宽带IP城域网及其应用[2]

RADIUS（RemoteAuthenticationDialInUserService）协议被设计用于AAA?1996年5月，RADIUS协议开始被IETF认可为AAA方面的工业标准。

（1）RADIUS协议的客户析；服务器结构。RADIUS协议采用客户相；服务器（Client/Server）结构。客户端通常运行于接入服务器（AccessServer）上，它的职责是将用户的信息发送到指定的RADIUS服务器，是连接用户和RADIUS服务器之间的桥梁。

RADIUS服务器通常运行于工作站或服务器上，其职责是接收客户端发来的用户认证请求信息，完成对用户的认证，同时将提供服务所需要的配置信息返回给客户端，并对用户开始进行计费。RADIUS服务器数据库中的相关安全信息采用了集中存放的方式，避免安全信息凌乱散布带来的不安全性，同时更可靠且易于管理。

（2）RADIUS协议工作流程。RADIUS客户端会为每个拨号用户建立一个会晤（Session）过程，并把第一次服务的开始作为会皤起点，将服务的结束作为会晤终点。

RADIUS协议工作流程如图4-12所示，其中，A8010表示接入服务器即RADIUS客户端，TA表示lSDN终端适配器。

RADIUS协议工作流程如下。

①用户使用ADSL拨号上网，接入A8010.

②A8010从用户那里获取用户名和口令，将其与用户的一些其他信息（如接入号码）打包向RADIUS服务器发送，该报文称为认证请求（Access~Request）报文。

③RADIUS服务器收到认证请求报文后，首先通过共享密钥判断A8010是否已经在本服务器登记注册，如果已经注册，则根据报文中用户名、口令等信息认证用户是否合法。如果用户非法，则向A8010发送访问拒绝（Access-Reject）报文；如果用户合法，那么RADIUS服务器会将用户的配置信息（如IP地址）打包发送到A8010,该报文称为访问接受（Access-Accept）报文。

④A8010收到访问接受/拒绝报文后，先判断报文中的数字签名是否正确，如果不正确就认为收到了一个非法报文，则丢弃该报文；如果数字签名正确，那么A8010会接受用户的上网请求，并用收到的信息对用户进行配置（收到了访问接受报文）；或者是拒绝该用户的上网请求（收到了访问拒绝报文）RADIUS认证/授权过程结束。

⑤在用户通过认证之后，A8010向RADIUS服务器发送一个计费开始请求报文，RADIUS计费过程开始。

⑥RADIUS服务器收到后根据用户类别进行响应。

⑦在用户断网之后，A8010向RADIUS服务器发送一个计费停止请求报文（信息包括接收发送字节数、会晤时间及挂断原因等）。

⑧RADIUS服务器收到后同样要给予响应。

（3）其他。RADIUS协议使用UDP作为传送协议，同时使用了两个UDP端口号分别用于认证和计费。在RADIUS的协议文本RFC2138和RFC2139中，规定1812作为认证端口号，1813为计费端口号。

在RADIUS服务器上，通常要维护3个数据库：一个用于存储用户信息（包括用户名、口令以及使用的协议、IP地址等配置），_个用于存储接入服务器的信息（包括所认可的接入服务器以及它们之间的共享密钥），另一个数据库存储的信息用于解释RADIUS报文的属性三元组。

RADIUS报文的数据部分由一个个的属性三元组组成，属性三元组由属性编号、整个属性的长度和属性值构成。图4-13所示的是一个用户名（User-Name）属性三元组的示例。

IP城域网的关键技术涉及的因素很多，如网络技术、接入技术等，下面主要介绍用户认证与接入、用户管理、接入带宽控制、IP地址分配与网络地址转换、用户信息安全、网络管理等城域网的关键技术。

（1）用户认证与接入。运营商建设网络的根本目的在于能够通过网络运营为用户提供服务而获取利润。因此，必须对使用网络的用户按照一定的原则进行计费。而最简单的计费方式莫过于采用包月制方式，但由于用户的需求不一，如髙速上网可能需要IMbit/s带宽，看MPEG-1节目可能需要2Mbit/s带宽，看MPEG-2节目可能需要6Mbit/s带宽，随着竞争的加剧，这种包月制计费方式将难以适应市场需求，因此网络必须能够支持按照用户使用网络资源时情况进行计费。要做到这一点，就必须首先能够对使用网络的用户进行身份认证，以防止非法用户的盗用。

窄带接入方式是利用PPP技术通过AAA服务器实现用户的身份认证并分配IP地址，使得用户能够通过接入服务器接入网络，进行信息交互。在宽带接入方式下，通过以太网交换机或路由器实现的网络，并不提供相应的功能对用户进行身份认证。因此，要做到这一点，必须引入有关技术与相应的设备，如客户管理系统。目前与此有关的技术可以归为两类，不需要严格认证的方法和需要严格认证的方法。

①不需要严格认证的方法。不需要严格认证的方法是将用户静态配置的IP地址或者采用DHCP自动获取的IP地址与用户终端设备的MAC地址和基于端口的VLANID捆绑在一起，用户一开机就自动接入到网络中，不需要对用户的身份进行认证，上述IP地址、MAC地址与LANID的捆绑能够有效地保证合法的终端才能接入网络中，以确保用户信息的安全性。但这种方法存在着一个严重的缺陷，只是保证合法终端接入网络，而不是保证合法用户接入网络，不管是集团用户还是家庭用户，对此都几乎难以容忍，这直接导致了DHCP+的出现。而且，这种方式目前还不能做到按用户进行计费。因此，这种方式只能在网络建设初期包月制情况下使用。

②需要严格认证的方法。需要严格认证的方法能够保证每一个网络使用者都是合法的用户，一个终端可以有多个不同的用户，如果与客户管理系统一起使用，不同用户还可以拥有访问网络资源的不同权限。目前，需要严格认证的方法分为两种，PPPoE/A技术和DHCP+技术。

?PPPoE/A技术。PPPoE/A技术既能够实现一个客户端与多个远程主机连接的功能，又能够提供类似于PPP的访问控制和计费功能。使用PPPoE/A技术，类似于使用点对点协议的拨号服务方式，每个主机使用自己的点对点协议栈，用户使用他们所熟悉的拨号网络用户接口进行拨号。通PPPoE/A技术，每个用户可以有他自己的接入管理、计费和业务类型。

PPPoE/A技术有IETF的远程过程调用（RPC），技术与设备比较成熟，可以防止地址冲突与地址盗用，既可以按时长计费也可以按流ft计费，能够对特定用户设置访问列表过滤或防火墙功能，能够对特定用户访问网络的速率进行控制，能够利用现有的用户认证、管理和计费系统实现宽窄带用户的统一管理认证和计费，能够方便地提供动态业务选择特性，而这些都是DHCP+所不具备的。因此，目前建议使用这种方法建设宽带IP城域网。

DHCP+、DHCP+是为了适应网络发展的霜要而对传统的DHCP协议进行了改进，主要增加了认证功能，即DHCP服务器在将配置参数发给客户端之前必须将客户端提供的用户名和密码送到RADlUS服务器进行认证，通过后才将配置信息发给客户端。与PPPoE/A技术一样，DHCP+也需要在客户端上安装客户端软件，但不同的是，DHCP+客户端与服务器可以通过在每个子网内增加中继代理而跨越三层，不一定要在同一个二层内。而且，服务器只是在获得1P配置信息阶段起作用，以后的通信完全不经过它，而PPPoE/A技术由于服务器与客户端之间存在PPP连接，因此服务器是所有通信的必经之路。

DHCP+的主要优点是使用DHCP+服务器只在用户接入网络前为用户提供配置与管理信息，一般不会成为瓶颈，并能够很容易地实现组播的应用。但是，DHCP+还没有正式的标准，产品和应用很少；不能防止地址冲突和地址盗用；不能按流最进行计费：不能对用户的数据流微进行控制：应用DHCP+需要改变现有的后台管理系统。

（2）用户管理。宽带IP城域网的用户主要有两类：集团用户和家庭用户。集团用户一般采用包月制方式，不需要认证：而家庭用户一般希望网络能够根据其实际需要提供业务和计费。因此，用户管理主要是对需要进行严格认证的用户的管理。

[1]  [2]  [3]