宽带接入认证平台探讨

石迎莉 吴心协

中国网络通信有限公司北京分公司 北京100032

　　摘 要 本文就宽带业务发展对认证计费的要求，分析了接入认证的类型和方法，论述了建立统一接入平台、进行集中认证，即采用“分散接入、集中认证计费”的网络方案以及接入设备的技术要求。

　　关键词 接入 认证 计费 WLAN 酒店 CPN BRAS

　　一、宽带接入认证平台的意义



　　随着信息技术的发展，社会信息化程度越来越高，传统的电报电话业务，甚至文件传输、电子邮件等数据业务已不能满足人们对信息的需求，更高品质的集视频、图像、声音、文字、甚至动画等为一体的多媒体应用服务，越来越被人们所期望。


　　目前，各大电信运营商都在加速宽带网络建设，未来是宽带的世界，未来是宽带多媒体的信息世界。早期的互联网带宽窄、路由瓶颈、接入速率低、延迟大而不确定，使得实时性强的音视频流质量不能得到保证，限制了IP多媒体的广泛应用。随着宽带IP技术的发展和成熟，IP多媒体应用成为现实。以IP为基础，扩大互联网产业价值链，与合作伙伴共同推进全社会信息化、网络化进程，已经成为宽带运营商的发展目标之一。


　　在中国各大中城市，下一代网络服务已经迅速向高速城域网发展，IP电话、Web浏览、电子商务、网络娱乐项目等服务产品已经逐步纳入各个致力于宽带事业的ISP的发展议程。采用适宜的网络设备，实现数据流的汇聚已经成为宽带接入网络建设的重点。一些新兴的宽带运营商更是致力于宽带事业，以“人人拥有宽带”为目标，要求为用户提供各种宽带接入服务，在速度上较传统模拟拨号或ISDN接入技术要高很多。


　　宽带接入千万家，认证和计费是关键。认证和计费是电信网的两个有关联的环节。计费有多种方式，包月制是最普遍最简单的计费方式,它不依赖于认证。但存在很多弊端。如果采用包月的方式，不管包月费是多少，都会产生两方面的损失。首先，损失客户，承受能力小于包月费的用户将不会考虑申请注册成为注册用户。其次，损失收入，承受能力高于包月费的用户，原本可以向他们多收费的，但由于包月费的限制，却只能收到包月费的价钱。采用包月的方式无法细化用户群，不能针对用户的不同需求、不同的流量、带宽，支持不同的付费方式，提供不同的服务、不同的服务质量。所以，正确可靠地把用户识别出来，是无差错计费的前提条件。一般来说，除了包月，其他计费方式都和认证有关。所以如何对宽带用户进行认证，以便于提供多种计费策略，如何更好地满足宽带用户的关于计费方面的需求，同时提供宽带业务的公司也能够细分用户带宽，根据不同带宽、不同流量、不同时长，提供不同的计费方法，是目前急需解决的问题。


　　要想实现为宽带用户提供多种计费方案，需要为用户提供一个宽带接入认证的平台，尤其是实现多业务选择和多业务门户功能的平台。随着宽带接入网络的迅猛发展，采用宽带接入、认证和计费系统，建立一个可运营、可管理的宽带网络，已成为各网络运营商的迫切要求。宽带接入认证平台可以面向商业楼宇、酒店、信息化小区以及机场、火车站等其他公共场所的用户，为宽带城域网用户提供灵活多变、使用方便的认证方式，主要实现认证功能。

　　二、宽带接入平台的要求



　　构建一个宽带业务接入平台，要求能够终结多种类型宽带接入用户的接入，如PVC、PPP、L2TP等等，能够将用户流量汇聚到电信骨干网络。同时，能够根据用户选择的业务类型将用户流量转发到相应的业务提供点。这些业务包括VPN业务、多媒体业务、MOBIL OFFICE等，可让服务提供商改进价值链，贴近用户，提供独具特色的增值服务。服务提供商可以选择提供利润更大或基于用户的增值服务，从而带来更多的创收机会。


　　宽带业务接入平台的服务选择菜单使得电信运营商可以向最终用户展示所有的服务，而最终用户也可以一目了然地看到所有服务并帮助用户做出决定。由于在用户认证之前只能访问宽带业务接入平台的页面进行认证，因此宽带接入网络的BRAS成为真正的网络“入口”。通过认证接入平台，运营商可以制订灵活的计费策略，可以通过在业务选择页面编制丰富多彩的内容来吸引用户并向用户提供更多的信息。


　　在BRAS上，服务提供商可根据不同的用户名来分配过滤器，决定用户访问的IP范围。 对于核心电信运营商来说，即在AAA Server上定义过滤器。上网的用户通过WWW界面输入帐号和密码，接受到的用户名和密码转换成Radius的格式，送到BRAS上，再经过本地AAA Server产生相应的“服务列表”。BRAS应对面向全国的用户提供漫游服务，用户漫游将通过Radius服务器的漫游功能完成。


　　BRAS应对ISP创建个性化的门户网站，快速解决重新提供以前受到限制的服务。对于移动宽带用户，BRAS应为他们准备方便的动态业务选择的能力。用户可根据自己的需求进行业务点播，如视频会议、视频点播、网上购物、网络游戏、IP电话等。利用宽带业务接入平台来提供流式视频、个性化互联网、企业级互联网、购物和游戏等服务，可以产生新的收入渠道，还吸引并留住了用户。


　　所以，成熟稳定的、可以提供多业务、多门户的宽带汇聚平台是成功的基础

　　三、宽带接入认证的方式和接入认证的现状



　　目前，宽带接入认证的方式有如下几种：


　　1. 固定端口接入认证


　　对于以太网接入（或ADSL）用户，可以对每个端口分配一个VLAN ID（或ATM PVC），把用户账号与端口绑定。用户上网时不需要输入账号口令，由接入平台把用户VLAN ID发送后台系统，完成接入认证。


　　基于端口的VLAN认证，端口和VLAN绑定，用户上网时BRAS只对VLAN进行认证，在AAA服务器上可以将VLAN和相应的账号绑定，用户上网时根据VLAN对相应的账号计费。此种认证方式，用户无须输入用户名和密码，简化了上网流程，适用于家庭和其他上网场所固定的用户。


　　2. PPPOE接入认证


　　用户以LAN或ADSL方式接入，在登录时输入账号、口令，以PPP方式直接向接入平台发起登录请求，接入平台把登录信息发送给认证平台，完成接入认证。PPPOE认证是非常成熟的认证方式，有非常好的用户管理和流量控制、用户安全等性能，但不能穿透三层网络，在客户端需要安装软件，维护复杂。


　　3. 802.1x认证


　　802.1X是基于端口访问控制的接入管理协议标准。802.1x协议是二层协议，主要用于端口的认证，即通过认证之后才能够使接入端口可用（端口能够接入网络），否则，该端口处于关闭状态。


　　802.1X认证方式，投资较少，但需要安装客户端软件，维护管理复杂,需要相关的设备支持802.1X协议。


　　4. Web接入认证


　　用户认证时由接入服务器强制转到Web Server上，用户在Web Server上输入账号和口令，完成接入认证。Web认证方式，对网络结构影响小，不需要在用户端安装软件，且能支持新业务的开发。而且 Web方式最大的好处在于同时在这种认证方式基础上可以进一步提供门户功能，给用户提供增值业务选择的界面。


　　门户业务是近来新兴的一种业务，用户可以通过访问门户，灵活地进行自助服务。这种接入方式可以方便地给用户提供不同的业务选择，运营商也可通过这种业务获得新的收入增长点。门户是用户上网、使用各种业务的入口，是运营商和ICP信息发布和信息管理平台。


　　有的宽带运营商在早期的酒店计费系统中，使用的是分散计费系统，即酒店用户上网的认证、计费、结算均在酒店内侧完成。这种方式资源的使用效率不高。


　　认证DIA用户大部分都是商业用户，分布在市区各主要办公楼和大厦内，用户通过楼层交换机与大厦中心机房内的核心交换机相连，通过FE/GE光纤上联到汇聚层PoP点。认证DIA用户通过POP点的接入服务器完成接入认证。


　　CPN用户主要是小区和公寓内的普通用户，用户分布在不同的住宅楼内，通过每座楼宇内的交换机进行连接并汇聚在小区中心机房的汇聚交换机，二层网络在交换机/路由器上进行终结。由于IP地址资源问题，有些CPN社区多用私网地址，大多在小区出口或在CPN的POP点进行接入认证。


　　对于无线或移动业务，例如在写字楼和酒店的WLAN业务是通过二层和三层的AC设备，直接连到骨干网的Radius设备。BRAS对酒店或写字楼的WLAN用户进行接入认证和地址分配，将用户的信息送到计费中心进行计费。


　　这种多业务多网络的接入认证方式，不利于有效地利用网络资源、优化网络、统一用户的数据库，不便于为用户提供菜单式服务，不利于为用户在多种业务之间提供优惠组合的记费策略，不能为用户提供一单式计费，以及基于用户的各种业务统计分析。

　　四、关于宽带接入认证平台方案的探讨



　　基于上述网络状况和存在的问题，应该考虑规划建立统一的接入平台和统一的认证平台。


　　1. 统一接入平台


　　宽带接入平台为用户提供访问控制、带宽控制、流量控制以及接入认证等功能。建立统一接入平台，将现有的多个独立服务网络融合为统一的一个网络，在统一平台的BAS设备下，将多个服务平台的网络进行汇聚和连接，同时提供认证和计费服务。在统一平台的BAS设备上可通过VLAN ID、端口或IP地址将不同网络的用户区分开来，分别进行认证和计费。


　　IP城域网分为骨干、汇聚和接入三层，从技术上分析，接入服务器应布放在接入层，但在每个接入点的用户不多的情况下，这种布放会造成资源浪费；如果布放在骨干点，这种结构可能对网络配置复杂，对网络的安全性有一定的影响；布放在汇聚节点，对网络的影响相对较小.今后可以根据用户接入情况，逐步下移或扩容。


　　由于统一接入平台的BAS设备于连接了原有不同的网络，在规划时，需要能够在保证原有网络变动最小的前提下，提供对网络用户的认证和计费功能。


　　2. 集中认证平台


　　Web认证方式是在用户认证时由接入服务器强制转到Web Server上，用户在Web Server上输入账号和口令，完成接入认证。根据上述几种认证计费方式的比较，可以发现：Web认证方式，对网络结构影响小，不需要在用户端安装软件，且能支持新业务的开发。而且Web方式最大的好处在于同时在这种认证方式基础上可以进一步提供门户功能，给用户提供增值业务选择界面。门户是用户上网、使用各种业务的入口，是运营商和ICP信息发布和信息管理平台。尤其是对多业务、多门户的支持，显得尤其重要。


　　3. 采用分散接入集中认证


　　这种方式的优点是：先是网络稳定性、可靠性的增加。网络中即使出现一台BRAS故障或维护升级，只影响小部分片区的用户，整体网络不受影响。同时，BRAS服务器之间可以互为备份，当一台BRAS出现故障时，其他区域的BRAS可以故障发生区的用户服务，从而提高了服务的可靠性。此外，将中小容量的宽带接入服务器部署在网络的各个汇接节点，提高整体服务可靠性的同时，还均衡了网络中的业务流量，为将来宽带业务的不断丰富及扩展提供了一个良好的网络环境基础。


　　4. 建设统一的集中认证计费平台


　　采用这种方式的优点是：


　　一方面，进行网络整合、向FULL-SERVICE的网络迈进。一个平台可以提供宽带DIA认证业务、CPN小区和WLAN业务等接入认证。建设统一的平台，集合计费营账系统，可以集开户、发卡、计费、管理等于一体，有助于体现网络的优势。同时也方便了用户和运营商更有效地管理资金，增加赢利。


　　另一方面，在建设统一的用户接入认证平台的基础上可构建统一的数据业务平台，为ICP提供代收费/代计费业务，促进网上高质量内容的发展，为不同的用户群提供多种多样量身订做的业务，增加用户的上网需求，提高多种盈利增长点，完善城域网系统。


　　5. 接入认证计费系统总体方案


　　接入认证方案采用“分布接入，集中认证”的方式，认证平台集中部署，有利于今后在该平台上开展和推广丰富的业务和实施多种计费策略。BRAS设备放在城域网边缘汇聚层，用来汇聚小区、校园、写字楼的用户。BRAS设备通过GE上连到汇聚层交换机，WWW服务器、DHCP服务器以及Radius服务器设置在城域核心层。这种方式BRAS设备部署在城域汇聚层，对上层网络压力小，网络健壮性得到提高，不存在集中型高端BRAS潜在的数据流量瓶颈。BRAS设备分布在POP点，进入核心网的流量分散化，使网络更加稳定。


　　一般来讲，从BRAS到AAA Server之间的实现方法都是大同小异，通常采用Radius协议，而AAA Server和Billing系统一般采用集中建制，以支持用户漫游和减少建制成本。


　　考虑到用户的数量和运营商级的业务模式，Radius服务器和DHCP服务器建议考虑如下配置：


　　各配置两台，均采用一主一备的双机模式。这样即可完成双机热备的功能，也可以达到负载均衡的效果。Radius服务器、DHCP服务器、数据库服务器都考虑备份，这样将有效的避免由于硬件系统、软件系统不可用而引起的单点故障，保证了网络的健壮性。磁盘阵列用于存储用户数据。


　　酒店业务因其特殊性，酒店侧的宽带接入控制器一是要满足客人上网即插即用的上网需求，减轻客户端运维的压力，二是它还是和酒店PMS（前台资源管理系统）的账务接口，完成宽带费用和房费一张账单的功能。因此，适合在每个酒店放置一台接入设备，但是容量可以酌情考虑。



　　酒店的计费可利用集中计费系统。这种系统的优势在于：一、可充分考虑到酒店行业服务为先的理念，通过宽带接入控制器的即插即用的功能结合交换机普遍支持的802.1q VLAN 技术，使客人上网的过程脱离账号密码方式和网络配置，变得十分简单，只需插好网线、打开浏览器，选择好资费就可轻松上网。二、与酒店的前台资源管理系统(PMS)做接口，使客人的宽带上网费用与房费等合成一张账单，简化酒店前台的工作量，也便于酒店的账务统计和管理。三、采用Radius Proxy技术，支持外地WLAN无线上网卡在本地区的漫游。四、简化酒店侧设备的复杂程度，酒店侧接入控制器性能相当于一台网络设备，出现问题重起后造成损坏的概率小，配置较简单，易于维护，将认证、计费、结算等复杂的维护工作转移到运营商机房侧。


　　酒店本地的WLAN业务，可以通过在酒店集中计费系统中开设账号，完成认证、计费、结算的功能；对于全国漫游的WLAN预付卡，酒店集中计费系统可通过账号过滤，将账号转发到上一级WLAN认证、计费系统，以实现全国漫游的WLAN预付卡在本地酒店内的上网应用。

　　五、主要技术指标和要求

　　在方案中，硬件设备的主要要求为：支持热插拔、系统主备份、电源AC/DC。软件的要求：软件系统可以平滑升级、软件系统已经有商用性能，要支持最少2000的并发用户数、支持端口的线速转发、设备吞吐量300KPPS、每端口支持的VLAN数4096。物理接口方面：要有10/100M自适应接口、GE接口。网络管理方面：支持Web方式、支持CONSOLE方式和带外网管、开放MIB库。在功能方面：认证要有支持标准的Radius协议、支持个性化门户功能。计费方面：要支持断线检测、实时计费功能、完全支持原先的计费系统功能。DHCP要支持DHCP RELAY、支持DHCP SERVER功能、支持1个IP POOL对应多个VLAN功能。在安全方面：具有用户IP、MAC、VLAN ID、PORT ID绑定功能、防止IP地址的攻击、防止各种恶意包攻击、支持ACL等其他安全方式。带宽可以实现双向速率限制。QoS要有服务优先级别、有多个队列数。同时要支持二层和三层接入功能、组播、设备冗余和负载均衡、支持非认证方式的访问。对于IP地址资源紧张的宽带公司，需要设备支持2次地址分配等功能。
----《中国数据通信》