- •1.2 Составные ядра сети
- •1.3 Архитектура проектируемой сети
- •1.4 Расчет пропускной способности сети
- •6,4 Гбит/с
- •2. Выбор оборудования
- •3 Обеспечение безопасности данных
- •3.1 Протокол radius
- •3.2 Выбор radius-сервера
- •3.3 Процедура аутентификации пользователя
- •3.4 Описание настройки radius- сервера
- •3.5 Ssh
- •4 Выбор механизма защищенного абонентского доступа
- •4.1 Механизмы абонентского доступа к сети
- •4.2 Технология iPoE
- •4.3 Механизмы безопасности iPoE
4 Выбор механизма защищенного абонентского доступа
4.1 Механизмы абонентского доступа к сети
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов – они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE. В качестве идентификатора пользователя используется Username.
В случае использовании PPP сессий (PPPoE, PPTP) на стороне пользователей требуется программное обеспечение или устройства, поддерживающие клиентов этих сессий. При этом возможны проблемы при одновременном доступе в Интернет и работе пиринга между клиентами. Также недостатком таких сценариев является растрата ресурсов BRAS на инкапсуляцию в таких сессиях. Наконец, трафик групповых рассылок (multicast), необходимый для IPTV, доставляется неэффективно. Сценарий IPoE лишён этих недостатков.
IPoE принципиально отличается от PPTP и PPPoE. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS, выделения VLAN на каждого абонента (так называемый Client-VLAN) или привязке IP к порту коммутатора. Соответственно при доступе IPoE идентификация пользователя производится по IP адресу – остаётся лишь зафиксировать адрес за конкретным пользователем и защитить от подмена.[10]
В таблице 3 приведено сравнение технологий PPPoE и IPoE, их некоторые плюсы и минусы.
Таблица 3 - Сравнение технологий PPPoE и IPoE
|
Технология |
PPPoE |
IPoE
|
|
Плюсы
|
Полный контроль над всеми абонентами на центральном BRAS |
Самая простая схема доступа с точки зрения абонента |
|
Высокая безопасность
|
Универсальность контроля доступа к Internet и локальным ресурсам | |
|
Технология реализуется уже давно |
Эффективное использование 10GE магистралей | |
|
Минусы
|
Локальный трафик идет через BRAS, что требует дорогих физических интерфейсов на BRAS |
Сложности billing и core level при использовании одновременно «белых» и «серых» IP адресов |
|
Нет гарантированной полосы пропускания для Internet при совместном использовании с локальными ресурсами в направлении от пользователя |
Нет гарантированной полосы пропускания для Internet при совместном использовании с трафиком локальных ресурсов
|
Также, изучив опыт отдельных провайдеров, можно прийти к выводу, что при поддержке оборудованием соответствующих протоколов безопасности, у PPPoE никаких преимуществ по сравнению с IPoE нет. Неудобством использования IPoE может выступать сложность реализации NAT для большого количества абонентов и необходимость выдавать реальные адреса. При этом PPPoE делает это динамически и экономит до 70% адресного пространства, а IPoE должен по DHCP отдать адрес любому включенному в сеть хосту.
Сравнив существующие технологии доступа, выбираем технологию IPoE.