必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。四、PPPoE协议分析(一)PPPoE协议概述1.P
35、PPoE的工作原理PPPoE(PPP over Ethernet)是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。 PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。 一个典型的Discovery阶段包括以下4个步骤: (1)主机首先主动发
36、送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的TAG,以表明主机所要求提供的服务。 (2)接入服务器收到包后如果可以提供主机要求 0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1 以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE) 会话ID(Session ID)长度(Length) 净荷(Payload) (3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR中必须声明向接入服务器请求的服务种类。 (4)接入服务器收到PADR包后开
37、始为用户分配一个唯一的会话标识符Session ID,启动PPP状态机以准备开始PPP会话,并发送一个会话确认包PADS。 主机收到PADS后,双方进入PPP会话阶段。在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,Session ID必须是Discovery阶段所分配的值。 PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。 PADT包是会话中止
38、包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。 2.PPPoE的特点PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输,此外还有如下特点: (1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。 (2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。 (3)用户通过免费的PPPoE客户端软件(如EnterNet),输入用户名和密码
39、就可以上网,跟传统的拨号上网差不多,最大程度地延续了用户的习惯,从运营商的角度来看,PPPoE对其现存的网络结构进行变更也很小。 DSLAM是ADSL汇聚设备,其内核采用ATM或IP但上联口为以太网口,BAS是局端实现PPPoE功能的接入服务器,它终结由用户侧发起的PPPoE进程。下行的以太帧从IP城域网经路由器送到BAS,被加上PPPoE的头后送到DSLAM封装成AAL5帧,经过交叉模块发送到ADSL Modem,由其完成AAL5帧重组并解出以太帧发送到客户端,客户端从PPPoE包中取出IP数据包。 上行的PPPoE包在ADSL Modem中封装成AAL5帧,由ATM信元传输到局端的DSLA
40、M,DSLAM负责终结ATM,重新组合出PPPoE包,并通过设好的PVC(永久虚电路)传送到BAS处理。 从上面可以看出,PPPoE将PPP承载到以太网之上,实质是在共享介质的网络上提供一条逻辑上的点到点链路,对用户而言,在DSLAM和ADSL Modem之间的ATM传输是透明的,如果将中间的DSLAM和ADSL Modem换成有线电视的接入设备,就是典型的HFC接入,BAS对PPPoE包的处理方式不变。 (二)PPPoE在BAS上的实现1.PPPoE的效率从PPPoE协议模型可以看出,BAS汇聚了用户的所有数据流,它必须将每一个PPPoE包都拆开检查处理,这在很大程度上是沿袭了传统的PPP处
41、理的方式,虽然有很好的安全性,但一旦用户很多,数据包数量很大,解封装速度就需要很快,BAS很大的精力花在检测用户的数据包上,容易形成接入的“瓶颈”。 为此,在BAS的硬件结构上可以采用分布式网络处理器(NP)和ASIC芯片设计。网络处理器是专门针对电信网络设备而开发的专用处理器,它有一套专门的指令集,用于处理电信网络的各种协议和业务,可以大大提高设备的处理能力。同时,ASIC芯片转发数据包时接近硬件的转发性能,远非CPU软件方式可比,采用这种方式将PPPoE数据流的处理与转发分开,工作效率大大提高。此外在软件系统结构上还应该与其他技术相结合,更好地发挥PPPoE的性能。2. PPPoE与VLA
42、N的结合VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个不同的网段,从而实现虚拟工作组的技术。划分VLAN的目的,一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验;二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部。 PPPoE是一个客户端/服务器协议,客户端需要发送PADI包寻找BAS,因此它必须同BAS在同一个广播式的二层网络内,与VLAN的结合很好地解决了这方面的安全隐患。此外通过将不同业务类型的用户分配到不同的VLAN处理,可以灵活地开展业务,加快处理流程,当然VLAN的规划必须在二层设备和B
43、AS之间统一协调。 BAS收到上行的PPPoE包后,首先判别VLAN ID的所属类别,如果是普通的拨号用户,则确定是Discovery阶段还是会话阶段的数据包,并严格按照PPPoE协议处理。在会话阶段,根据不同的用户类型从不同的地址池中向用户分配IP地址,地址池由上层网管配置。如果是已经通过认证的用户的数据包,则根据该用户的服务类型处理,比如,如果是本地认证的拨号用户,且对方也申请有同样的功能,则直接由本地转发。 如果是专线用户,则不用经过PPPoE复杂的认证过程,直接根据用户的VLAN ID便可进入专线用户处理流程,接入速度大大提高。此外为了统一网管,在BAS与其他设备之间需要通信,这些数据
44、包是内部数据包,也可根据VLAN ID来辨别。 对于下行数据,由于BAS负责分配和解析用户的IP,兼有网关的功能,它收到数据包的目的IP是用户的,因此以IP为索引查找用户的信息比根据MAC要方便得多,这一点与普通的交换机有所不同,具体过程跟上行处理差不多。3. PPPoE对多业务选择的支持多业务选择指的是用户通过一条终结到BAS的PPP连接来自主地选择后台网络运营商所提供的多种业务。之所以要支持多业务的选择,一方面是因为各种业务的具体实现在技术上的侧重点是不同的,对网络性能的要求也不尽相同,以前采取的固定分配的方式非常不便;另一方面,从网络应用的发展看,网络内容服务供应商ICP与网络接入商IS
45、P的分离是必然趋势,在接入汇聚侧,ISP必须严格保证将用户选择的业务流转发到相应的ICP中去。 目前采用的方法是用户先在PPPoE拨号软件中选择相应的业务,然后对用户进行业务授权确认,最后激活BAS内部相应的处理模块。但是采用这种方式,用户只能知道业务的名字,无法直观地、全面地获知BAS提供的各种业务类型,特别是在新业务的开展上十分困难,有很大的局限性。 需分配与业务类型相应的带宽和QoS是必然的,PPPoE的这种业务选择运营模因此可以将BAS与后台业务选择网关及RADIUS服务器相配合,采取先认证后选择业务的方式,具体操作如下: (1)主机发送PADI寻找BAS,PADI中包含一个服务名类型
46、的TAG,它的值为空,表示该用户可以接受任何类型的服务。 (2)BAS收到包后回送PADO,PADO中包含所有可以提供的服务的TAG,同时,还包含一个服务名为General的TAG。 (3)主机发送PADR。用户选择已知的服务名,也可以选择General服务。 (4)BAS收到PADR包后为用户分配资源,并开始PPP协商过程。在PPP过程中,BAS将用户输入的账号和密码等信息送到RADIUS服务器上认证。 (5)通过认证的用户,享受BAS提供的该项服务,但如果选择的是General,则被强制访问与BAS直连的服务选择网关。后台的服务选择网关是一台具有Web Server功能的服务器,用户可以通
47、过Web的交互式界面得到可选择业务的相关信息(包括费用、带宽等),同时显示该用户账号对应的信息。 (6)用户选择相应的业务,同时服务选择网关会定义各种用户的业务范围和操作权限。 (7)服务选择网关激活接入服务器内部相应的业务模型实现该业务。以上方式是严格按照PPPoE协议执行的,与当前流行的拨号软件完全兼容,如果用户对其他的业务根本不感兴趣而对已申请的业务非常熟悉,也不影响用户的习惯。 从BAS的角度考虑,PPPoE的操作流程也没有什么改变,只是多添了一种服务类型而已。如果运营商当前没有服务选择网关,可以通过网管配置,在对PADI包的回应时不包含General服务就可以了。 对于运营商来说,采用以上方式不仅大大提高了接入用户操作的透明度,还可以起到业务门户的作用,为下一步的服务扩展提供空间,而且从宽带接入网以后发展的趋势来看,按式是今后业务选择的发展方向。 4.
