IPoE

電信運營商的寬帶接入認證方式主要有PPPOE、IPoE（IPoE擴展有DHCP+Web/Portal、DHCP+客户端、802.1x）等。

PPPoE（Point to Point Protocol over Ethernet）可以使以太網的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上。通過PPPoE協議，遠端接入設備能夠實現對每個接入用户的控制和計費。

PPPoE已被電信運營商認可並廣泛採用。但隨着電信運營商對網絡、業務的精細化管理、精細化控制的要求越來越高及IP網絡已從提供簡單的上網業務快速向提供視頻、語音等媒體流的實時增值業務（如VoIP和IPTV等關鍵業務）發展，電信運營商紛紛在業務接入認證方式上做出新的嘗試。因此，DSL工作組於2006年定義了WT-146用户會話控制機制，設計規劃了以DHCP技術為核心，緊密結合當今PPPoE通用的RADIUS協議，建立了一種基於“IP用户會話機制”，“IP數據流的分級機制”及“IP會話鑑權和管理機制”的IPoE認證機制。IPoE通過擴展信息的加入和識別在網絡邊緣設備上提供用户Session的接入認證授權計費及控制，並實施各種用户策略（如QoS等）。

IPoE和PPPoE都是技術較成熟的認證技術，在標準化程度、安全性、精確計費、帶寬/端口的控制方面都有相似的優點。隨着多播業務的發展、隨着運營商對業務的精確管理要求越來越高，IPoE接入技術完全可以取代PPPoE技術，成為寬帶業務接入的首選。 ^[2] 

IPoE系統包括基本的DHCP功能，同時擴展了網絡中各個層面設備的能力。IPoE不是簡單的在終端設備上支持DHCP即可，需要涉及到用户端、網絡控制設備和網絡業務系統等。通過終端上的DHCP客户端，利用自動發現機制來嘗試聯繫網絡中的DHCP服務器。DHCP提供一系列IP配置參數，對用户端的IP層進行配置。DHCP協議本身並沒有認證的功能，但是可以配合其他技術實現認證，比如“DHCP+Web方式”、“DHCP+客户端方式”和利用“DHCP+OPTION擴展字段”進行認證，所有這些方式都統稱為DHCP+認證。

DHCP+OPTION擴展字段進行認證，又稱為IPoE認證方式。用來作為DHCP擴展的OPTION字段主要為OPTION60和OPTION82。其中，OPTION60中帶有Vendor和Service Option信息，是由用户終端發起DHCP請求時攜帶的信息，網絡設備只需要透傳即可。其在應用中的作用是用來識別用户終端類型，從而識別用户業務類型，DHCP服務器可以依賴於此分配不同的業務IP地址。OPTION82信息是由網絡設備插入在終端發出的DHCP報文中，主要用來標識用户終端的接入位置，DHCP OPTION82信息可以由DHCP SNOOP-ING或DHCPRELAY設備進行插入。 ^[3] 

（1）基於上網用户的物理位置（通過唯一的VLAN ID/PVC ID標示）對用户進行認證和計費，用户上網時無需輸入用户名和密碼。這對於那些需要永遠在線的用户，以及不願意輸入用户名和密碼的特定用户非常方便，適合於在企業網和家庭簡化硬件的配置工作。

（2）DHCP+（option 60/option 82）對DHCP協議進行了擴展，增加了安全、監控和用户識別等新的特性。

（3）網絡接入設備，業務控制網關，DHCP server，Radius server配合增強網絡安全性（防DoS攻擊及地址仿冒）。

（4）DHCP+Radius結合提供計費功能，使得DHCP適合做運營。

（5）DHCP在IP冗餘保護方面比較有優勢，能夠實現真正的5個9的保護特性。

（6）組播業務支持靈活。

由於IPoE認證本身不像PPPoE認證在網絡層面提供唯一的點到點的通信，因此，運營商在部署時，安全問題是需要考慮的主要問題。 ^[3] 

1）多業務支撐和統一化接入認證。能滿足寬帶、視頻、移動業務等多樣化業務的接入認證，為用户和業務提供統一的認證方式，有效支持運營商多業務的運營，並有效降低運營商建設和運營成本，提高維護能力。

2）靈活的可擴展性。利用OPTION信息擴展性，可以支持新業務的靈活擴展和快速部署，保證城域網業務多樣化發展的要求。

1）組播業務，如IPTV（網絡電視）、在線視頻業務這類點對多點的視頻業務。IPOE具有靈活的組播能力，可以實現高效的組播複製，同時可以實現組播複製點下移，減輕網絡壓力。

2）精細化控制業務，如VoIP（網絡電話）業務、3G業務、專線業務、交互控制業務等。IPOE通過Session會話的控制，利用Option80字段、用户物理地址和認證信息，進行用户的區分、業務的識別、業工務服務等級參數的管理，實現業務的精細化運營。

3）長時間在線業務，如VoIP、視頻監控等。部署的IPoE終端只有在DHCP租期過一半時，才需要續訂，其他時間DHCP服務器無交互，相對PPPoE的持續連接，一定程度上降低了網絡開銷。

4）零配置業務。IPoE利用DHCP Option信息和終端MAC（介質訪問控制）信息，可實現業務終端的零配置部署，從而簡化終端的相關業務流程，降低終端的設計要求，提高用户使用體驗度。 ^[1] 

IPoE 接入認證方式分為非Session級IPoE和Session級IPoE兩種。

1）非Session級IPoE接入認證

非Session級IPoE通過對DHCP增強擴展，在DHCP服務器上開發相應接口與後台認證系統交互，進行用户接入認證。業務接入認證邊緣（Edge）沒有用户Session概念，不具備用户Session管理能力。由DHCP服務器完成用户接入認證的發起以及簡單用户管理。非Session級IPoE適用於用户接入安全要求高，對Session級控制無需求，對網絡層不需要基於用户實現業務控制的場景。

2）Session級IPoE接入認證

Session級IPoE是指對用户實施集中控制會話管理，進行先認證後分配地址的可精細化控制和運營級接入認證方式。Edge 具有用户Session概念，可以實現每用户每業務的可控化 Session管理。 ^[1]