基于DHCP+接入认证技术的BTV组播接入过程

　　首先我们了解一下城域网中针对BTV业务的配置情况，自家庭网关传送到DSLAM上的BTV组播业务的PVC，在DSLAM设备上全部映射到组播VLAN 中，在UPE上终结IGMP报文，然后在UPE和NPE以及核心层部署组播路由协议PIM-SSM或者PIM-SM/DM。在UPE设备上配置DHCP Relay功能、DHCP Snooping功能、Option82功能以及相应的报文检查功能，在DSLAM设备上如果功能支持也可以配置DHCP Snooping功能、Option82功能。

　　客户享受组播服务之前，STB通过两次握手，向DHCP PS申请IP地址的过程：

　　1、客户端广播DHCP Discover报文，以发现DHCP PS，UPE依据DHCP Snooping功能捕获此报文，并插入Option82，然后把报文中继到DHCP PS。Option82是DHCP报文中的一个选项字段，它携带了DHCP请求报文入端口信息、QinQ双层标签以及UPE设备名称等信息，此选项内容因 生产厂家而略异。如果DSLAM设备配置上述功能，Option82在DSLAM设备插入，则在UPE上通过配置可以重新插入自己的Option82信 息，也可以直接透传DSLAM设备上的Option82信息。

　　2、DHCP PS收到报文后，通过读取Option82信息分离出其中的设备端口信息、QinQ双层标签等标识用户物理位置的信息，然后将此信息与DHCP PS上的用户数据库相应信息比较。不一致，则DHCP PS不做任何响应;一致，则DHCP PS回送一个DHCP Offer报文。其中含有一个IP地址和携带原有Option82信息，其中的数据库信息是运营商开户时根据用户所在设备端口、QinQ双层标签信息录入 的，供DHCP PS认证用户的数据。

　　3、此报文通过UPE时，被剥离Option82，从相应的Vlan和端口送出，STB收到后，广播DHCP Request报文，以通知其它未选中的DHCP PS和询问被选中的DHCP PS其它的配置选项，如DNS、网关地址等。

　　4、此报文在UPE上同样做Option82插入处理并向DHCP PS中继，DHCP PS收到此报文后，将回送一个DHCP ACK报文，其中包括用户IP、网关、DNS等配置信息以及IP租约信息，并携带Option82信息。思科路由器

　　5、UPE收到此报文，剥离Option82信息后向STB转发此报文，同时根据报文内容和Option82完成建立DHCP+ Snooping绑定表项。STB收到DHCP ACK报文后，广播一个免费ARP报文，确认自己使用的IP地址没有与其它用户冲突后，开始使用此IP地址，与此同时在DHCP PS上根据配置决定是否将该用户的MAC地址和其用户数据库信息绑定，作为用户再次接入的认证条件。

　　至此用户与DHCP PS的报文交互完成，客户终端开始发送IGMP请求报文，申请加入组播组，加入成功后，组播业务流开始接入到BTV客户终端。

　　另外，DHCP+接入认证技术也可以用于运营商的园区网和大客户接入场合，组网模式如图-2所示，其中核心设备可以是三层或者二层交换机，接入过程和原理 与上述相同。用户认证接入之后通过防火墙NAT功能访问Internet和享受其它服务，用于满足小区宽带业务经营者需求、集团用户的个性化需求，也给用 户接入和安全互访带来便利。

　　DHCP PS对接入用户的控制

　　DHCP PS在收到自客户终端的DHCP Discover报文后，将依据报文中Option82描述的UPE设备、所在端口、QinQ双层标签信息与开户时录入的用户物理位置数据库信息对照，根 据结果进行下一动作，用户再次认证上线时，DHCP PS将根据用户MAC和录入的用户物理位置数据库信息唯一标识用户。DHCP PS用这种方法对用户做接入权限认证，防止用户私接盗用问题，增强用户控制。如图-1中红色箭头所示，同一个用户从UPE/DSLAM/LAN设备的不同 Vlan接口接入被拒绝分配IP地址，不同的用户从相同UPE/DSLAM/LAN设备Vlan接口接入也被拒绝分配IP地址。

　　在UPE/LAN上建立DHCP+ Snooping绑定表项内容如表-1所示(各厂家内容略有不同)。其中接口信息正是分析DHCP+ ACK报文中Option82获取的。

　　表-1 DHCP+ Snooping

　　DHCP+接入认证技术应对攻击策略

　　表-2 攻击类型与防攻击策略对应表

　　所谓DHCP Server仿冒攻击，就是DHCP Server仿冒者通过UPE的其它业务端口发送DHCP Responses (offer、ack、nak)报文给DHCP Client，使其获取错误的IP、网关地址等，达到DoS(Deny of Service)的目的。DHCP+接入认证技术通过仅在接到DHCP PS方向的接口上设置DHCP Snooping“信任”模式，对于“不信任”端口上收到的DHCP Responses报文将直接丢弃，以此达到隔离DHCP Server仿冒者的目的。

　　中间人攻击是指中间人向客户端发带有自己MAC和服务器IP的报文，又同时向服务器发带有自己MAC和客户端IP的报文，最终使客户端和服务器分别学到自 己的IP和MAC，使服务器发到客户端的报文都会经过中间人。IP/MAC Spoofing攻击是指攻击者向服务器发送带有合法用户IP和MAC的报文，使服务器误以为已经学到这个合法用户的IP和MAC，但真正的合法用户不能 从服务器获得服务。为隔离中间人攻击与IP/MAC Spoofing攻击，DHCP+接入认证技术使用UPE设备上生成的DHCP Snooping绑定表对接口收到的报文进行检查。如果接口收到ARP或者IP报文，就用报文中的“源IP+源MAC”去匹配DHCP Snooping绑定表，如果绑定表中没有匹配项就丢弃该报文，否则正常转发，通过这样匹配方式，不仅可以防止上述攻击，也防止了设置静态IP的用户和 IP盗用者。

　　对于DHCP饿死攻击(所谓饿死攻击是指攻击者通过不断变换用户物理地址，尝试申请DHCP域中所有的IP地址，以耗尽DHCP Server地址池资源，导致其他正常用户无法获得地址，达到DoS的目的。)，我们可以在DSLAM/LAN端口上设置MAC Limit数量来限制此类攻击。但攻击者倘若改变的不是数据帧头部的源MAC，而是改变DHCP报文中的CHADDR(Client Hardware Address)值来不断申请IP地址。那么“MAC地址限制”方案显然是行不通的。为保证业务的安全性，DHCP+接入认证技术检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配，便转发报文;否则，丢弃报文，有效阻止这类攻击。

　　此外，华为公司在海外区域市场的数例城域网应用中还做到了防止仿冒用户进行IP地址续租攻击，以及灵活利用其它Option实现运营商定制功能和解决网上发现的新问题等。

　　DHCP+接入认证技术的客观局限性

　　DHCP+接入认证技术优势主要体现在其组播支持方面。众所周知，组播复制点越接近用户越能节省带宽，而组播复制点一般部署在二层和三层网络的分界线。这 就意味着DHCP+接入认证技术组播优势要充分体现，城域网络必须是三层路由到边缘的组网模式。倘若将来视频分发以P2P技术为主，其组播优势便无用武之 地。

　　DHCP+接入认证技术尚处于其发展初期阶段，协议相关标准还没有最终制定，厂家之间的实现标准尚不统一，使其进一步发展完善受限。DHCP+接入认证技 术目前仅仅适用于包月制收费方式，很难做到根据流量和时长进行计费，从而对用户的不可控因素较多，Internet业务的Wholesale销售模式也难 以进行，这些都是任何运营商所不愿看到的。而且由于其开放性特点，其接入的安全性尚需接受更多的验证和考验。

　　因而这种接入方式有很大局限性，目前阶段仅适用于小规模部署的部分业务，例如利用傻终端接入的BTV业务，并不能取代PPPoE实现其它业务类型的接入管理。

　　在采用传统DHCP协议时，用户和服务器可能面临各种各样的攻击和仿冒，DHCP+接入认证技术根据不同攻击类型，提供不同应对策略，见表-2。