基于SDN的寬帶接入網用戶認證范文

本站小編為你精心準備了基于SDN的寬帶接入網用戶認證參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《移動通信雜志》2014年第z1期

1OpenFlow概述

軟件定義網絡（sdn）的核心理念是使網絡軟件化并提供靈活的開放接口，使得網絡能夠像軟件一樣便捷、靈活，從而提高網絡的創新能力。如圖1所示，軟件定義網絡（SDN）的邏輯架構由基礎設施層、控制層和應用層組成。其中，基礎設施層主要為轉發設備，實現轉發功能；控制層由SDN控制軟件組成，可通過標準化協議與下層進行通信，實現對基礎設施層的控制；應用層不同的應用邏輯可通過控制層開放的API管理能力控制設備的報文轉發功能。如圖1所示，軟件定義網絡（SDN）具有2種不同的網絡API接口：北向接口和南向接口。OpenFlow是一種業界普遍認可的標準化南向API，該協議由負責監管OpenFlow協議的標準組織開放式網絡基金會（ONF）制定。其中，OpenFlow交換機是整個OpenFlow網絡的核心部件，其轉發行為由流表進行控制。OpenFlow交換機接收到數據包后，首先在本地的流表上查找轉發目標端口，如果匹配則執行流表指定的動作，如果不匹配則將數據包轉發給控制器，由控制層決定轉發端口。控制器和交換機之間的信息交互采用OpenFlow協議，交換機的流表也由控制器通過OpenFlow協議下發。

2現有寬帶接入網的認證方式分析

目前運營商采用的認證技術主要包括IPoE和PPPoE這2種方式。PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網發送PPP包的傳輸方法在同一以太網上建立多個PPP連接。其中PPP協議提供了通訊雙方身份驗證的功能，從而實現用戶接入認證和管理。但是，PPP協議是一種點對點的協議，協議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網廣播鏈路上進行點對點通信的能力。IPoE使用DHCP（DynamicHostConfigurationProtocol，動態主機配置協議）協議進行動態地址配置，DHCP協議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統稱為DHCP+認證。國內運營商的IPTV、WLAN業務普遍采用了IPoE的認證方式。IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCPDiscover、DHCPOffer、DHCPRequest、DHCPACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示。

3PPPoE和IPoE認證在SDN網絡中的實現方案

PPPoE和IPoE這2種認證方式在現網中均有較大規模的應用。從幀結構上講，由于PPPoE經過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數據包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示。在SDN技術構建的網絡中，所有的轉發設備由OF交換機替代，部分業務網元功能也被應用軟件虛擬化。BRAS（BroadbandRemoteAccessServer，寬帶遠程接入服務器）/SR（ServiceRouter，全業務路由器）功能虛擬化后，仍然可以繼續采用PPPoE或IPoE來進行認證，這2種方式的網絡結構和對設備的功能要求有較大區別。采用PPPoE方式需要在網絡中選擇1個設備節點解析PPP報文，那么可以采用以下2種方式：（1）在控制器上終結PPPoE。控制器需要解析每個PPP報文，深度參與數據包的轉發，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網元增加了對下聯交換機的控制功能。（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發過程，但是目前OpenFlow協議中規定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協議等字段的匹配，并將凈負荷還原出來。2種終結PPPoE方式的網絡結構如圖5所示。采用IPoE方式的網絡結構如圖6所示。控制器通過packetout消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packetin消息將DHCPOffer和ACK報文發給用戶主機。控制器根據用戶申請的業務和產品對交換機下發流表，控制轉發行為，此后控制器不再參與包轉發過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發送給控制器。

4總結

根據上述分析，在SDN技術構建的寬帶接入網絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協議進行擴展；或者在控制器上終結PPPoE，需要控制器深度參與數據包的轉發過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發，而后根據用戶業務屬性向交換機下發相應的流表，實現起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

作者：劉漢江毛宇陳文華單位：中國電信股份有限公司廣州研究院