劉漢江+毛宇+陳文華

【摘 ? ?要】通過介紹SDN的層次結構和OpenFlow的工作原理，分析了現(xiàn)有寬帶接入業(yè)務的2種典型認證方式，討論了它們在SDN技術構建的寬帶接入網(wǎng)中的實現(xiàn)方式、網(wǎng)絡結構和優(yōu)缺點，證明了IPoE認證方式更適合應用于未來的SDN寬帶接入網(wǎng)絡。

【關鍵詞】寬帶接入網(wǎng) ? ?SDN ? ?OpenFlow ? ?認證

中圖分類號：TN929.5 ? ?文獻標識碼：A ? ?文章編號：1006-1010（2014）-22-0056-04

Research on User Authentication Methods for Broadband Access Network

Based on SDN

LIU Han-jiang， MAO Yu， CHEN Wen-hua

（Guangzhou Research Institute of China Telecom Co.， Ltd.， Guangzhou 510630， China）

[Abstract]The hierarchical structure of SDN and working principle of OpenFlow are introduced. The existing two typical authentication methods of broadband access network are analyzed， in the meantime， their implementations， network structures， advantages and disadvantages of the two authentication methods in broadband access network constructed by SDN technology are discussed. It is proved that IPoE authentication mode is more suitable for SDN broadband access network in the future.

[Key words]broadband access network ? ?Software Defined Network （SDN） ? ?OpenFlow ? ?authentication

1 ? 前言

隨著三網(wǎng)融合應用的不斷推進，用戶消費行為和行業(yè)發(fā)展發(fā)生了深刻地變化，網(wǎng)絡流量正以爆發(fā)式的方式增長，這就給寬帶接入網(wǎng)提出了新的需求，全業(yè)務、高帶寬、易運行維護、安全穩(wěn)定可控成為了未來寬帶接入網(wǎng)的發(fā)展趨勢。為了實現(xiàn)用戶對于“高帶寬”的需求，電信運營商正在不斷加大光纖接入網(wǎng)的建設力度，目前我國很多小區(qū)已經(jīng)實現(xiàn)了100M帶寬的光纖接入。以PON（Passive Optical Network，無源光網(wǎng)絡）為主的FTTB（Fiber to The Building，光纖到樓）、FTTC（Fiber to The Curb，光纖到路邊）、FTTH（Fiber to The Home，光纖到戶）技術有效地解決了網(wǎng)絡容量的問題。

為了實現(xiàn)寬帶接入業(yè)務的運營，運營商在網(wǎng)絡中引入了諸如認證、鑒權、計費、帶寬限速、用戶隔離、業(yè)務標識、QoS（Quality of Service，服務質(zhì)量）、DPI（Deep Packet Inspection，深度報文檢測）等功能，從而使得寬帶接入業(yè)務可管可控，形成了不同帶寬產(chǎn)品之間的區(qū)隔，保證了用戶的安全[1]。但是，日益增長的互聯(lián)網(wǎng)流量和復雜多樣的承載業(yè)務給寬帶接入網(wǎng)的運維管理帶來了巨大的挑戰(zhàn)[2]。而SDN（Software Defined Network，軟件定義網(wǎng)絡）技術作為一種新興的網(wǎng)絡技術，為運營商降低網(wǎng)絡運維管理的復雜程度，實現(xiàn)網(wǎng)絡與業(yè)務的強關聯(lián)、業(yè)務的快速部署提供了技術手段。

在網(wǎng)絡的諸多功能中，用戶認證方式作為可運營、可管理的核心，一直受到包括運營商、制造商的密切關注。因此，在基于SDN構建的寬帶接入網(wǎng)絡中，用戶認證仍然是運營商需要關注的核心問題。

2 ? OpenFlow概述

軟件定義網(wǎng)絡（SDN）的核心理念是使網(wǎng)絡軟件化并提供靈活的開放接口，使得網(wǎng)絡能夠像軟件一樣便捷、靈活，從而提高網(wǎng)絡的創(chuàng)新能力[3]。如圖1所示，軟件定義網(wǎng)絡（SDN）的邏輯架構由基礎設施層、控制層和應用層組成。其中，基礎設施層主要為轉發(fā)設備，實現(xiàn)轉發(fā)功能;控制層由SDN控制軟件組成，可通過標準化協(xié)議與下層進行通信，實現(xiàn)對基礎設施層的控制;應用層不同的應用邏輯可通過控制層開放的API管理能力控制設備的報文轉發(fā)功能[4-5]。

如圖1所示，軟件定義網(wǎng)絡（SDN）具有2種不同的網(wǎng)絡API接口：北向接口和南向接口。OpenFlow是一種業(yè)界普遍認可的標準化南向API，該協(xié)議由負責監(jiān)管OpenFlow協(xié)議的標準組織開放式網(wǎng)絡基金會（ONF）制定發(fā)布。其中，OpenFlow交換機是整個OpenFlow網(wǎng)絡的核心部件，其轉發(fā)行為由流表進行控制。OpenFlow交換機接收到數(shù)據(jù)包后，首先在本地的流表上查找轉發(fā)目標端口，如果匹配則執(zhí)行流表指定的動作，如果不匹配則將數(shù)據(jù)包轉發(fā)給控制器，由控制層決定轉發(fā)端口。控制器和交換機之間的信息交互采用OpenFlow協(xié)議，交換機的流表也由控制器通過OpenFlow協(xié)議下發(fā)。

3 ? 現(xiàn)有寬帶接入網(wǎng)的認證方式分析

目前運營商采用的認證技術主要包括IPoE和PPPoE這2種方式。endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網(wǎng)發(fā)送PPP包的傳輸方法在同一以太網(wǎng)上建立多個PPP連接。其中PPP協(xié)議提供了通訊雙方身份驗證的功能，從而實現(xiàn)用戶接入認證和管理。但是，PPP協(xié)議是一種點對點的協(xié)議，協(xié)議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網(wǎng)廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）協(xié)議進行動態(tài)地址配置，DHCP協(xié)議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現(xiàn)認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統(tǒng)稱為DHCP+認證。國內(nèi)運營商的IPTV、WLAN業(yè)務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網(wǎng)絡中的

實現(xiàn)方案

PPPoE和IPoE這2種認證方式在現(xiàn)網(wǎng)中均有較大規(guī)模的應用。從幀結構上講，由于PPPoE經(jīng)過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數(shù)據(jù)包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網(wǎng)類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協(xié)議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網(wǎng)絡中，所有的轉發(fā)設備由OF交換機替代，部分業(yè)務網(wǎng)元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業(yè)務路由器）功能虛擬化后，仍然可以繼續(xù)采用PPPoE或IPoE來進行認證，這2種方式的網(wǎng)絡結構和對設備的功能要求有較大區(qū)別。

采用PPPoE方式需要在網(wǎng)絡中選擇1個設備節(jié)點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE。控制器需要解析每個PPP報文，深度參與數(shù)據(jù)包的轉發(fā)，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網(wǎng)元增加了對下聯(lián)交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發(fā)過程，但是目前OpenFlow協(xié)議中規(guī)定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協(xié)議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協(xié)議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網(wǎng)絡結構如圖5所示。采用IPoE方式的網(wǎng)絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發(fā)給用戶主機?？刂破鞲鶕?jù)用戶申請的業(yè)務和產(chǎn)品對交換機下發(fā)流表，控制轉發(fā)行為，此后控制器不再參與包轉發(fā)過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發(fā)送給控制器。

5 ? 總結

根據(jù)上述分析，在SDN技術構建的寬帶接入網(wǎng)絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協(xié)議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數(shù)據(jù)包的轉發(fā)過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現(xiàn)較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發(fā)，而后根據(jù)用戶業(yè)務屬性向交換機下發(fā)相應的流表，實現(xiàn)起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網(wǎng)絡革命拂曉：SDN進入智能寬帶接入網(wǎng)[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網(wǎng)發(fā)送PPP包的傳輸方法在同一以太網(wǎng)上建立多個PPP連接。其中PPP協(xié)議提供了通訊雙方身份驗證的功能，從而實現(xiàn)用戶接入認證和管理。但是，PPP協(xié)議是一種點對點的協(xié)議，協(xié)議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網(wǎng)廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）協(xié)議進行動態(tài)地址配置，DHCP協(xié)議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現(xiàn)認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統(tǒng)稱為DHCP+認證。國內(nèi)運營商的IPTV、WLAN業(yè)務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網(wǎng)絡中的

實現(xiàn)方案

PPPoE和IPoE這2種認證方式在現(xiàn)網(wǎng)中均有較大規(guī)模的應用。從幀結構上講，由于PPPoE經(jīng)過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數(shù)據(jù)包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網(wǎng)類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協(xié)議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網(wǎng)絡中，所有的轉發(fā)設備由OF交換機替代，部分業(yè)務網(wǎng)元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業(yè)務路由器）功能虛擬化后，仍然可以繼續(xù)采用PPPoE或IPoE來進行認證，這2種方式的網(wǎng)絡結構和對設備的功能要求有較大區(qū)別。

采用PPPoE方式需要在網(wǎng)絡中選擇1個設備節(jié)點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE?？刂破餍枰馕雒總€PPP報文，深度參與數(shù)據(jù)包的轉發(fā)，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網(wǎng)元增加了對下聯(lián)交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE?？刂破鞑粎⑴c包轉發(fā)過程，但是目前OpenFlow協(xié)議中規(guī)定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協(xié)議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協(xié)議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網(wǎng)絡結構如圖5所示。采用IPoE方式的網(wǎng)絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發(fā)給用戶主機?？刂破鞲鶕?jù)用戶申請的業(yè)務和產(chǎn)品對交換機下發(fā)流表，控制轉發(fā)行為，此后控制器不再參與包轉發(fā)過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發(fā)送給控制器。

5 ? 總結

根據(jù)上述分析，在SDN技術構建的寬帶接入網(wǎng)絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協(xié)議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數(shù)據(jù)包的轉發(fā)過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現(xiàn)較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發(fā)，而后根據(jù)用戶業(yè)務屬性向交換機下發(fā)相應的流表，實現(xiàn)起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網(wǎng)絡革命拂曉：SDN進入智能寬帶接入網(wǎng)[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint

PPPoE認證過程如圖2所示。PPPoE是運營商廣泛采用的接入認證技術，利用以太網(wǎng)發(fā)送PPP包的傳輸方法在同一以太網(wǎng)上建立多個PPP連接。其中PPP協(xié)議提供了通訊雙方身份驗證的功能，從而實現(xiàn)用戶接入認證和管理。但是，PPP協(xié)議是一種點對點的協(xié)議，協(xié)議中沒有提供地址信息，必須使用PPPoE再進行一次封裝提供在以太網(wǎng)廣播鏈路上進行點對點通信的能力。

IPoE使用DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）協(xié)議進行動態(tài)地址配置，DHCP協(xié)議本身并沒有用來認證的功能，但是DHCP可以配合其他技術實現(xiàn)認證，如DHCP+Web方式、DHCP+客戶端方式和利用DHCP+Option擴展字段進行認證，所有這些方式都統(tǒng)稱為DHCP+認證。國內(nèi)運營商的IPTV、WLAN業(yè)務普遍采用了IPoE的認證方式。

IPoE認證的過程比較簡單，以DHCP+Option擴展字段認證為例，主機和DHCP服務器之間只需通過DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK的交互即可完成認證及地址分配（不包含DHCP與AAA之間的交互過程）。DHCP+Option擴展字段認證過程如圖3所示：

圖3 ? ?DHCP+Option擴展字段認證過程

4 ? PPPoE和IPoE認證在SDN網(wǎng)絡中的

實現(xiàn)方案

PPPoE和IPoE這2種認證方式在現(xiàn)網(wǎng)中均有較大規(guī)模的應用。從幀結構上講，由于PPPoE經(jīng)過PPP和PPPoE兩層封裝，終端和接入服務器需要更復雜的處理過程，對設備的性能要求也較高。PPPoE需要專門的接入服務器終結PPP報文，還原出IP數(shù)據(jù)包，而IPoE則省略了這一過程。PPPoE幀結構如圖4所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

接入集中MAC地址（Access_Concentrator_mac_addr）

接入集中MAC地址（c） 主機MAC地址（Host_mac_addr）

主機MAC地址（cont）

以太網(wǎng)類型ETHER_TYPE=0x8864 v=1 t=1 代碼CODE=0x00

會話ID（SESSION_ID）=0x1234 長度LENGTH=0x？？？？

PPP協(xié)議=0xc021 PPP凈荷

圖4 ? ?PPPoE幀結構

在SDN技術構建的網(wǎng)絡中，所有的轉發(fā)設備由OF交換機替代，部分業(yè)務網(wǎng)元功能也被應用軟件虛擬化。BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）/SR（Service Router，全業(yè)務路由器）功能虛擬化后，仍然可以繼續(xù)采用PPPoE或IPoE來進行認證，這2種方式的網(wǎng)絡結構和對設備的功能要求有較大區(qū)別。

采用PPPoE方式需要在網(wǎng)絡中選擇1個設備節(jié)點解析PPP報文，那么可以采用以下2種方式：

（1）在控制器上終結PPPoE?？刂破餍枰馕雒總€PPP報文，深度參與數(shù)據(jù)包的轉發(fā)，不但對控制器性能要求很高，也與SDN的控制與承載分離架構不一致，相當于BRAS網(wǎng)元增加了對下聯(lián)交換機的控制功能。

（2）在某臺OF交換機上終結PPPoE。控制器不參與包轉發(fā)過程，但是目前OpenFlow協(xié)議中規(guī)定的OF交換機匹配域和行動并不支持對PPPoE幀的匹配及剝離報文頭，因此需要對OpenFlow協(xié)議進行擴展，匹配域需要增加PPPoE的代碼（code）、會話（session）、PPP協(xié)議等字段的匹配，并將凈負荷還原出來。

2種終結PPPoE方式的網(wǎng)絡結構如圖5所示。采用IPoE方式的網(wǎng)絡結構如圖6所示。

控制器通過packet out消息獲取用戶的DHCP報文，與DHCP服務器和AAA服務器等配合完成用戶的認證、地址分配過程，再通過packet in消息將DHCP Offer和ACK報文發(fā)給用戶主機。控制器根據(jù)用戶申請的業(yè)務和產(chǎn)品對交換機下發(fā)流表，控制轉發(fā)行為，此后控制器不再參與包轉發(fā)過程，直至用戶下線。用戶下線后，控制器拆除對應的流表，并將時長、流量等計費信息發(fā)送給控制器。

5 ? 總結

根據(jù)上述分析，在SDN技術構建的寬帶接入網(wǎng)絡中，采用PPPoE認證方式需要在某臺OF交換機上終結PPPoE，需要對OpenFlow協(xié)議進行擴展;或者在控制器上終結PPPoE，需要控制器深度參與數(shù)據(jù)包的轉發(fā)過程，對控制器的性能要求高，也不符合控制與承載分離的架構，實現(xiàn)較為困難。而采用IPoE方式，控制器僅參與用戶認證階段的DHCP報文轉發(fā)，而后根據(jù)用戶業(yè)務屬性向交換機下發(fā)相應的流表，實現(xiàn)起來較為簡單。當然，采用IPoE認證方式還需要采取相應的機制或策略來解決安全性、反地址欺騙、防DoS攻擊等問題。

參考文獻：

[1] 吳家林，趙永利，張杰，等. 網(wǎng)絡革命拂曉：SDN進入智能寬帶接入網(wǎng)[J]. 通信世界， 2013（7）： 49-50.

[2] 王茜，趙慧玲，解云鵬. SDN標準化和應用場景探討[J]. 中興通訊技術， 2013，19（5）： 2-6.

[3] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報， 2013，24（5）： 1078-1097.

[4] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[5] ONF. OpenFlow Switch Specification Version 1.3.1[S]. 2012.endprint