DHCP + 接入认证技术:现状、扩展、功能与局限
一、DHCP + 接入认证技术的现状
DHCP + 接入认证技术基于 DHCP 协议,通过对终端用户 IP 地址分配的控制,实现用户接入的认证鉴权。当前,该技术处于发展初期,正式标准尚未推出。在 PPPoE 接入认证方式受限的场景,如 BTV 业务应用中,DHCP + 较为常见。在国内驻地网运营商的小区宽带、大客户接入以及海外城域网建设中,DHCP + 均有小规模应用。
二、DHCP + 接入认证技术对 DHCP 协议的扩展
(一)DHCP 协议基础
DHCP 协议是 DHCP + 接入认证技术的基石,由 RFC 组织定义,采用客户机-服务器工作机制,用于客户机向服务器请求分配 IP 地址。
(二)安全扩展
在网络安全方面,DHCP + 接入认证技术在报文入接口处,通过将报文与 DHCP Snooping 绑定表项进行匹配,有效防范了 IP 盗用、用户私接、DHCP Server 仿冒、IP/MAC Spoofing 攻击以及 DoS(Deny of Service)攻击,弥补了 DHCP 协议在安全方面的缺陷。
(三)监控扩展
在网络监控层面,通过对丢弃的非法报文分别计数,并借助网管系统,实现针对各种攻击的阈值告警分别输出。这大大提高了运维部门故障定位与解决的效率,有助于降低运营成本。
(四)用户控制扩展
DHCP PS(DHCP Policy Server)通过构建基于用户物理位置信息的本地数据库,实现对用户的认证控制。用户物理位置信息涵盖用户所在设备、端口以及 QinQ 双层标签信息,用户通过一个或多个 MAC 地址进行识别。这种方式有效限制了私拉盗接和用户串用等问题,减轻了运维压力,保障了合法用户权益,为运营商增收创造了可能。
(五)灵活字段扩展
华为公司在 DHCP + 报文中引入多个灵活的 Option 字段,以满足不同场景的用户需求。例如,在存在多个终端同时使用 DHCP 的场景下,通过在 DHCP + 报文中引入 Option60 来区分终端类型,DHCP PS 能够通过识别 Option60 选项,实现对不同终端分配不同地址空间的功能。
三、DHCP + 接入认证技术功能实现