科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道关于宽带IP城域网认证计费方式的探讨

关于宽带IP城域网认证计费方式的探讨

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文讨论了宽带网应该如何计费及其和认证的关系,目前比较流行的认证方式及优缺点,还阐明了作为ISP的接入认证是不可能取代所有的应用认证的。

作者:zdnet安全频道 来源:论坛整理 2008年11月21日

关键字: IP城域网 宽带

  • 评论
  • 分享微博
  • 分享邮件

  本文讨论了宽带网应该如何计费及其和认证的关系,目前比较流行的认证方式及优缺点,还阐明了作为ISP的接入认证是不可能取代所有的应用认证的。

  我们已进入宽带时代,宽带网的认证和计费至关重要,也是一个颇有争议的问题。宽带网应该如何进行认证计费呢?

  应该说,认证和计费是电信网的两个有关联的环节, 除了采用包月制计费方式、不依赖于认证外,一般来说,其它计费方式都和认证有关,也就是说,只有正确可靠地把用户识别出来,正确无误的计费才能得到保证。这就要求,认证应当具有不可更改性和不可抵赖性。

  1 宽带网和电话网有何不同?

  我们首先看一看宽带网和窄带网有何不同。窄带网包含了窄带拨号网和窄带专线网,宽带网无论使用ADSL或LAN进行接入,本质上都是专线网,也就是说,每个用户都占用局方的一个端口,这端口归该用户使用,该用户不用,其它用户也无法使用。因此专线网中按时长计费是不合理的。

  可以设想一下,如果因为某种原因某些用户安装了宽带却不使用(目前我们拨号用户中的零次用户高达50%~60%),那么我们巨大的宽带网的投资何时能收回呢?

  这一点和电话拨号网有本质的不同。电话拨号网通常按10~15比1(电话用户/拨号服务器端口)的比例配备拨号服务器,某一用户占用了拨号服务器的端口,其它用户就无法使用。同时电话网是基于电路交换的网络,一旦某一用户上了网,即便没有流量(如该用户在写E-mail),他也占用了电话中继和电话交换机的资源,因此电话拨号网按时长计费是合理的。但宽带IP网不是这样,从用户端开始就是基于分组交换,当用户无流量时,他不占用IP交换机的资源,除已永久分配给他的端口之外。

  2 宽带网应该如何计费?

  一般说来,宽带用户费中包括两部分比较合理, 即端口月租费和实际的流量费。实际的流量在某种程度上反映了对网络资源的占用。 但遗憾的是,在目前的技术条件下,很难在IP公网上把某一个用户真正使用的实际流量精确地计算出来。

  这是由于以下原因:用户接入端口的流量包含网络上的广播流量;由于TCP/IP的特性所致,当网络上出现拥塞、丢包等,TCP/IP就会自动地把文件重发,这样用户就会感到,他们传送的文件大小并没有发生变化,但实测出来的流量会大于他们的文件的大小,并且会随着网络情况的不同而不同。实际上我们经常碰到用户这样的投诉:我们每月传送的数据没有大的变化,但为什么资费会不一样呢?

  为了减少不必要的资费纠纷,浙江省大部分用专线接入163网的用户已改为包月制。

  由于上述原因,在目前的技术条件下,不宜采用流量计费的方法。

  3 宽带网需要认证什么?

  由于电话网中只要用户一拨号,交换机就记录下用户的电话号码,通过电话号码就能确定用户在何处上的网。RADIUS认证用户的password,软件把用户名、口令和电话号码及上网时长记录下来,即可作为收费的法律依据。这是因为电话号码一经确定,用户不能更改,也无法抵赖,也就具有了法律效力。一旦发生话费纠纷,这一法律依据是极为重要的。

  在宽带网中,特别是LAN这种接入方式中,没有了电话号码这种用户不能更改、也无法抵赖的依据。因此如果要在宽带网上做认证的话,那么一定要对某种用户不能更改,也无法抵赖的特征做认证。如果仅仅对用户名和口令做认证,是不够的。

  根据以往用户和电信局发生的资费纠纷来看,大致有几种情况:有户使用了,但自己感觉没用那么多;别人盗用;电信局的计费系统有缺陷。无论何种情况,都需要我们有确实的证据,证明用户何时在何处上的网。但是,目前流行的PPPoE方法,大多数厂家的软件产品都仅对用户名和口令进行认证,而无法确定用户在何处上的网。

  目前有的厂商利用DHCP+SERVER,对用户的VLAN ID及IP地址、MAC地址等进行绑定,从而能确定用户在何处上的网。

  DHCP+ 的认证过程如下:DHCP 用户通过广播找到DHCP服务器,从回应的多个DHCP服务器中选一个提出申请,该服务器接受之后,通过认证用户的有关信息,确认是合法用户之后,就把相关参数,如IP地址、DNS服务器、子网掩码、网关的地址等传送给用户。用户得到这些参数之后,就能直接进入Internet网进行通信,而所有的通信流无需经过DHCP服务器。

  在这种方式下,用户的流量可以分散到许多条路径,互相进行交换或流向Internet网,不存在瓶颈。而PPPoE的方式下,用户的流量必须经过宽带接入服务器,数千甚至数万用户的流量全通过一个设备(即宽带接入服务器)进行交换,或通向Internet网。当流量很大时宽带接入服务器很容易成为瓶颈,因为宽带接入服务器除了要完成普通路由器和交换机的功能外,还要做很多的工作,如对每个用户(不是每个端口,一个端上有很多的用户)流量进行监控,有些工作还必须由软件完成,如对用户的认证。

  4 两种认证技术的主要区别

  PPPoE接入设备要同Host(主机)在同一个二层内,以便Host通过广播发现PPPoE接入设备。通过中继代理,DHCP可以跨三层。

  PPPoE接入设备是通信必经的Next Hop,即使是在PPPoE拨号认证成功后。DHCP+ Server只是在获得IP配置信息阶段起作用,以后的通信完全不经过它。这是很根本的一个区别,下面的许多差异都是由此产生的。

  PPPoE接入设备如果性能不好,负担又沉重,则很可能成为接入的瓶颈。DHCP+ Server由于只用于配置信息获取阶段,所以基本上不会成为瓶颈。

  在计费上,PPPoE既可以计时,也可以计流量。DHCP+只能计时(如需计流量则必须在用户接入处配备能计流量的交换机)。

  PPPoE可以对用户通信进行速率限制(Rate-Limit),且很多设备可做到上、下行不对称。DHCP+不能提供此功能。

  有些PPPoE设备不支持VLAN,这会对某些应用构成一定的限制。DHCP+不存在这个问题。

  PPPoE可方便地提供动态业务选择特性(严格地说,这和PPPoE本身并没有什么关系,但多和PPPoE同时应用)。

  PPPoE设备可针对特定用户设置ACL(访问列表)过滤或防火墙功能。DHCP+不能做到。PPPoE可以防止地址冲突和地址盗用。DHCP+不能解决这个问题。

  在运行Multicast(多播)应用时,由于PPPoE的点对点特性,即使几个Host同属于一个多播组,也要为每个Host单独复制一份数据流。DHCP+不存在此问题。

  值得一提的是,目前技术发展很快,如基于DHCP的Web认证方式免去了在用户终端上安装软件,从而大大减少了安装和维护的工作量。

  5 接入认证能代替应用认证吗?

  宽带网上今后肯定会有很多的应用, 中国电信作为一个ISP, 在用户接入Internet时,所做的认证能取代Internet网上的各个应用的认证吗? 答案显然是否定的,这是因为:

  (1) 作为一个应用,当它期望通过收费获得收益,必然要面向广大的群众,当它连结在Internet网上时,用户可以各种方式,通过各个不同的ISP进入Internet,因此各种应用势必需要在它自己的网页入口处进行认证才行,仅仅依靠中国电信的某省(中国电信的Internet认证以省为单位)的接入处所做的认证显然是不够的,就像一个公园有很多的入口,仅对某一个入口的游客进行认证和计费,显然是不合理的。

  (2) 各种应用本身有各种不同的需求,作为一个ISP的接入认证是很难满足这些千差万别的要求的,例如,我们和某高校讨论建立高教网站时,他们提出,他们的网络远程教育包括学位教育、非学位教育、普通培训等,各种教育中分不同的专业、不同的课程其收费标准均不相同,这么复杂的应用, 作为一个ISP的接入认证根本就无法满足他们的要求。

  6 小结

  宽带IP城域网的建设正在我国兴起,如何进行计费和认证是大家所关注的焦点。由于宽带IP城域网的建设刚刚起步,计费和认证的协议,硬件和软件都不太成熟。 在我们建设的初期,采用包月制或许是比较合适的方法。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章