基于SDN的宽带接入网用户认证方式研究
2014-12-26刘汉江毛宇陈文华
刘汉江+毛宇+陈文华
【摘 要】通过介绍SDN的层次结构和OpenFlow的工作原理,分析了现有宽带接入业务的2种典型认证方式,讨论了它们在SDN技术构建的宽带接入网中的实现方式、网络结构和优缺点,证明了IPoE认证方式更适合应用于未来的SDN宽带接入网络。
【关键词】宽带接入网 SDN OpenFlow 认证
中图分类号:TN929.5 文献标识码:A 文章编号:1006-1010(2014)-22-0056-04
Research on User Authentication Methods for Broadband Access Network
Based on SDN
LIU Han-jiang, MAO Yu, CHEN Wen-hua
(Guangzhou Research Institute of China Telecom Co., Ltd., Guangzhou 510630, China)
[Abstract]The hierarchical structure of SDN and working principle of OpenFlow are introduced. The existing two typical authentication methods of broadband access network are analyzed, in the meantime, their implementations, network structures, advantages and disadvantages of the two authentication methods in broadband access network constructed by SDN technology are discussed. It is proved that IPoE authentication mode is more suitable for SDN broadband access network in the future.
[Key words]broadband access network Software Defined Network (SDN) OpenFlow authentication
1 前言
随着三网融合应用的不断推进,用户消费行为和行业发展发生了深刻地变化,网络流量正以爆发式的方式增长,这就给宽带接入网提出了新的需求,全业务、高带宽、易运行维护、安全稳定可控成为了未来宽带接入网的发展趋势。为了实现用户对于“高带宽”的需求,电信运营商正在不断加大光纤接入网的建设力度,目前我国很多小区已经实现了100M带宽的光纤接入。以PON(Passive Optical Network,无源光网络)为主的FTTB(Fiber to The Building,光纤到楼)、FTTC(Fiber to The Curb,光纤到路边)、FTTH(Fiber to The Home,光纤到户)技术有效地解决了网络容量的问题。
为了实现宽带接入业务的运营,运营商在网络中引入了诸如认证、鉴权、计费、带宽限速、用户隔离、业务标识、QoS(Quality of Service,服务质量)、DPI(Deep Packet Inspection,深度报文检测)等功能,从而使得宽带接入业务可管可控,形成了不同带宽产品之间的区隔,保证了用户的安全[1]。但是,日益增长的互联网流量和复杂多样的承载业务给宽带接入网的运维管理带来了巨大的挑战[2]。而SDN(Software Defined Network,软件定义网络)技术作为一种新兴的网络技术,为运营商降低网络运维管理的复杂程度,实现网络与业务的强关联、业务的快速部署提供了技术手段。
在网络的诸多功能中,用户认证方式作为可运营、可管理的核心,一直受到包括运营商、制造商的密切关注。因此,在基于SDN构建的宽带接入网络中,用户认证仍然是运营商需要关注的核心问题。
2 OpenFlow概述
软件定义网络(SDN)的核心理念是使网络软件化并提供灵活的开放接口,使得网络能够像软件一样便捷、灵活,从而提高网络的创新能力[3]。如图1所示,软件定义网络(SDN)的逻辑架构由基础设施层、控制层和应用层组成。其中,基础设施层主要为转发设备,实现转发功能;控制层由SDN控制软件组成,可通过标准化协议与下层进行通信,实现对基础设施层的控制;应用层不同的应用逻辑可通过控制层开放的API管理能力控制设备的报文转发功能[4-5]。
如图1所示,软件定义网络(SDN)具有2种不同的网络API接口:北向接口和南向接口。OpenFlow是一种业界普遍认可的标准化南向API,该协议由负责监管OpenFlow协议的标准组织开放式网络基金会(ONF)制定发布。其中,OpenFlow交换机是整个OpenFlow网络的核心部件,其转发行为由流表进行控制。OpenFlow交换机接收到数据包后,首先在本地的流表上查找转发目标端口,如果匹配则执行流表指定的动作,如果不匹配则将数据包转发给控制器,由控制层决定转发端口。控制器和交换机之间的信息交互采用OpenFlow协议,交换机的流表也由控制器通过OpenFlow协议下发。
3 现有宽带接入网的认证方式分析
目前运营商采用的认证技术主要包括IPoE和PPPoE这2种方式。endprint
PPPoE认证过程如图2所示。PPPoE是运营商广泛采用的接入认证技术,利用以太网发送PPP包的传输方法在同一以太网上建立多个PPP连接。其中PPP协议提供了通讯双方身份验证的功能,从而实现用户接入认证和管理。但是,PPP协议是一种点对点的协议,协议中没有提供地址信息,必须使用PPPoE再进行一次封装提供在以太网广播链路上进行点对点通信的能力。
IPoE使用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议进行动态地址配置,DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,如DHCP+Web方式、DHCP+客户端方式和利用DHCP+Option扩展字段进行认证,所有这些方式都统称为DHCP+认证。国内运营商的IPTV、WLAN业务普遍采用了IPoE的认证方式。
IPoE认证的过程比较简单,以DHCP+Option扩展字段认证为例,主机和DHCP服务器之间只需通过DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成认证及地址分配(不包含DHCP与AAA之间的交互过程)。DHCP+Option扩展字段认证过程如图3所示:
图3 DHCP+Option扩展字段认证过程
4 PPPoE和IPoE认证在SDN网络中的
实现方案
PPPoE和IPoE这2种认证方式在现网中均有较大规模的应用。从帧结构上讲,由于PPPoE经过PPP和PPPoE两层封装,终端和接入服务器需要更复杂的处理过程,对设备的性能要求也较高。PPPoE需要专门的接入服务器终结PPP报文,还原出IP数据包,而IPoE则省略了这一过程。PPPoE帧结构如图4所示:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
接入集中MAC地址(Access_Concentrator_mac_addr)
接入集中MAC地址(c) 主机MAC地址(Host_mac_addr)
主机MAC地址(cont)
以太网类型ETHER_TYPE=0x8864 v=1 t=1 代码CODE=0x00
会话ID(SESSION_ID)=0x1234 长度LENGTH=0x????
PPP协议=0xc021 PPP净荷
图4 PPPoE帧结构
在SDN技术构建的网络中,所有的转发设备由OF交换机替代,部分业务网元功能也被应用软件虚拟化。BRAS(Broadband Remote Access Server,宽带远程接入服务器)/SR(Service Router,全业务路由器)功能虚拟化后,仍然可以继续采用PPPoE或IPoE来进行认证,这2种方式的网络结构和对设备的功能要求有较大区别。
采用PPPoE方式需要在网络中选择1个设备节点解析PPP报文,那么可以采用以下2种方式:
(1)在控制器上终结PPPoE。控制器需要解析每个PPP报文,深度参与数据包的转发,不但对控制器性能要求很高,也与SDN的控制与承载分离架构不一致,相当于BRAS网元增加了对下联交换机的控制功能。
(2)在某台OF交换机上终结PPPoE。控制器不参与包转发过程,但是目前OpenFlow协议中规定的OF交换机匹配域和行动并不支持对PPPoE帧的匹配及剥离报文头,因此需要对OpenFlow协议进行扩展,匹配域需要增加PPPoE的代码(code)、会话(session)、PPP协议等字段的匹配,并将净负荷还原出来。
2种终结PPPoE方式的网络结构如图5所示。采用IPoE方式的网络结构如图6所示。
控制器通过packet out消息获取用户的DHCP报文,与DHCP服务器和AAA服务器等配合完成用户的认证、地址分配过程,再通过packet in消息将DHCP Offer和ACK报文发给用户主机。控制器根据用户申请的业务和产品对交换机下发流表,控制转发行为,此后控制器不再参与包转发过程,直至用户下线。用户下线后,控制器拆除对应的流表,并将时长、流量等计费信息发送给控制器。
5 总结
根据上述分析,在SDN技术构建的宽带接入网络中,采用PPPoE认证方式需要在某台OF交换机上终结PPPoE,需要对OpenFlow协议进行扩展;或者在控制器上终结PPPoE,需要控制器深度参与数据包的转发过程,对控制器的性能要求高,也不符合控制与承载分离的架构,实现较为困难。而采用IPoE方式,控制器仅参与用户认证阶段的DHCP报文转发,而后根据用户业务属性向交换机下发相应的流表,实现起来较为简单。当然,采用IPoE认证方式还需要采取相应的机制或策略来解决安全性、反地址欺骗、防DoS攻击等问题。
参考文献:
[1] 吴家林,赵永利,张杰,等. 网络革命拂晓:SDN进入智能宽带接入网[J]. 通信世界, 2013(7): 49-50.
[2] 王茜,赵慧玲,解云鹏. SDN标准化和应用场景探讨[J]. 中兴通讯技术, 2013,19(5): 2-6.
[3] 左青云,陈鸣,赵广松,等. 基于OpenFlow的SDN技术研究[J]. 软件学报, 2013,24(5): 1078-1097.
[4] ONF White Paper. Software-Defined Networking: The New Norm for Networks[S]. 2012.
[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint
PPPoE认证过程如图2所示。PPPoE是运营商广泛采用的接入认证技术,利用以太网发送PPP包的传输方法在同一以太网上建立多个PPP连接。其中PPP协议提供了通讯双方身份验证的功能,从而实现用户接入认证和管理。但是,PPP协议是一种点对点的协议,协议中没有提供地址信息,必须使用PPPoE再进行一次封装提供在以太网广播链路上进行点对点通信的能力。
IPoE使用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议进行动态地址配置,DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,如DHCP+Web方式、DHCP+客户端方式和利用DHCP+Option扩展字段进行认证,所有这些方式都统称为DHCP+认证。国内运营商的IPTV、WLAN业务普遍采用了IPoE的认证方式。
IPoE认证的过程比较简单,以DHCP+Option扩展字段认证为例,主机和DHCP服务器之间只需通过DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成认证及地址分配(不包含DHCP与AAA之间的交互过程)。DHCP+Option扩展字段认证过程如图3所示:
图3 DHCP+Option扩展字段认证过程
4 PPPoE和IPoE认证在SDN网络中的
实现方案
PPPoE和IPoE这2种认证方式在现网中均有较大规模的应用。从帧结构上讲,由于PPPoE经过PPP和PPPoE两层封装,终端和接入服务器需要更复杂的处理过程,对设备的性能要求也较高。PPPoE需要专门的接入服务器终结PPP报文,还原出IP数据包,而IPoE则省略了这一过程。PPPoE帧结构如图4所示:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
接入集中MAC地址(Access_Concentrator_mac_addr)
接入集中MAC地址(c) 主机MAC地址(Host_mac_addr)
主机MAC地址(cont)
以太网类型ETHER_TYPE=0x8864 v=1 t=1 代码CODE=0x00
会话ID(SESSION_ID)=0x1234 长度LENGTH=0x????
PPP协议=0xc021 PPP净荷
图4 PPPoE帧结构
在SDN技术构建的网络中,所有的转发设备由OF交换机替代,部分业务网元功能也被应用软件虚拟化。BRAS(Broadband Remote Access Server,宽带远程接入服务器)/SR(Service Router,全业务路由器)功能虚拟化后,仍然可以继续采用PPPoE或IPoE来进行认证,这2种方式的网络结构和对设备的功能要求有较大区别。
采用PPPoE方式需要在网络中选择1个设备节点解析PPP报文,那么可以采用以下2种方式:
(1)在控制器上终结PPPoE。控制器需要解析每个PPP报文,深度参与数据包的转发,不但对控制器性能要求很高,也与SDN的控制与承载分离架构不一致,相当于BRAS网元增加了对下联交换机的控制功能。
(2)在某台OF交换机上终结PPPoE。控制器不参与包转发过程,但是目前OpenFlow协议中规定的OF交换机匹配域和行动并不支持对PPPoE帧的匹配及剥离报文头,因此需要对OpenFlow协议进行扩展,匹配域需要增加PPPoE的代码(code)、会话(session)、PPP协议等字段的匹配,并将净负荷还原出来。
2种终结PPPoE方式的网络结构如图5所示。采用IPoE方式的网络结构如图6所示。
控制器通过packet out消息获取用户的DHCP报文,与DHCP服务器和AAA服务器等配合完成用户的认证、地址分配过程,再通过packet in消息将DHCP Offer和ACK报文发给用户主机。控制器根据用户申请的业务和产品对交换机下发流表,控制转发行为,此后控制器不再参与包转发过程,直至用户下线。用户下线后,控制器拆除对应的流表,并将时长、流量等计费信息发送给控制器。
5 总结
根据上述分析,在SDN技术构建的宽带接入网络中,采用PPPoE认证方式需要在某台OF交换机上终结PPPoE,需要对OpenFlow协议进行扩展;或者在控制器上终结PPPoE,需要控制器深度参与数据包的转发过程,对控制器的性能要求高,也不符合控制与承载分离的架构,实现较为困难。而采用IPoE方式,控制器仅参与用户认证阶段的DHCP报文转发,而后根据用户业务属性向交换机下发相应的流表,实现起来较为简单。当然,采用IPoE认证方式还需要采取相应的机制或策略来解决安全性、反地址欺骗、防DoS攻击等问题。
参考文献:
[1] 吴家林,赵永利,张杰,等. 网络革命拂晓:SDN进入智能宽带接入网[J]. 通信世界, 2013(7): 49-50.
[2] 王茜,赵慧玲,解云鹏. SDN标准化和应用场景探讨[J]. 中兴通讯技术, 2013,19(5): 2-6.
[3] 左青云,陈鸣,赵广松,等. 基于OpenFlow的SDN技术研究[J]. 软件学报, 2013,24(5): 1078-1097.
[4] ONF White Paper. Software-Defined Networking: The New Norm for Networks[S]. 2012.
[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint
PPPoE认证过程如图2所示。PPPoE是运营商广泛采用的接入认证技术,利用以太网发送PPP包的传输方法在同一以太网上建立多个PPP连接。其中PPP协议提供了通讯双方身份验证的功能,从而实现用户接入认证和管理。但是,PPP协议是一种点对点的协议,协议中没有提供地址信息,必须使用PPPoE再进行一次封装提供在以太网广播链路上进行点对点通信的能力。
IPoE使用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议进行动态地址配置,DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,如DHCP+Web方式、DHCP+客户端方式和利用DHCP+Option扩展字段进行认证,所有这些方式都统称为DHCP+认证。国内运营商的IPTV、WLAN业务普遍采用了IPoE的认证方式。
IPoE认证的过程比较简单,以DHCP+Option扩展字段认证为例,主机和DHCP服务器之间只需通过DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成认证及地址分配(不包含DHCP与AAA之间的交互过程)。DHCP+Option扩展字段认证过程如图3所示:
图3 DHCP+Option扩展字段认证过程
4 PPPoE和IPoE认证在SDN网络中的
实现方案
PPPoE和IPoE这2种认证方式在现网中均有较大规模的应用。从帧结构上讲,由于PPPoE经过PPP和PPPoE两层封装,终端和接入服务器需要更复杂的处理过程,对设备的性能要求也较高。PPPoE需要专门的接入服务器终结PPP报文,还原出IP数据包,而IPoE则省略了这一过程。PPPoE帧结构如图4所示:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
接入集中MAC地址(Access_Concentrator_mac_addr)
接入集中MAC地址(c) 主机MAC地址(Host_mac_addr)
主机MAC地址(cont)
以太网类型ETHER_TYPE=0x8864 v=1 t=1 代码CODE=0x00
会话ID(SESSION_ID)=0x1234 长度LENGTH=0x????
PPP协议=0xc021 PPP净荷
图4 PPPoE帧结构
在SDN技术构建的网络中,所有的转发设备由OF交换机替代,部分业务网元功能也被应用软件虚拟化。BRAS(Broadband Remote Access Server,宽带远程接入服务器)/SR(Service Router,全业务路由器)功能虚拟化后,仍然可以继续采用PPPoE或IPoE来进行认证,这2种方式的网络结构和对设备的功能要求有较大区别。
采用PPPoE方式需要在网络中选择1个设备节点解析PPP报文,那么可以采用以下2种方式:
(1)在控制器上终结PPPoE。控制器需要解析每个PPP报文,深度参与数据包的转发,不但对控制器性能要求很高,也与SDN的控制与承载分离架构不一致,相当于BRAS网元增加了对下联交换机的控制功能。
(2)在某台OF交换机上终结PPPoE。控制器不参与包转发过程,但是目前OpenFlow协议中规定的OF交换机匹配域和行动并不支持对PPPoE帧的匹配及剥离报文头,因此需要对OpenFlow协议进行扩展,匹配域需要增加PPPoE的代码(code)、会话(session)、PPP协议等字段的匹配,并将净负荷还原出来。
2种终结PPPoE方式的网络结构如图5所示。采用IPoE方式的网络结构如图6所示。
控制器通过packet out消息获取用户的DHCP报文,与DHCP服务器和AAA服务器等配合完成用户的认证、地址分配过程,再通过packet in消息将DHCP Offer和ACK报文发给用户主机。控制器根据用户申请的业务和产品对交换机下发流表,控制转发行为,此后控制器不再参与包转发过程,直至用户下线。用户下线后,控制器拆除对应的流表,并将时长、流量等计费信息发送给控制器。
5 总结
根据上述分析,在SDN技术构建的宽带接入网络中,采用PPPoE认证方式需要在某台OF交换机上终结PPPoE,需要对OpenFlow协议进行扩展;或者在控制器上终结PPPoE,需要控制器深度参与数据包的转发过程,对控制器的性能要求高,也不符合控制与承载分离的架构,实现较为困难。而采用IPoE方式,控制器仅参与用户认证阶段的DHCP报文转发,而后根据用户业务属性向交换机下发相应的流表,实现起来较为简单。当然,采用IPoE认证方式还需要采取相应的机制或策略来解决安全性、反地址欺骗、防DoS攻击等问题。
参考文献:
[1] 吴家林,赵永利,张杰,等. 网络革命拂晓:SDN进入智能宽带接入网[J]. 通信世界, 2013(7): 49-50.
[2] 王茜,赵慧玲,解云鹏. SDN标准化和应用场景探讨[J]. 中兴通讯技术, 2013,19(5): 2-6.
[3] 左青云,陈鸣,赵广松,等. 基于OpenFlow的SDN技术研究[J]. 软件学报, 2013,24(5): 1078-1097.
[4] ONF White Paper. Software-Defined Networking: The New Norm for Networks[S]. 2012.
[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint
