打开文本图片集

摘要 随着互联网技术的发展，客户对服务水平的要求也越来越高，本文通过对IPoE和PPPoE技术特点的比较，以及IPoE在BRAS接入方案可行性分析，以广东电信的实际应用为样本，阐述了运营商后端人员在提升客户服务方面所做出的技术改进，以及运维人员应用IPOE技术对天翼高清视频质量保证达到的效果，为天翼高清业务的大力发展开了个好头。

关键词 BRAS  IPoE  DHCP  session

1 IPoE的特性

IPoE 技术是由DSL论坛WT-146 推荐的一种新形式的接入认证方式。它基于DHCP转换为RADIUS认证报文来实现用户接入认证与控制。与通过用户终端的PPPoE 拨号软件相比，协议开销较小，处理流程简单。IPoE 与PPPoE 的技术特点比较见表1。

2 IPoE接入方式

根据BAS在用户接入时担任的的网络角色，可以有两种接入方式。负责地址分配的服务器，充当DHCP Server;或是报文转发的中继器，充当DHCP relay。

2.1 BRAS作为server的组网

用户上线过程：

当BRAS收到客户端发出的DHCP Discover报文时，会从地址池里预分配一个空闲IP，并回应客户端一个offer报文。客户端收到offer报文，再向BRAS发出request确认请求包，BRAS会根据request报文中的mac地址及用户ID来查找地址分配信息，若匹配信息正确，回应DHCP ack报文，若匹配不到信息，再回应DHCP NAK报文。如图1

用户下线过程：

分配给客户端的地址里带有租期信息。到租期50%时，客户端会自动启动单播request报文继续续租，若续约成功，则租期延长;若续约失败，则等租期87.5%时，发广播续租请求，针对网络中可能存在dhcp server备用服务器，则可以备用dhcp server服务器直接响应，若仍然续约失败，则租期一到，地址释放，如图2。

客户端主动发起release请求，BRAS收到release报文，则根据mac和ID立即释放地址。

2.2 BRAS作为relay使用

DHCP报文由于是广播报文，无法穿越不同的网络。如果server和客户端不在一个网络时，需要使用DHCP relay作为中继转发。客户端发起UDP 68端口的报文，访问目的地址为UDP 67端口。DHCP relay会收到大量的的UDP报文，但只转发udp端口为67的报文。

从机顶盒发出的DHCP discover报文，如下图3：

从BRAS发出的dhcp报文，如下图4：

DHCP报文完整交互过程如下图五：

BRAS作为relay使用时，同时BRAS充当地址池网关，BRAS也可以直接将用户release释放，在连续2次发出DHCP discover，而SERVER无响应时，再暂停发送DHCP discover报文，等待冷却期后再次发起discover报文。

3 IPoE认证的安全策略

由于IPoE认证本身不像PPPoE认证一样在网络层面提供唯一的点到点的通信， 所以运营商在部署时，安全问题是需要考虑的主要问题。随网络技术的发展，家庭网关，网络接入设备（如DSLAM）， 宽带网络网关必须协同工作，增强网络安全性。安全保证策略包括如下方面：

（a）反地址欺骗： BRAS上单播下联口进行urpf校验，非路由表中的IP不允许通过。

（b）用户终端数限制：控制每个业务接入账号所连接用户终端的数量。

（c）防DDoS攻击，对于用户通过发送大量的DHCP请求，模拟不同MAC 地址的Host请求IP地址，攻击DHCP Server的情况：解决方式是DHCP 请求需要得到Radius 服务器认证通过才能被送到DHCP Server， Radius 设定了用户的用户账号和线路号绑定的功能，只有用户账号和线路号在Radius数据库种才能获得许可申请用户的IP地址。

对于由宽带网络网关发送大量的DHCP请求发送到Radius服务器的情况：解决方式是在用户认证通过认证获得IP地址之前，基于每个用户设置最大在线时间，超过3分钟则强制用户下线。

（d）业务隔离：下行通过VLAN隔离;上行方向除上网业务分配公网地址直接接入外，其它业务（包括网络管理）一律按业务类别分装在不同VPN内进行传送。

（e）非法组播源抑制：olt规划好组播源地址段，非组播源地址不允许访问。

（f）端口隔离：设置用户水平分割组，禁止用户接入端口间直接转发。

（g）acl列表：限定IPOE用户只可以访问特定的网页，不在acl列表里的则直接拒绝。

4 IPoE在广东电信天翼高清项目中的选择和应用

4.1 IPoE的部署方式

IPoE 接入认证方式以承载网络是否对接入用户和终端进行Session（会话控制）级控制和管理为标准，接入方式分为两种：

a）非Session 级IPoE。通过DHCP 服务器上的接口与后台认证系统交互，完成用户接入的合法性认证和鉴权，承载网络只负责转发DHCP 请求，对用户Session 不感知。

b）Session 级IPoE 方式。接入控制层设备感知用户，与后台认证系统交互，实现用户和终端的接入认证和鉴权。完成认证鉴权后，接入控制层设备与DHCP 服务器交互获取用户地址及相关地址控制策略。在Session 级IPoE 方式下，业务接入控制层设备可以在承载网络层面实现Session 级别的精确管理和基于用户/ 业务的精确控制。

IPOE有三种认证方式，用户名、密码认证，用户线路认证以及web认证。目前广东电信IPTV用户采用包月计费方式，无需对用户的精确控制管理，现网采用的是非session级管理，如图6。

现网采用客户端DHCP+option60，即在客户端输入用户名和密码的方式进行地址鉴权。同时在BRAS中插入OPTION82的信息，BRAS将客户端的DHCP discover信息relay给DHCP server。DHCP server将option60解析成Radius可识别的用户名、密码，并将用户名、密码及线路信息发送给Radius。Radius认证通过后，DHCP server再进行预分配地址，并回应DHCP offer报文给BRAS，并在DHCP offer报文里插入option125，用于机顶盒判别是否合法的DHCP server。如图7。

4.2 IPoE在天翼高清业务部署中的要求

IPoE的一个主要应用场景是组播业务复制点下移至OLT。由于因此要求汇聚交换机、OLT（光线路终端）设备能支持组播技术，OLT支持组播复制能力，同时支持跨VLAN组播复制，机顶盒提前部署好组播vlan和单播vlan。要求BRAS部署组播VLAN，BRAS下联口使能igmp，终结join group packets;汇聚交换机开启igmp snooping，直接透传组播业务;OLT根据业务部署规划和设备性能情况开启IGMP Proxy，要求部署跨VLAN 组播;FTTH设备支持组播vlan和单播vlan。

开通模式如图8：

1） BRAS 下行： 使能igmp， 终结join group packets。

2）DSW：创建相同的mVlan 50，开启snooping，仅作侦听，直接透传申请。

3）OLT：创建相同的mVlan 50，开启proxy，代理申请。

4） FTTH： 单独配置组播Vlan 50， 开启igmp snooping，不做代理，直接透传用户申请，IPTV 接入端口封装user-Vlan 45。

申请加入组播组过程：

1）STB 作为用户，以IGMP V2 格式申请join group。

2）FTTH 接收后，将join报文加入mVlan 50，不做代理，继续透传至OLT。

3）OLT 接收后，开启代理，终结原有FTTH类ONU 的加入申请，以自身为用户发起join。

4）BRAS 下行端口接收到join 申请，终结用户申请，验证通过后，进入三层组播路由环节。

接入层组播复制过程：

1）BRAS下行接口，根据用户申请状态表，同一个节目，不同逻辑接口复制一份下发。

2）OLT上，根据节目加入状态表，同一个节目，针对每一个加入端口复制一份流量给下行ONU。

3） FTTH直接按照用户MAC，将流量下发给用户。

为保证宽带接入网多业务承载的性能，具备针对不同业务进行分级保障，建议在宽带接入网部署QoS，支持SP+WRR（严格优先级+加权调度）调度。

5结束语

随着互联网+业务的快速发展，运营商网络的发展也越来越多样化，原来的pppoe已经不能满足多业务的需求，IPOE由于接入要求简单，协议开销小，业务实现灵活，也必将越来越多的在运营商网络中被使用。

参考文献

[1]吴平，吴敏.电信运营商IPoE技术部署. 电信快报，2012年第3期

[2]刘绍东，马静静，董云峰.城域网IPTV组播技术在网络优化改造中的应用.齐鲁工业大学学报，2015年9月

[3]李晟韵，叶佳.IPTV承载网络DHCP接入技术规范V2.3. 2009-11-11

[4]李利军，李丽荣.ITV业务组播复制点下移改造的思考.电视技术，2014年38（14）