一、使用者認證對寬頻接入的意義
bras(寬頻接入伺服器)是借鑑窄帶接入的成熟運作模式,在資料網路由窄帶向寬頻演進的趨勢下,使寬頻網路可以像窄帶接入一樣運營管理。不像窄帶網路尚需要提供pstn的接入,寬頻網路通常已具備完整的接入網路(adsl、ether***、hfc),因此bras的主要功能是結合路由器或交換機等網路裝置,完成對寬頻使用者的3a接入控制如下:
(1)認證(authentication):驗證使用者的身份與可使用的網路服務。
(2)授權(authorization):依據認證結果開放網路服務給使用者
(3)計帳(accounting):記錄使用者對各種網路服務的用量,並提供給計費系統
如果沒有實現合理的3a接入控制,寬頻網路只能提供基於埠、包月制的資費方案,如果沒有基於使用者身份的認證,也很難建立增值服務的發展空間。因此隨著業務競爭越趨激烈,3a接入控制已成為寬頻運營商的首要之務。
二、寬頻接入的實現過程
寬頻使用者3a接入控制的實現過程如下:
使用者端裝置-bras(aaa client)-aaa server(radius)-billing system
一般來講,從bras到aaa server之間的實現方法都是大同小異,通常採用radius協議,而aaa server和billing系統一般採用集中建制,以支援使用者漫遊和減少建制成本。而目前最困擾運營商的是如何有效實現從使用者端裝置到bras之間的有效連線,目前主要的實現方式有:mac/vlan、pppoe、***p/l2tp、802.1x、web/vlan、web/ip。
關於這幾種認證方法都有各自的特點,其優缺點在業界也是乙個討論的熱點,本文將針對這些技術對它們從實現原理上進行一些**。
三、mac/vlan技術評估
mac/vlan是通過使用者的mac位址或vlan id來確認使用者身份,屬於最早期的寬頻認證技術。mac/vlan的認證不需要客戶端軟體,也不需要使用者輸入口令及代號,對使用者非常友好。但是由於mac/vlan不存在使用者登入的認證過程,因此無法計算時長,只能支援包月制的資費方案,同時在推動增值服務時也存在著很大的計費爭議,因此本文中不再討論。
四、pppoe技術評估
pppoe通常與atm router結合成為broadband ras,後來開始有廠家在bras上提供gb或fe的埠,以支援基於以太網路的寬頻接入。pppoe要求在客戶端設定pppoe客戶端軟體,從接入認證角度來看,pppoe與大家熟悉的窄帶撥入相同,都是在客戶端起乙個ppp聯機,以撥號方式撥入pppoe伺服器。
雖然pppoe技術普遍應用在adsl接入認證,但是在以太網路上卻面臨了許多問題:
網路規劃問題
在客戶端進行撥號時,首先會發出廣播包以找尋pppoe伺服器,待收到響應後即建立ppp連線,因此pppoe伺服器與客戶端必須存在乙個二層網路。這在adsl不成問題,因為每個客戶端與pppoe伺服器間都存在乙個單獨的pvc電路。但是在乙太網路上,pppoe伺服器卻需要與成千上萬名客戶端在同乙個二層網路,而二層網路越大管理越困難,問題也越多。如果每個小區甚至樓宇就使用乙個三層網路,卻又存在pppoe伺服器的成本與管理問題。
封包分割問題
通常路由器或客戶端的mtu都是設定成1500byte,由於pppoe在將ip封包封裝在乙個ether*** frame內,因此封包的payload就只剩下1492byte,碰上大小為1500byte的封包時,就必需將封包分割。根據實際應用的資料顯示,封包分割會對路由器及客戶端的ip封包傳輸造成50%以上的額外壓力。
客戶端cpu負載問題
由於pppoe對每乙個ip封包都要封裝在ether*** frame內,因此網路流量越大,耗用客戶端的cpu效能就越多。因此對需要高頻寬的多**應用非常不利。
客戶支援問題
五、***p/l2tp技術評估
隨著vpn技術的發展,開始有運營商考慮使用***p/l2tp等技術提供使用者接入服務。由於***p/l2tp可通過三層網路提供使用者接入,因此可以有效解決pppoe網路規劃的困難。同時由於windows 2000已經內建vpn撥號功能,因此客服成本較低。
封包分割問題
***p是將ip封包封裝在gre封包內,l2tp是將ip封包封裝在udp封包內。跟pppoe類似,當碰上大小為1500byte的封包時都需要分割,對路由器及客戶端的ip封包傳輸造成50%以上的額外壓力。
客戶端cpu負載問題
***p與l2tp跟pppoe類似,都要占用客戶端的cpu以進行封裝的動作。尤其是如果進行加密傳輸(如ipsec)時,cpu壓力更大。對企業vpn來說,保密性高於效能考慮,但是對於寬頻運營商來說,是否能夠支援多**應用是乙個很重要的考慮因素。
客戶支援問題
雖然windows 2000已經內建***p/l2tp客戶端軟體,但是對vpn撥號功能的設定對沒有it支援的普通使用者來說仍然是乙個比較複雜的問題,因此對使用者的支援最終往往還是落到運營商身上,對客服來說仍然有較大的壓力。
六、802.1x技術評估
不像有線網路通過固定線路連線組建,無線網路的網路空間具有開放性和終端可移動性,因此很難通過固定線路來界定網路。而802.1x協議起源於802.11協議,後者是標準的無線區域網協議,802.1x協議的主要目的是通過認證和加密來防止非法接入企業無線網路。
客戶端cpu負載問題
802.1x為了解決無線網路在空中傳送的安全性問題,採用了高度的加密規範,需要占用客戶端大量的cpu效能以進行加解密。針對這個問題,目前業界的看法是未來802.1x的加解密必需在網絡卡上通過硬體實現,802.1x才能支援寬頻應用與服務。
標準規範問題
目前802.1x的規範有70%以上都尚未確認,因此目前所有宣稱支援802.1x的廠家都是基於猜測來設計產品,運營商部署802.1x的風險仍然很高。此外雖然許多交換機廠商都承諾未來可通過軟體公升級來支援802.1x,但是大多數交換機的cpu 效能比客戶端的pentium還差,因此業界的看法是未來支援802.1x的交換機必需具備硬體加解密,才具備寬頻運營的實用性。
網路規劃問題
根據目前已確認的規範,802.1x認證技術的操作粒度為埠,合法使用者接入埠之後埠處於開啟狀態,因此其它同一埠的使用者不需認證即可接入網路。因此在實施上,必需在樓宇層交換機支援802.1x協議。在實施上,這些低價、不具備硬體加解密功能的樓宇層交換機未來是否能夠公升級支援802.1x,或者公升級後能否提供足夠的網路效能都是個問題。
客戶支援問題
跟pppoe、***p/l2tp類似,802.1x必需安裝特定的客戶端軟體或是使用windows xp,對沒有it支援的普通使用者來說仍然是乙個比較複雜的問題,因此運營商仍然存在相當的客戶支援壓力。
七、web/vlan技術評估
web/vlan技術是從mac/vlan改良而來的接入控制技術。當使用者尚未完成認證時,使用者的vlan只能到達交換機內建或外接的web認證模組。當使用者通過認證後,web認證模組再命令交換機將使用者的 vlan id開啟。web/vlan技術提供了基於使用者身份的認證,在客戶端也不需要配置特別的客戶端軟體。但是web/vlan仍然存在著下述的問題:
實施條件問題
web/vlan的授權是通過vlan的開關實施,因此實施的基本條件是每個使用者都必需要有乙個單獨的vlan,而且要終結在web/vlan交換機上。當已部署的樓宇層交換機不支援vlan trunk功能時,就無法實施基於web/vlan的使用者認證。
網路規劃問題
web/vlan跟pppoe類似,要求在客戶端與web/vlan伺服器存在乙個二層網路,二層網路越大管理越困難,問題也越多。如果每個小區甚至樓宇就使用乙個web/vlan交換機,卻又存在部署成本與管理問題。
開機爆量問題
這個問題出現在較早期的web/vlan交換機上,主要是因為早期的web/vlan交換機採用外接的web認證模組,當使用者完成認證後,web認證模組必需通過tel*** script或snmp set命令將使用者的vlan開啟。由於開機瞬間會有大量使用者同時進行認證,造成交換機無法承受大量的命令而產生宕機現象。
八、web/ip技術評估
web/ip跟web/vlan技術非常類似,當使用者尚未完成認證時,使用者的ip只能到達路由器內建的web認證模組。當使用者通過認證後,web認證模組再將使用者的ip位址加入web/ip路由器的授權表。跟其它技術相比,web/ip技術具備了以下的特點:
工程實施
web/ip技術的授權粒度為ip,跟以太駐地網的dhcp架構可以進行無縫連線,因此實施迅速。另外由於採用三層結構,可以將web/ip路由器部署在pop點以匯聚多個小區的認證需求,對初期開通率低的都會網路可以有效節省建置成本。
客戶支援
web/ip不需要特定的客戶端軟體,客服的工作量大大減少。
網路效能
web/ip沒有pppoe/***p/l2tp的封包封裝問題,對客戶端cpu沒有負擔,可以有效支援vod等寬頻應用。
封包分割
web/ip沒有pppoe/***p/l2tp的封包封裝問題,自然也沒有因為mtu改變產生的封包分割問題,不會增加路由器或客戶端的負擔。
在web/ip技術發展的初期,存在一些如對使用者上網時間計算不精確、對使用者私接無法控制等情況,目前這些問題在一些公司設計的接入控制器上都得到了很好的解決。
RTK GNSS 網路RTK幾種常用技術的比較
rtk realtimekinematic 技術是gps測量技術與資料傳輸技術相結合而構成的組合系統,形成於20世紀90年代中期。目前rtk技術主要分為常規rtk技術和網路rtk技術。常規rtk是建立在流動站與基準站誤差強相關基礎上的,當流動站離基準站較近時,誤差是強相關的,此時利用乙個或數個曆元的...
工業技術興起 現階段工業物聯網需要解決的問題
工業技術興起的浪潮中,日益競爭明顯的市場也讓傳統製造企業感覺到轉型 換一種商業模式經營的重要性,生產製造更加注重提公升效率,利用物聯網技術,將工業自動化和資訊化融合,能夠收集和分析機器間的資料,實現更快 更靈活和更高效的流程,以降低成本生產更高質量的產品,提高公司核心競爭力。工業物聯網閘道器 據相關...
軟體測試中常用的幾種糾錯技術
軟體測試中常用的幾種糾錯技術 糾錯先要查錯。查錯的工作量通常佔整個糾錯的十分之九以上。所謂糾錯的技術,主要是指查明程式錯誤時可能採用的工具和手段。這些手段如果運用得當,就能明顯的提高查錯的效率。1 插入列印語句 在程式中插入暫時性的列印語句,是一種十分常見的查錯技術。這類列印語句的作用主要是顯示程式...