IPTV接入网络技术

       接入网指从用户机顶盒、终端到业务接入控制点（BRAS/路由器）间的相关网络及设备，主要实现IPTV业务的接入。STB终端接入到宽带城域网上，必须首先进行身份认证，并分配一个合法的地址后，才能给STB提供点播方式的VoD业务和组播方式的视音频广播业务。

       目前宽带城域网的接入技术主要有:xDSL技术（如ADSL,VDSL,SHDSL）,以太网接入技术（LAN接入）、PON技术（如BPON、EPON、GPON）、HFC、固定无线接入技术（如26GHz的LMDS技术、3.5GHz的MMDS技术、5.8GHz点到多点无线接入技术）以及专线接入等，并且有多种认证方式，如PPPoE、DHCP、Web、802.lx认证等。

        ADSL在一对电话铜线上同时传送3路信号，各信号釆用频分复用方式占用不同频带。上行信号频段为26-138kHz；下行信号频段为138〜1104kHz；电话音频为300-3400Hz。ADSL的3个技术标准分别为全速率的ITU-TG.992.1（G.DMT）、ANSIT1.413以及半速率的ITU-TG.992.2（G.LITE）o全速率模式下的典型传输速率是下行8Mbit/s上行800kbit/s,传输距离在2.5km左右。2005年1月ITU-T推出ADSL2技术标准G.992.3。ADSL2在ADSL基础上增加了许多新的特性，包括：定义新特性以增强抗线路噪声；定义双端线路测试功能，保证线路两端的设备取得高精度的线路测试数据;定义PIM传输模式，从而可以实现完全意义的IPDSLAM；定义全数字环路模式，可以使用低频语音业务频段提供数据服务。增强的OAM功能，支持ATM反向多路复用，为用户提供多电话线捆绑业务。按照不同的交织延迟大小，划分了4种传输路径，分别提供语音和数据服务；允许单比特调制，增加了传输距离以及物理帧开销由32kbit/s降低为4kbit/s。2005年1月ITU-T推出ADSL2+技术标准G.992.50ADSL2+在ADSL2基础上增加的特性包括：增加上行带宽，最高可达3Mbit/s；减少局端与远程DSLAM之间的线路串扰；频谱范围扩展至2.208MHz,下行速率最高可达25Mbit/s。VDSL（甚高速数字用户环路）技术标准为G.993.loVDSL提供短距离高速非对称速率业务和中等距离的对称或接近对称速率业务，在几百米范围内，下行最高速率可达52Mbit/s,±行最高速率可达26Mbit/s；在1km范围可以支持10Mbit/s上、下行对称速率；数据业务使用138kHz〜12MHz频段。各种xDSL技术的典型传输距离及速率如图7-1所示。

图7-1   xDSL传输距离与速率对应关系

       PON是指采用无源光分路器的光纤接入网，包括OLT（光线路终端）、ODN（光分配网）和ONU（光网络单元）三部分。两个标准化组织分别定义了两类PON技术：一类是由ITU定义的APON-BPON-GPON系列，通称为FSANCFullServiceAccessNetwork）系列；另一类是由IEEE定义的EPON。

       APON的技术标准是ITU-TG.983.x系列，支持上下行对称的155Mbit/s速率和非对称的155/622Mbit/s速率，最大传输距离为20km。APON利用了ATM的多业务支持能力和QoS机制，支持语音、数据、图像等多种业务。2001年底,FSAN把APON改名为BPQNOGPON技术是FSAN和ITU继APON/BPON之后的又一PON标准，即ITU-TG.984.x系列。GPON支持最高为2.5Gbit/s的对称或非对称速率，支持10km和20km两种最大传输距离。GPON引入了传输汇聚（TC）子层，采用ITU-TG.7041定义的GFP（通用成帧规程）协议用于多种业务的映射封装，能高效承载多种业务（包括实时业务、数据业务等），并具有强大的OAM功能和扩展能力。

       EPON技术由IEEE802.3EFM（Ethernet-in-the-FirstMile）工作组进行标准化，形成IEEE802.3ah标准。EPON技术简单，可扩展性强，能够以较低成本传送各种IP业务。EPON支持1.25Gbit/s对称速率，支持10km和20km两种最大传输距离。EPON使用WDM技术在一根光纤中使用不同波长同时处理上行和下行信号，下行信号釆用广播方式，上行信号采用TDMA方式。

       PON典型的应用包括FTTC、FTTB和FTTH/FTTO。在光纤到路边（FTTC）方式中，ONU一般放置在路边的光分线盒中，ONU和用户通过铜线或双绞线进行连接。这种方式一般用于居民住宅区和小型企业，其拓扑结构为树形结构；在光纤到大楼（FTTB）方式中，ONU一般放置在大楼内，ONU和用户通过双绞线进行连接。这种方式比较适合于高密度的用户群体，其拓扑结构为树形结构；在光纤到家庭（FTTH）和光纤到办公室（FTTO）两种方式中，ONU放置在用户家庭中或用户的办公室中。FTTH主要用于居民住宅区，拓扑结构为树形结构；FTTO主要用于大型企业用户，拓扑结构为环形结构。

       宽带接入认证是开展宽带业务的基础,是宽带业务可运营可管理的保证。下面对PPPoE、Web、DHCP+Client以及802.lx的认证过程进行简要介绍。

       PPPoE认证既可以应用于xDSL,LAN等接入方式，也可适用于其他接入方式，如光纤调制解调器、无线接入等，它是一种比较成熟的认证技术。PPPoE包含发现和PPP会话两个阶段，发现阶段是无状态的客户端/服务器模式，目的是获得PPPoE终端的以太网MAC地址，并建立一个唯一的PPPoESessionIDO发现阶段结束后就进入PPP会话阶段。点对点会话建立以后，主机和网络设备即为点对点会话分配相应的网络资源。用户通过认证后，BRAS向RADIUS服务器发送计费开始包，并且BRAS可以分别进行上网时长和流量信息的统计，为计费提供必要的基础信息；用户下线后，BRAS向RADIUS服务器发送计费结束包。后台计费系统便可以根据计费起始包、结束包进行按时长、流量实时计费。下面分两种情况介绍基于PPPoE的工作流程，一种是PC终端，另一种是IPTV终端（STB）。PC基于PPPoE的工作流程包括：主机发送广播包PADI,等待BRAS的响应；提供服务的BRAS在收到广播包后给主机一个PADO响应；主机收到响应后，根据一定的原则选择一个BRAS,向其发送请求包PADR；被选中的BRAS收到主机的请求包后，产生一个唯一的会话ID,启动PPP状态机，准备开始PPP会话,并通过确认包PADS返回给主机；主机得到此会话ID后，即进入PPP会话阶段。此时双方进行链路控制协议（LCP）、认证协议以及网络控制协议（NCP）的协商,BRAS将用户输入的用户名和密码信息送到RADIUS服务器上认证；认证通过后建立PPP连接，即可传送PPP数据。可以由会话双方的任意一方发起会话终止包。

       STB上电后，自动启动PPPoE进程,利用开户时预存在机顶盒中的用户名和密码进行拨号认证，具体流程如图7-2所示。

     （1）在PPPoE发现阶段,STB发送查询报文，寻找能够提供PPPoE接入服务的BRAS（业务接入控制点）-BRAS对请求报文进行响应。经过两次报文交互后,PPPoE发现阶段结束，进入了PPPoE会话阶段。此时.STB和BRAS都记录了对方的MAC地址，建立了PPPoE会话,BRAS给这个会话分配了SessionID,用来标识这次连接。

     （2）进人了PPPoE会话阶段后，开始在PPPoE±传送PPP协商报文，进行PPP协商过程。STB和接入控制点通过LCP（链路控制协议）协商链路层的一些参数，包括STB终端认证方式、链路最大接收单元（MRU）以及防止链路自环的魔术字（MagicNumber）等。

     （3）LCP协商过程结束之后，进行PAP（密码认证协议）或者CHAP（挑战握手认证协议）认证过程。在这个过程中，STB的PPPoE拨号软件将已经存入在STB中的用户名和密码发送给BRAS进行认证。

     （4）如果是PAP,接入控制点把用户名和密码转发到RADIUS服务器进行认证；如果是CHAP,经过Challenge传送，以及MD5Hash之后传送给服务器，认证通过后接入控制点获得动态IP地址（ADDR）。在分配地址时，可以由RADIUS服务器给已经开户注册的STB分配地址，也可以由BRAS根据STB接入认证时所携带的认证域名（给IPTV业务分配一个特定的认证域名）分配相应的地址。

     （5）认证通过后，进入PPP的IPCPCIP控制协议）阶段，此时BRAS把获得的IP地址通过IPCP协议给STB。这个阶段完成后，STB可以正常收发IP报文，访问IPTV相关的网络设备。此时收发IP报文都是封装在PPPoE/PPP格式中。

     （6）STB机顶盒在线过程中-BRAS将不间断地对机顶盒进行PPP握手探测，侦测STB是否已经下线。如果连续多次没有收到STB的响应,BRAS就认为STB已经下线，断开STB的连接，并终止计费。

图7-2    PPPoE接入认证流程图

       STB除了通过PPPoE拨号软件接入认证之外，也可以通过DHCP的动态地址分配来接入，在动态分配地址过程中实现接入认证，此时需要通过相关的DHCPOption可选参数来实现。DHCP协议中，有Option82和C)ption60两个可选参数，其中Option82可以标识用户的接入位置，()ption60标识用户的认证域。在用户开户时，在STB中配置终端的认证域名(IPTV业务域)，以备STB接入时，BRAS对STB进行业务控制。同时在DHCP服务器上配置该终端的接入位置信息，以备给STB接入时进行身份验证，分配相应的地址。基于DHCP的用户认证过程如图7-3所示。

图7-3   基于DHCP的用户认证

       (1)STB上电后启动DHCP进程，以申请分配地址。STB首先发出DHCPDiscovery广播报文,DSLAM设备或者BRAS设备在DHCPDiscovery消息里插入DHCPOption82(包含物理线路号信息)和Option60(包含业务类型和终端类型信息)字段，然后再把修改过的DHCPDiscovery消息中继转发到业务接入控制点。

       (2)业务接入控制点检测到这是一个新用户，为该用户创建IP会话上下文，此时IP地址还未获得配置。业务控制点为该IP会话创建一个RADIUS接入请求消息，并向RADIUS服务器发送RADIUS请求消息。

       (3)如果通过RADIUS服务器的认证,RADIUS服务器将向控制点回复RADIUSAccessRecept消息，同时传送与该用户的IP会话有关的业务策略。控制点接收到RADPUSAccessRecept消息，该IP会话获得授权，执行该IP会话的业务策略，包括QoS参数配置和安全策略。

       (4)控制点向后面的DHCP服务器转发DHCPDiscovery消息。

       (5)DHCP服务器接收到DHCPDiscovery消息后，回应以DHCPOffer消息。

       (6)业务控制点接收到DHCPOffer消息，中继转发到STB。业务控制点把获得的IP地址与已建立的IP会话相关联，完成该IP会话的全部配置。后续的针对该用户的所有动态策略都将针对此IP会话进行操作。在IP会话过程中，业务控制点不断进行IP会话的心跳检测，如果几次未得到STB的响应，就断开IP会话，释放资源，终止计费。

       (7)用户STB接收到DHCPOffer消息，响应以DHCPRequest消息。

       (8)DHCP服务器收到DHCPRequest消息后，响应以DHCPAcknowledge消息。STB收到DHCP Acknowledge,完成DHCP配置过程。

     （9）业务控制点对该IP会话进行统计，并把统计参数发送给RADIUS服务器用于后台计费。

       采用Web认证技术，用户通过访问Web服务器进行身份验证。用户IP地址可以通过DHCP动态分配获得或者配置静态IP地址，在某些场合用户可以使用自带IP地址，但这需要BRAS支持自带地址端口映射的功能，多用在酒店和商务场所。在实际应用中，可以采用DHCP+Web和DHCP+Client两种方式。

        第一种方式:DHCP+Web方式。

        用户开机后从DHCP服务器获得一个IP地址，但此时只能访问对用户执行认证的Web服务器。用户通过浏览器打开认证页面后，输入用户名和口令，即可通过认证并取消访问范围限制。具体的步骤如下：

     （1）用户开机后通过DHCP由接入服务器做DHCPRelay,向DHCP服务器请求IP地址。

     （2）接入服务器为该用户生成有关表项（端口号、IP）,添加用户ACL服务策略（此时用户只能访问Web认证服务器）。

     （3）用户通过浏览器访问Web认证服务器,输入用户名和口令并提交。

     （4）Web认证服务器将用户的用户名、口令等信息送给RADIUS服务器进行认证。

     （5）RADIUS服务器将认证结果返回给接入服务器。如果认证通过，接入服务器修改用户的ACL属性，取消对用户访问范围的限制；如果认证失败，则拒绝服务。

     （6）用户下线时通过Web认证服务器的退出页面，单击“退出”即下线。同时系统停止计费，删除用户的ACL和转发信息，并恢复用户访问范围限制。

     （7）系统要定期检测用户的在线情况，发现用户下线，停止计费。

       最初的Web方式对用户的异常断线检测不准确，接入服务器需要根据设置的用户空闲时长来判断用户的状态。如果超过最长空闲时间，则认为用户已下线。因此对用户异常下线的情况，可能产生计费结束时间晚于用户实际的下线时间。要解决这个问题，就需要将用户的最长空闲时间设短，但如果太短，又有可能让用户在上网的过程中出现多次重新进行认证的情况，带来使用的不方便。目前Web认证方式可以通过运行在客户端的APPLET和Web认证服务器相配合，能够比较准确地检测用户在线方式。

       第二种方式:DHCP+Client方式

       DHCP+Client方式和DHCP+Web方式相似，用户都是首先通过DHCP获得IP地址，再通过用户名和口令进行认证，并获得相应的访问权限。所不同的是在DHCP+Web方式下，用户登录到Web服务器的认证页面，由Web服务器的应用程序将用户的信息送往RADIUS服务器进行认证；而在DHCP+Client方式下，则是通过运行在客户端的Client程序，将用户的用户名和口令等信息送给接入服务器，以实现用户的认证和管理。

        DHCP+Client方式需要在客户端安装软件，而DHCP+Web方式中，客户端只要有一个浏览器即可。由于DHCP+Client中客户端软件可以加强对用户的管理和控制，客户端软件和接入服务器之间通过心跳机制来进行用户状态同步，接入服务器能比较准确地检测到用户的在线状态，从而保证计费有较高的精度。

        目前DHCP+Client方式有非旁路和旁路两种解决方案：非旁路方案采用BRAS来实现用户接入的汇聚，并对用户进行管理和控制；而旁路方案中不需要BRAS设备，此种方案缺少一个集中控制点，不容易实现对用户的带宽和流量控制，不能满足大规模电信级应用的要求。

       IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，制定了802.lx协议。后来，802.lx协议作为局域网的接入控制机制用在以太网中，用来解决以太网内的认证和安全方面的问题。经过扩展，可以将xDSL,LAN等多种宽带接入方式的认证、计费融为一体，极大地简化了网络结构。

        802.lx协议的体系结构包括3个部分:客户端系统、认证系统、认证服务器。客户端系统安装一个客户端软件，用户通过启动客户端软件发起802.lx认证。为支持基于端口的接入控制，客户端系统须支持EAPoL(EAP overLAN)协议。认证系统通常为支持802.lx协议的网络设备。该设备有两个逻辑端口：受控端口和不受控端口，对应于不同用户。不受控端口始终处于双向连通状态，用来传递EAPoL协议帧，保证客户端始终可以发出或接收认证；受控端口只有在认证通过之后才打开，用于提供服务并传递用户数据。如果用户不能通过认证，受控端口处于未认证状态，则用户无法访问系统提供的服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应于不同的应用环境。认证系统的端口访问实体通过不受控端口与客户端端口访问实体进行通信，二者之间运行EAPoL协议。认证系统的端口访问实体与认证服务器之间运行EAP协议。EAP协议并不是认证系统和认证服务器通信的唯一方式。例如，当认证系统和认证服务器集成在一起时，两个实体之间的通信就可以不采用EAP协议。认证服务器通常为RADIUS服务器，该服务器存储用户的信息，比如用户的账号、密码以及用户所属的VLANXAR参数、优先级以及用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统，由认证系统生成动态的访问控制列表，用户的后续行为将受控制列表的监管。802.lx协议为二层协议，且接入交换机无须支持802.lq的VLAN,对设备的整体性能要求不高，可以有效降低建网成本。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。802.lx认证过程的步骤如下：

       (1)用户开机后，通过802.lx客户端软件发起请求，查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。

       (2)客户端收到验证设备的响应后，提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证。

       (3)如果认证通过，则认证系统的受控逻辑端口打开。

       (4)客户端软件发起DHCP请求，经认证系统转发到DHCP服务器。

       (5)DHCP服务器为用户分配IP地址。

       (6)DHCP服务器分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC地址和IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。

       (7)当认证系统检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。

       (8)如果用户退出网络，可以通过客户端软件发起退出过程，认证系统检测到该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息(如MAC地址和IP地址)，受控逻辑端口关闭，用户进入再认证状态。

       (9)认证系统通过定期的检测保证链路的激活。如果用户异常断线，则认证系统在发起多次检测后，自动认为用户已经下线并向认证服务器发送终止计费的信息。

        通过上面的介绍可以看到，各种宽带认证技术都有其优缺点。对接入网的要求方面，由于PPPoE无法跨越三层设备，所以BRAS以下的网络应是二层网络或采用隧道技术提供二层透传功能；而DHCP+Client方式和Web方式的DHCP+Web方式下，主机需要首先通过DHCP获取IP地址，因此要求BRAS以下的三层设备必须支持DHCPRelay；Web方式下如果釆用静态地址方式，则BRAS以下的三层设备可以不支持DHCPRelay；802.lx需要用户的接入交换机支持802.lx协议。在网络开销方面.PPPoE在认证通过后，用户数据仍然要封装在PPP包中进行传输，因此额外开销比较大；而其他方式是认证和业务分离用户数据不需要额外封装，开销小。对用户的控制和管理能力方面，PPPoE的用户控制和管理能力较强，能满足电信级运营的需求；Web方式现在有了很大改进，也能实现各种控制和管理的功能；DHCP+Client在有BRAS的非旁路方式下，能实现对用户的控制和管理，但是在没有BRAS的旁路方式中，在实现带宽限制、带宽保证、流量统计等方面有困难；802.lx认证系统也能实现用户控制和管理功能。对业务的支持能力方面，PPPoE在BRAS和用户主机之间建立点到点连接，因此无法在BRAS和用户主机之间的设备上进行组播复制，影响了直播业务的开展；其他方式由于认证和业务相分离，支持组播，能很好适应直播业务的开展。在安全性方面-PPPoE可以针对用户设置ACL或防火墙功能，可以防止地址冲突和地址盗用；Web和DHCP+Client方式安全性比较差，但可通过绑定用户名、VLANID、MAC地址、IP等措施来提高其安全性；802.lx在二层网络上实现用户认证，能结合MAC地址、端口、账户、VLAN和密码等，具有较高的安全性。在计费准确度方面,PPPoE通过监控PPPSession来检测用户是否断线，具有比较高的准确度；Web方式目前可以通过JavaApplet与Server间的心跳机制来保证计费准确度；DHCP+Client通过客户端和服务器间的心跳机制来检测用户是否断线，也有较高的准确度；802.lx认证系统通过定期检测链路来保证其计费精度。