网络设备硬核技术内幕 路由器篇 14 从鹿由器到路由器 (中)

昨天给大家挖了一个坑：

我们常见的IPTV机顶盒是没有条件输入用户名和密码，进行认证的。那么，如何在BRAS上进行认证、鉴权和计费呢？

有的同学提出，可以通过MAC地址认证。

但是，我们知道，MAC地址是可以修改的。如果找到一台计算机，将MAC地址修改为与机顶盒相同的MAC地址，就可以肆意使用甚至攻击整个网络了。

另一个问题是，如果只认MAC地址，那么，只要是在认证范围内的机顶盒，无论在何处使用都可以连接网络，老张家的机顶盒也可以给隔壁老王家使用。这当然不符合IPTV提供商的需求。

我们需要一种认证方式：

1. 只有机顶盒（或其他认可类型的设备）才可以接入网络；
2. 设备必须在指定的位置接入网络；

这种认证方式，就是随着IPTV的大规模普及而出现的IPoE。

IPoE，是在BRAS为机顶盒通过DHCP分配地址时，借助DHCP的扩展Option 60和Option 82，确定终端类型及接入位置，并判断是否准入的一种认证方式。

Option 60早在RFC 2132中就有了初始的定义。它是DHCP Client向DHCP Server报告自身生产厂商信息的。最初，这个Option的用途是用于为不同厂商的终端分配不同域的地址，但在IPTV中，这个字段用于标识其是否为机顶盒终端。由于IPTV机顶盒均为运营商集中采购并发放给用户，因此，类型不正确的终端，会被视为非法终端并拒绝分配地址，无法接入网络。

而Option 82用于标识自身接入位置。Option 82是DHCP沿途的网络设备添加的。如下图所示：

沿途各设备均会在DHCP中添加Option 82字段，而BRAS通过Option 82字段，判断用户是否有与隔壁老王公用机顶盒的行为，来决定是否准入。

原来，IPoE竟是如此简单。

不，IPoE并不简单。

IPoE认证的IPTV网络中，还有一个重要的问题：

怎么样避免楼道二层交换机把组播包在所有的接口中泛洪，使得隔壁老王能够不花钱看到老张家付费观看的成人围棋频道？ 因此，IPoE也需要结合QinQ来实现。

如下图所示：

IPoE与PPPoE的区别，大家发现了吗？

对了，IPoE的数据包少了一个PPP封装，而是将IP数据包直接封装在以太网包头中，因此，被叫做IPoE(IP Over Ethernet)。

显然，相对于PPPoE，IPoE的数据包更简单，对BRAS——城域边缘路由器的要求也相对低。

于是，工程师们又想出来了城域网络的创新——请看下集。

本期问题：

为什么IPTV不使用在接入和汇聚交换机上配置MAC/IP/端口的绑定来限制机顶盒的接入位置？

上期遗留问题：

QinQ可以把网络隔离为4K * 4K = 16M个子网，而VXLAN也支持16M个子网。那么，为什么运营商网络中不采用VXLAN隔离各个用户，而要使用QinQ？

答案：1. QinQ的内外层VLAN ID可以用来区分接入位置，如小区/门牌号；2. QinQ只需要接入交换机支持VLAN，汇聚交换机支持QinQ，而VXLAN则需要交换机支持VXLAN，成本显然更高；3. VXLAN是2015年出现的技术，在不降低成本的情况下，改变现有IPTV组网标准无法体现变革的价值。