"该文档是关于中国电信的IPoE(Internet Protocol over Ethernet)接入认证规范,专注于Session级的详细说明,旨在确保用户接入的安全性和服务质量。这份2010年发布的征求意见稿涵盖了IPoE的定义、业务流程、安全防护、地址分配策略、用户业务识别与控制、业务可靠性和设备技术要求等方面。此外,还提供了部署改造和演进的建议,涉及到终端设备、多业务引擎(MSE)、DHCPServer以及后台系统的配置和升级。"
在IPoE规范中,Session级关注的是用户会话的建立、维护和终止。以下是对这一规范的关键点的深入解释:
1. **业务流程**:
- **用户接入流程**:描述了从用户连接到网络到成功获取IP地址和服务授权的步骤。
- **用户下线流程**:规定了用户断开连接时的处理方式,确保资源的有效回收。
- **用户续租流程**:当用户的会话即将到期时,如何自动或手动延长会话时间。
- **用户异常掉线处理**:规定了如何应对和处理用户非正常断线的情况。
2. **认证属性规范**:
- **MAC地址**:作为用户设备的唯一标识,在认证过程中起关键作用。
- **Option60** 和 **Option82**:是DHCP选项,用于增强网络管理和安全,例如,Option60用于识别特定的客户端类型,Option82则记录用户接入信息。
3. **IPoE安全防护**:
- **仿冒DHCPServer攻击**:防止非法服务器欺骗用户,确保用户获取正确的网络配置信息。
- **家庭网关开启DHCPServer**:管理家庭网络中的地址分配,防止冲突。
- **用户DHCP泛洪攻击**和 **用户数据转发层面泛洪攻击**:防范恶意用户通过发送大量请求或数据包来瘫痪网络。
4. **地址分配策略**:定义了如何有效地分配和管理IP地址,以避免地址冲突和资源浪费。
5. **用户业务识别与控制**:允许识别不同类型的业务流量,实现精细化的访问控制和带宽管理。
6. **业务可靠性**:确保服务的连续性和稳定性,如通过备份和冗余机制来降低单点故障的风险。
7. **设备技术要求**:
- **终端设备**:必须支持必要的协议和选项,以进行有效认证和通信。
- **DHCPServer**:需要提供Option支持、地址分配、管理功能,并确保高可用性和性能。
- **MSE**:负责IP地址管理、认证计费、Session管理以及业务分流。
- **后台系统**:包括AAA认证系统和BOSS系统,需要满足安全、高效和扩展性的需求。
- **宽带接入网**:需要适应IPoE的需求,提供稳定且安全的网络接入环境。
8. **部署改造及演进建议**:提供了对终端、MSE、DHCPServer和后台系统等各组成部分的升级和优化方案,以适应不断变化的网络环境和技术发展。
这份规范对理解并实施IPoE接入服务的运营和维护具有重要的指导意义,对于网络管理员和电信行业的专业人士来说,是不可或缺的参考文档。