本站小编为你精心准备了基于SDN的宽带接入网用户认证参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《移动通信杂志》2014年第z1期
1OpenFlow概述
软件定义网络(sdn)的核心理念是使网络软件化并提供灵活的开放接口,使得网络能够像软件一样便捷、灵活,从而提高网络的创新能力。如图1所示,软件定义网络(SDN)的逻辑架构由基础设施层、控制层和应用层组成。其中,基础设施层主要为转发设备,实现转发功能;控制层由SDN控制软件组成,可通过标准化协议与下层进行通信,实现对基础设施层的控制;应用层不同的应用逻辑可通过控制层开放的API管理能力控制设备的报文转发功能。如图1所示,软件定义网络(SDN)具有2种不同的网络API接口:北向接口和南向接口。OpenFlow是一种业界普遍认可的标准化南向API,该协议由负责监管OpenFlow协议的标准组织开放式网络基金会(ONF)制定。其中,OpenFlow交换机是整个OpenFlow网络的核心部件,其转发行为由流表进行控制。OpenFlow交换机接收到数据包后,首先在本地的流表上查找转发目标端口,如果匹配则执行流表指定的动作,如果不匹配则将数据包转发给控制器,由控制层决定转发端口。控制器和交换机之间的信息交互采用OpenFlow协议,交换机的流表也由控制器通过OpenFlow协议下发。
目前运营商采用的认证技术主要包括IPoE和PPPoE这2种方式。PPPoE认证过程如图2所示。PPPoE是运营商广泛采用的接入认证技术,利用以太网发送PPP包的传输方法在同一以太网上建立多个PPP连接。其中PPP协议提供了通讯双方身份验证的功能,从而实现用户接入认证和管理。但是,PPP协议是一种点对点的协议,协议中没有提供地址信息,必须使用PPPoE再进行一次封装提供在以太网广播链路上进行点对点通信的能力。IPoE使用DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)协议进行动态地址配置,DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,如DHCP+Web方式、DHCP+客户端方式和利用DHCP+Option扩展字段进行认证,所有这些方式都统称为DHCP+认证。国内运营商的IPTV、WLAN业务普遍采用了IPoE的认证方式。IPoE认证的过程比较简单,以DHCP+Option扩展字段认证为例,主机和DHCP服务器之间只需通过DHCPDiscover、DHCPOffer、DHCPRequest、DHCPACK的交互即可完成认证及地址分配(不包含DHCP与AAA之间的交互过程)。DHCP+Option扩展字段认证过程如图3所示。
3PPPoE和IPoE认证在SDN网络中的实现方案
PPPoE和IPoE这2种认证方式在现网中均有较大规模的应用。从帧结构上讲,由于PPPoE经过PPP和PPPoE两层封装,终端和接入服务器需要更复杂的处理过程,对设备的性能要求也较高。PPPoE需要专门的接入服务器终结PPP报文,还原出IP数据包,而IPoE则省略了这一过程。PPPoE帧结构如图4所示。在SDN技术构建的网络中,所有的转发设备由OF交换机替代,部分业务网元功能也被应用软件虚拟化。BRAS(BroadbandRemoteAccessServer,宽带远程接入服务器)/SR(ServiceRouter,全业务路由器)功能虚拟化后,仍然可以继续采用PPPoE或IPoE来进行认证,这2种方式的网络结构和对设备的功能要求有较大区别。采用PPPoE方式需要在网络中选择1个设备节点解析PPP报文,那么可以采用以下2种方式:(1)在控制器上终结PPPoE。控制器需要解析每个PPP报文,深度参与数据包的转发,不但对控制器性能要求很高,也与SDN的控制与承载分离架构不一致,相当于BRAS网元增加了对下联交换机的控制功能。(2)在某台OF交换机上终结PPPoE。控制器不参与包转发过程,但是目前OpenFlow协议中规定的OF交换机匹配域和行动并不支持对PPPoE帧的匹配及剥离报文头,因此需要对OpenFlow协议进行扩展,匹配域需要增加PPPoE的代码(code)、会话(session)、PPP协议等字段的匹配,并将净负荷还原出来。2种终结PPPoE方式的网络结构如图5所示。采用IPoE方式的网络结构如图6所示。控制器通过packetout消息获取用户的DHCP报文,与DHCP服务器和AAA服务器等配合完成用户的认证、地址分配过程,再通过packetin消息将DHCPOffer和ACK报文发给用户主机。控制器根据用户申请的业务和产品对交换机下发流表,控制转发行为,此后控制器不再参与包转发过程,直至用户下线。用户下线后,控制器拆除对应的流表,并将时长、流量等计费信息发送给控制器。
4总结
根据上述分析,在SDN技术构建的宽带接入网络中,采用PPPoE认证方式需要在某台OF交换机上终结PPPoE,需要对OpenFlow协议进行扩展;或者在控制器上终结PPPoE,需要控制器深度参与数据包的转发过程,对控制器的性能要求高,也不符合控制与承载分离的架构,实现较为困难。而采用IPoE方式,控制器仅参与用户认证阶段的DHCP报文转发,而后根据用户业务属性向交换机下发相应的流表,实现起来较为简单。当然,采用IPoE认证方式还需要采取相应的机制或策略来解决安全性、反地址欺骗、防DoS攻击等问题。
作者:刘汉江毛宇陈文华单位:中国电信股份有限公司广州研究院