NatShell廣電網(wǎng)絡需求分析及解決方案

藍海卓越計費+中興M6000

一、 前言

面臨的機遇與挑戰(zhàn) 

經(jīng)過近幾十年的發(fā)展，中國有線電視業(yè)已經(jīng)具備了相當大的規(guī)模。到目前為止,中國有線電視用戶數(shù)已穩(wěn)居世界第一位，有線電視網(wǎng)已經(jīng)成為我國家庭入戶率最高的信息工具。 

應該說，為有線電視業(yè)帶來巨大增值潛力的是Internet業(yè)務的空前膨脹、Internet用戶的飆長以及用戶對帶寬的貪婪需求。Internet作為第四媒體已經(jīng)成為無可爭辯的事實。這也為我國有線電視業(yè)進一步擴展，成為國家信息通信的支柱平臺帶來了鍥機。 

　　我國有線電視（臺）運營商目前面臨的最大機遇是如何將在電視媒體所擁有的巨大用戶優(yōu)勢轉化為在新一代媒體上的用戶優(yōu)勢，占領新媒體的市場。假設有線電視運營商能擁有我國未來新增長Internet用戶的1/3，則可以繼續(xù)保持其在媒體領域的優(yōu)勢，成為我國信息產業(yè)的不可或缺的支撐平臺。

　　在面對誘人機遇的同時，我國有線電視業(yè)也面臨著巨大的挑戰(zhàn)。從國內的情況來看，目前國內有幾大網(wǎng)絡運營商：中國電信、新聯(lián)通、移動。中國電信一直是國內網(wǎng)絡運營商的巨頭，在運營體制、資金積累、管理經(jīng)驗、人才儲備等方面都有明顯的優(yōu)勢，并且明確提出：寬帶接入是中國電信今年的工作重點。新聯(lián)通經(jīng)過十年的耕耘，在很多地區(qū)已經(jīng)具備了同電信競爭的實力，移動做為后進入者，雖然基礎較薄弱，但是移動具備強大的品牌號召力，以及數(shù)量巨大的手機用戶群體，完全可以依賴現(xiàn)有的手機用戶進行捆綁消費，從而快速爭取用戶。在面對強大競爭對手的同時，如何充分發(fā)揮廣電網(wǎng)絡原有的優(yōu)勢，進行業(yè)務及技術創(chuàng)新，達到迅速發(fā)展用戶的目的，已經(jīng)成為廣電部門的重點。

二、 網(wǎng)絡建設的需求分析

藍海卓越發(fā)現(xiàn)，在廣電進行寬帶網(wǎng)絡接入建設時,網(wǎng)絡的基本需求基本可歸納為以下幾個方面:

1. 高負荷性：一般一個市或縣級的廣電，都有上千戶甚至幾千幾萬戶的用戶，在一開始建設寬帶業(yè)務時，用戶數(shù)量較少，對負荷要求不高，但隨著業(yè)務的開展，用戶不斷的接入網(wǎng)絡，當用戶數(shù)量達到一個較高的數(shù)量時，對網(wǎng)絡接入的設備就會有較高的性能要求。

2. 高穩(wěn)定性：由于是給網(wǎng)絡用戶提供寬帶接入服務的，網(wǎng)絡內的用戶存在各種不同時間上網(wǎng)的需求，這就要求網(wǎng)絡不能經(jīng)常中斷，由此對網(wǎng)絡接入設備的穩(wěn)定性提出了極高的要求。

3. 高安全性：用戶的網(wǎng)絡都是由用戶個人自行管理，而不是像網(wǎng)吧一樣有網(wǎng)管統(tǒng)一管理，因此內網(wǎng)的攻擊，病毒，用戶互訪的事件，也是層出不窮，要做好寬帶運營，對這些安全問題，也需要一個較好的解決方案。

4. 高性價比：寬帶運營投入的目的是為贏利，具有較高性價比的設備，能夠讓寬帶運營商更快，更早的收回投資。

5. 可管理、易操作：由于用戶的獨立性，要求有一個良好的管理系統(tǒng)來對用戶進行計費管理，并且要具備良好的可操作性，這樣公司的管理，才會更有序。

6. 易于升級維護：隨著網(wǎng)絡的復雜化，對網(wǎng)絡設備及維護的要求也越來越高，因此在構建網(wǎng)絡時，就要充分考慮到易升級，易維護的特性。

NatShell 藍海卓越綜合全國數(shù)百家客戶的成功經(jīng)驗，再結合自身對國內寬帶運營的深刻理解，提出了“可管理、可運營、可增值”的廣電PPPOE寬帶網(wǎng)絡解決方案。推出了專門針對廣電寬帶運營的NatShell G60/G600認證計費系統(tǒng)，配合中興M6000 路由器，能為運營商提供高質量、高可靠性，高易用性的解決方案，可以極大的簡化廣電寬帶運營商的工作流程，提高用戶滿意度，具體的解決方案與功能特色如下：

三、 網(wǎng)絡建設方案說明

在中心機房安裝中興M6000 BRAS路由器，小區(qū)用戶通過標準PPPOE的方式進行撥號上網(wǎng)，所有的用戶上網(wǎng)認證請求統(tǒng)一通過NatShell NS-G600 認證計費系統(tǒng)進行認證和管理。用戶之間采用VLAN進行隔離，也可以使用雙層VLAN，即QINQ方式進行隔離。

拓撲圖如下:

方案特點及優(yōu)勢說明：

一、 強大的性能：中興M6000寬帶接入服務器專為大型的網(wǎng)絡環(huán)境開發(fā),是運營商采用較多的設備。

二、 超大帶機量：超過幾萬臺的PPPOE帶機數(shù)量，完全滿足縣市級廣電網(wǎng)絡的應用要求。即使用戶使用BT，或遇到內網(wǎng)攻擊，也能輕易化解。在大型的廣電城域網(wǎng)絡中,當一臺設備帶機量不足時,可以通過增加M6000的授權增大帶機量,不需要更復雜的網(wǎng)絡改造,也不需要多余的投入。

三、 大容量PPPOE服務器：多達數(shù)萬個的PPPOE并發(fā)連接，完全滿足整個城區(qū)寬帶上網(wǎng)用戶的上網(wǎng)需求。相比傳統(tǒng)的以太網(wǎng)IP網(wǎng)絡技術，PPPOE是一種更適用于寬帶運營接入的上網(wǎng)方式。作為用戶普遍存在一種認知：固定IP是共享帶寬，而采用撥號方式的，才是獨享帶寬。因此采用此種方式進行運營，能帶來更多的客戶。

四、 內網(wǎng)安全性高：內網(wǎng)用戶全部采用PPPOE方式撥號上網(wǎng)，互相之間均為獨立PPPOE通道，從而保證了用戶之間不能互相訪問，一個或幾個客戶的電腦出現(xiàn)故障或有攻擊包，也不會影響其他客戶上網(wǎng)。

五、 徹底解決ARP問題：傳統(tǒng)的寬帶組網(wǎng)方式，采用以太網(wǎng)IP方式來進行小區(qū)用戶上網(wǎng)和管理，這種方式存在的最大問題，就是ARP欺騙，由于用戶電腦的不可管理性，及用戶使用電腦水平的不平均，基本上在每個項目上，都會出現(xiàn)ARP問題，雖然可以通過綁定IP/MAC地址的方式進行有效緩解，但是對一些新型的ARP變種，以及用戶自行裝機或更換電腦以后的情況，仍是無法處理，本方案采用了PPPOE技術，不再使用ARP協(xié)議，因此可以徹底的杜絕ARP的問題。

六、 內網(wǎng)用戶互不干擾：用戶在一個網(wǎng)絡之內，可以通過采用OLT+ONU的QINQ，劃分VLAN，同時采用NatShell的廣電寬帶解決方案，用戶上網(wǎng)均是通過PPPOE撥號上網(wǎng)，由M6000進行IP地址的分配，再加上VLAN的劃分，用戶之間是不能相互訪問的，從而解決了以上的問題。

七、 方便管理：采用傳統(tǒng)的管理方式，只能是由寬帶運營者手動對用戶的上網(wǎng)行為進行控制，一般是采用IP/MAC綁定的方式進行對用戶上網(wǎng)行為的控制。但如果用戶自行修改了IP和MAC地址，一樣還是可以上網(wǎng)，或是直接和其他用戶的IP造成沖突。而采用NatShell的PPPOE計費管理系統(tǒng)，則是對用戶進行集中計費管理，無論有多少個小區(qū)用戶，其所有的用戶數(shù)據(jù)集中放置在一臺專門的服務器上，管理人員通過網(wǎng)絡即可方便的進行用戶開通，停機，查詢等管理工作，所有用戶數(shù)據(jù)可以方便的進行管理，下載，儲存，用戶到期日前進行提醒，用戶可對自己的PPPOE密碼進行修改，可查看費用到期明細。還可通過NatShell PPPOE計費管理系統(tǒng)，對用戶進行統(tǒng)一費用管理，可設定到期自動停機，極大方便了管理員的工作。相比較而言，在每個項目單獨對用戶進行計費及認證管理的做法，為小區(qū)寬帶運營商的管理帶來了更多的不方便性，一旦出現(xiàn)問題，恢復數(shù)據(jù)也將是一個極為繁瑣的過程。

八、 解決控制問題：技術人員私自開戶，由于廣電的經(jīng)營特性，通常都是需要同時運營多個項目，覆蓋整個城市甚至農村地區(qū)，因此對用戶的開戶，基本是依賴技術人員進行的，但這樣就存在一個問題，即技術人員私自給用戶開戶，收錢的問題。而采用NatShell的小區(qū)寬帶管理方式，則可以完全避免此種情況的發(fā)生，任何一個用戶，要想上網(wǎng)，必須通過撥號的方式進行，而撥號的用戶和密碼的建立，完全掌握在公司手中，并且和帳目相對應，因此就不會有私自開戶的問題。

九、 數(shù)據(jù)安全性高：所有的用戶數(shù)據(jù)，均存放在NatShell PPPOE計費管理系統(tǒng)，通過雙機備份，磁盤鏡像等手段，可以確保用戶資料的完整和安全，即使在BRAS設備出現(xiàn)問題，只需更換一臺BRAS設備即可，不需再對用戶數(shù)據(jù)進行重復錄入，數(shù)據(jù)安全性極大提高，并且減少了工作量。相比較而言，把用戶撥號，認證，管理幾種功能集于一身的設備，為小區(qū)寬帶運營商增加了更大的不安全性。

十、 可擴展性好：新增加一個BRAS設備，只需簡單的在網(wǎng)關處勾選與NatShell PPPOE計費管理系統(tǒng)進行連接，即可使用NatShell PPPOE計費管理系統(tǒng)，進行統(tǒng)一計費，無需增加其他任何成本。

十一、 一次配置所有功能：通過用戶管理的界面，可一次性的對用戶數(shù)據(jù)進行錄入，包括用戶信息，密碼，IP地址，帶寬分配等，一次錄入，不需再進行其他配置。尤其是在錄入帶寬時，對管理用戶的帳號帶寬很有好處，用戶如需從低帶寬升級到高帶寬，或需要延期續(xù)費，只需直接對用戶進行編輯即可，方便輕松。

十二、 方便的報表生成功能：藍海卓越NS-G600內置強大的報表生成功能，可以根據(jù)管理層的需要，方便的生成日、周、月、年統(tǒng)計報表，也可以根據(jù)不同的條件對所有的用戶進行查詢，并對查詢結果生成報表。

四、 論寬帶運營中管理的重要性

廣電寬帶市場在全國市場正在如火如荼的進行中，經(jīng)過這幾年的發(fā)展，廣電寬帶網(wǎng)絡也從最開始的初放式經(jīng)營管理，接根光纖，接個路由器就可以開展業(yè)務，到現(xiàn)在的越來越趨向復雜化，越來越強調管理，做為廣電的寬帶運營，一些管理方面必須得考慮，具體表現(xiàn)為以下幾點：

★ 對用戶的管理，除了用戶和密碼之外，還需要設定到期停機，而不是需要管理員手動插撥網(wǎng)線或在界面中刪除帳號。

★ 對用戶的IP地址要進行管理，不能自由分發(fā)，否則查詢會是問題。

★ 一個地區(qū)，可能不止是一種帶寬或資費，因此需要給不同的用戶分配不同的帶寬。

★ 對技術人員要進行管理，不能由技術人員控制網(wǎng)絡，否則就會出現(xiàn)私下開戶等情況。

★ 對帳務管理人員要進行管理，所有的帳務要有據(jù)可查，以免出現(xiàn)管理漏洞。

★ 對安裝人員、技術人員的業(yè)績要進行管理，最好是自動生成，而不是手動統(tǒng)計。

★ 對外網(wǎng)帶寬要進行分析管理，根據(jù)需要隨時調整帶寬。

★ 對用戶的上網(wǎng)日志要進行記錄，以便公安或其他相關部門查詢。

部分寬帶管理者認為；我不需要那么多功能，能讓用戶上網(wǎng)就可以了，管理嘛，我只需要一個好的財務，就能解決問題了，但事實是不是真的如此呢？我們來看一下，幾種管理方式的區(qū)別：

現(xiàn)在的寬帶市場從開始誕生到今，已經(jīng)經(jīng)歷了幾個階段，各階段使用方式主要的區(qū)別如下：

Ø 第一階段：采用光纖到項目，通過普通的寬帶路由器分發(fā)給項目內的住戶，此種方式，簡單，但基本功能都不具備，基本上已經(jīng)被淘汰。

Ø 第二階段：光纖到項目后，通過具備一定管理功能寬帶路由器，將帶寬分配到各個住宅用戶，此種方式，由于采用了帶管理功能的寬帶路由器，因此已經(jīng)具備了帶寬控制，IP/MAC綁定，限制非法用戶上網(wǎng)等一些基本管理功能，但也存在很多不足，如本身帶機量不足，以及小區(qū)內病毒、攻擊、泄密、互相感染等問題，造成用戶投訴率高，續(xù)費率低，影響了運營商的收入。

Ø 第三階段：光纖到項目，通過具備PPPOE服務器功能的寬帶路由器進行帶寬分發(fā)，用戶都通過PPPOE的方式進行撥號上網(wǎng)，所有的用戶之間可以做到互不干擾。同時具備帶寬管理，基本用戶管理等功能，已經(jīng)具備了一定的先進性，但是這種設備，由于其本身處理性能不足，因此其只能帶機100戶左右，在稍大的小區(qū)網(wǎng)絡中，就無法勝任。并且這種設備，只提供了PPPOE撥號服務，僅能對用戶進行基本的管理，如用戶名和密碼、IP等，連到期停機功能都無法實現(xiàn)，根本無法達到運營的要求。還有如公司管理，員工管理，用戶自已管理等功能都無法實現(xiàn)。

Ø 目前的階段：最新的技術， 除了可以實現(xiàn)用戶PPPOE撥號上網(wǎng)之外，還能對用戶實行動態(tài)限速，到期停機，發(fā)放公告，等一系列實用的功能，下面我們就來看看藍海卓越的小區(qū)管理解決方案，和一般具有PPPOE功能寬帶路由器，到底有哪些地方不一樣。

Ø 實現(xiàn)了大容量的PPPOE撥號：相對比普通路由器自帶的PPPOE服務器功能，中興的M6000 PPPOE服務器支持從32000以上并發(fā)用戶的規(guī)模，完全滿足各種類型城區(qū)的運營需求。

Ø 強大的防火墻性能：相比起傳統(tǒng)的寬帶路由器來說，本方案采用專業(yè)的防火墻設備，可以由用戶自定義詳細的防火墻規(guī)則，確保網(wǎng)絡的安全。

Ø 萬兆網(wǎng)絡接口：相比普通百兆的路由器產品，中興的BRAS設備可提供萬兆的網(wǎng)絡接口，完全滿足帶寬升級的需求。

Ø 具備豐富的管理特性：可以設定不同的用戶產品，并針對產品設定不同的帶寬，可以對用戶進行到期停機，也可即時踢用戶下線，可以對公司的管理人員和技術人員設定不同的權限，可以對管理員的所有操作進行記錄并進行查詢。

Ø 具備詳細的記錄信息：可以對用戶上網(wǎng)日志，上網(wǎng)時長，訪問過的地址等進行記錄，也可對用戶繳費情況進行詳細記錄并保存。對帶寬的使用歷史情況可以做記錄，時間最長保存到2年以上，方便管理員分析高峰期的帶寬使用情況，有針對性的進行調整。

Ø 用戶自助管理功能：可以開通用戶的自助管理功能，用戶可以登錄藍海卓越的計費管理系統(tǒng)，查詢自已的信息，上網(wǎng)記錄，繳費情況，并能自行修改上網(wǎng)密碼。

Ø 報表生成功能：可以根據(jù)不同的條件，如日期，項目，開通，停機，裝機員等各種條件進行篩選，生成詳細的報表，并可將此報表導出為EXCEL格式，還可以將收費明細導出報表，以便領導查詢。

Ø 強大的運營管理功能：藍海卓越的小區(qū)寬帶運營系統(tǒng)具備強大的運寬管理功能，可以設定不同權限，使用不同的功能，還可以對所有的涉及業(yè)務的事件進行系統(tǒng)記錄，以確保所有事件，有據(jù)可查。通過報表，可以輕松統(tǒng)計銷售人員業(yè)績。

根據(jù)以上的產品功能分析，我們可以看出來，藍海卓越的廣電寬帶計費產品，配合中興M6000 寬帶接入服務器，不僅性能強勁，帶機量多，而且功能豐富，具備所有寬帶運營所需要的功能，做為廣電寬帶運營商，合理運用藍海卓越的計費產品和中興的M6000寬帶接入服務器，可以大幅提升公司的管理水平，從而減輕負擔，減少用戶投訴，真正把精力投入到開發(fā)客戶上去。

五、 本方案中主要應用技術介紹

EPON技術

EPON-基于以太網(wǎng)方式的無源光網(wǎng)絡。

EPON將以太網(wǎng)技術與PON技術有機的結合在一起,天生具有以太網(wǎng)的諸多優(yōu)勢，如技術簡單、成熟、良好的兼容性，產品價格便宜，性能價格比高等。

一個典型的EPON系統(tǒng)由OLT、ONU、ODN組成。OLT（OpticalLine Terminal）放在中心機房，ONU（Optical Network Unit）為用戶端設備。ODN（Optical Distributed Network）是光配線網(wǎng)，主要由一個或數(shù)個分光器（Splitter）來連接OLT和ONU，它的功能是分發(fā)下行數(shù)據(jù)并集中上行數(shù)據(jù)。

OLT既是一個交換機或路由器，又是一個多業(yè)務提供平臺，提供面向無源光纖網(wǎng)絡的光纖接口。OLT除了提供網(wǎng)絡集中和接入的功能外，還可以針對用戶的QoS／SLA的不同要求進行帶寬分配，網(wǎng)絡安全和管理配置。分光器是一個簡單設備，它不需要電源，可以置于全天候的環(huán)境中，一般典型的分光器的光分路數(shù)目為2、4、8、16或32，并可以多級連接。在EPON中，OLT到ONU間的距離最大可達20km。如下圖所示： 

EPON無源光網(wǎng)絡作為一種接入網(wǎng)技術，支持點到多點應用，其優(yōu)勢如下：

(1) 性價比高，維護簡單。EPON系統(tǒng)在傳輸途中不需電源，沒有電子部件，因此容易鋪設，基本不用維護，網(wǎng)絡可靠性高，長期運營成本和管理成本的節(jié)省很大。

(2) EPON系統(tǒng)對局端資源占用很少，模塊化程度高，系統(tǒng)初期投入低，擴展容易，投資回報率高；網(wǎng)絡的線路設備共享，光纖可沿途通過光分路器分支，節(jié)約光纜資源，系統(tǒng)經(jīng)濟性好。

(3) 具有點對多點的靈活組網(wǎng)能力,EPON 通過無源光分路器實現(xiàn)分支，光功率分配點可以隨網(wǎng)絡拓撲結構隨意放置，組網(wǎng)方式極其靈活。系統(tǒng)可實現(xiàn)樹型、星型和總線型多種組網(wǎng)結構。 

(4)帶寬分配靈活，提供非常高的帶寬，可達2G；提供各種QoS，各種服務有保證。

(5)EPON系統(tǒng)是面向未來的技術，容易擴展，易于升級，向寬帶過渡。大多數(shù)EPON系統(tǒng)都是一個多業(yè)務平臺，對于向全IP網(wǎng)絡過渡是一個很好的選擇。

EPON可以支持1.25Gbps對稱速率，將來速率還能升級到10Gbps 。Gbit/s速率的EPON系統(tǒng)也常被稱為GEPON。

PPPOE技術

全稱是Point to Point Protocol over Ethernet（基于局域網(wǎng)的點對點通訊協(xié)議），即基于以太網(wǎng)的PPP技術協(xié)議，這個協(xié)議是為了滿足越來越多的寬帶上網(wǎng)設備( 即 ADSL , 無線等 )和越來越快的網(wǎng)絡之間的通訊而最新制定開發(fā)的標準，它基于兩個廣泛接受的標準即：局域網(wǎng)Ethernet和PPP點對點撥號協(xié)議。對于最終用戶來說不需要用戶了解比較深的局域網(wǎng)技術只需要當作普通撥號上網(wǎng)就可以了，對于服務商來說在現(xiàn)有局域網(wǎng)基礎上不需要花費巨資來做大面積改造，設置IP地址綁定用戶等來支持專線方式。這就使得PPPoE 在寬帶接入服務中比其他協(xié)議更具有優(yōu)勢。因此逐漸成為寬帶上網(wǎng)的最佳選擇。 PPPoE的實質是以太網(wǎng)和撥號網(wǎng)絡之間的一個中繼協(xié)議，他繼承了以太網(wǎng)的快速和PPP撥號的簡單，用戶驗證，IP分配等優(yōu)勢。 

與傳統(tǒng)的接入方式相比，PPPOE具有較高的性能價格比，它在包括小區(qū)組網(wǎng)建設等一系列應用中被廣泛采用，目前流行的寬帶接入方式adsl就使用了pppoe協(xié)議。 

　　Modem接入技術面臨一些相互矛盾的目標，既要通過同一個用戶前置接入設備連接遠程的多個用戶主機，又要提供類似撥號一樣的接入控制，計費等功能，而且要盡可能地減少用戶的配置操作。 

PPPOE的目標就是解決上述問題，1998年后期問世的以太網(wǎng)上點對點協(xié)議（PPPoverEthernet）技術是由Redback網(wǎng)絡公司、客戶端軟件開發(fā)商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETFRFC的基礎上聯(lián)合開發(fā)的。通過把最經(jīng)濟的局域網(wǎng)技術－以太網(wǎng)和點對點協(xié)議的可擴展性及管理控制功能結合在一起，網(wǎng)絡服務提供商和電信運營商便可利用可靠和熟悉的技術來加速部署高速互聯(lián)網(wǎng)業(yè)務。它使服務提供商在通過數(shù)字用戶線、電纜調制解調器或無線連接等方式，提供支持多用戶的寬帶接入服務時更加簡便易行。同時該技術亦簡化了最終用戶在選擇這些服務時的配置操作。

PPPOE具備了以上這些特點，所以成為了當前寬帶接入的主流接入?yún)f(xié)議。

RADIUS 技術

AAA和Radius概述
　　AAA是驗證授權和記賬Authentication,Authorization,and Accounting 的簡稱。它是運行于NAS上的客戶端程序，它提供了一個用來對驗證、授權和記賬這三種安全功能進行配置的一致的框架。AAA的配置實際上是對網(wǎng)絡安全的一種管理，這里的網(wǎng)絡安全主要指訪問控制，包括哪些用戶可以訪問網(wǎng)絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網(wǎng)絡資源的用戶進行記賬。下面簡單介紹一下驗證, 授權,記賬的作用。
　　· 驗證(Authentication): 驗證用戶是否可以獲得訪問權可以選擇使用RADIUS協(xié)議
　　· 授權(Authorization) : 授權用戶可以使用哪些服務
　　· 記賬(Accounting) : 記錄用戶使用網(wǎng)絡資源的情況
　　· AAA的實現(xiàn)可采用RADIUS 協(xié)議RADIUS 是Remote Authentication Dial In User Service 的簡稱原來的初衷是用來管理使用串口和調制解調器的大量分散用戶。現(xiàn)在已經(jīng)遠不止這些應用了

Radius應用介紹

RADIUS業(yè)務復合典型的client/server模型。路由器或NAS 上運行的AAA程序對用戶來講為服務器端，對RADIUS服務器來講是作為客戶端。RADIUS通過建立一個唯一的用戶數(shù)據(jù)庫存儲用戶名用戶的密碼來進行驗證; 存儲傳遞給用戶的服務類型以及相應的配置信息來完成授權。當用戶上網(wǎng)時路由器決定對用戶采用何那種驗證方法。下面介紹兩種用戶與路由器之間(本地驗證)的驗證方法CHAP和PAP。
PAP ( Password Authentication Protocol )： 用戶以明文的形式把用戶名和他的密碼傳遞給路由器，NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗證通過,否則表明驗證未通過
CHAP Challenge Handshake Authentication Protocol：當用戶請求上網(wǎng)時，路由器產生一個16字節(jié)的隨機碼給用戶，用戶端得到這個包后使用自己獨用的設備或軟件對傳來的各域進行加密，生成一個response傳給NAS， NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫，得到和用戶端進行加密所用的一樣的密碼。然后根據(jù)原來的16字節(jié)的隨機碼進行加密，將其結果與Response作比較，如果相同表明驗證通過，如果不相同表明驗證失敗。
　　如果用戶配置了RADIUS驗證，而不是上面所采用的本地驗證，過程略有不同。 * 在端口上采用PAP驗證
　　用戶以明文的形式把用戶名和他的密碼傳遞給路由器，路由器把用戶名和加密過的密碼放到驗證請求包的相應屬性中，傳遞給RADIUS服務器，根據(jù)RADIUS服務器的返回結果來決定是否允許用戶上網(wǎng)。
* 在端口上采用CHAP驗證
　　當用戶請求上網(wǎng)時，路由器產生一個16字節(jié)的隨機碼給用戶，用戶端得到這個包后使用自己獨有的設備或軟件對傳來的各域進行加密，生成一個response傳給NAS。 NAS把傳回來的CHAP ID和Response分別作為用戶名和密碼，并把原來的16字節(jié)隨機碼傳給RADIUS服務器，RADIU根據(jù)用戶名在NAS端查找數(shù)據(jù)庫，得到和用戶端進行加密所用的一樣的密碼，然后根據(jù)傳來的16字節(jié)的隨機碼進行加密，將其結果與傳來的Password作比較，如果相同表明驗證通過，如果不相同，表明驗證失敗

Radius協(xié)議說明

RADIUS 協(xié)議的認證端口1812 計費端口1813。

由于TCP是必須成功建立連接后才能進行數(shù)據(jù)傳輸?shù)倪@種方式在有大量用戶使用的情況下實時性不好RADIUS承載在UDP上所以RADIUS要有重傳機制和備用服務器機制。

六、 小結

   NatShell了解，對于廣電運營商來說，網(wǎng)絡設備只是發(fā)展用戶的必要手段,因此效能及穩(wěn)定性都需要并重。所以我們的產品采用最強效的雙核64位處理器，提供各類需要的功能，高效的運算處理能力以及產品穩(wěn)定性。再加上歷經(jīng)不同應用測試改善的軟件，提供最穩(wěn)定的功能，讓運營商可以專心于業(yè)務開發(fā)，不用再為技術支持而傷腦筋。

同時，我們的產品也強調容易管理。中文配置畫面、遠端WEB管理功能，以及及時迅速的技術支持，都讓讓運營商安心地收取用戶的月費，不再怕訴怨的發(fā)生了。運行本套系統(tǒng)，用戶基本無投訴，網(wǎng)絡速度有極大提高，ARP等攻擊也完全不會再出現(xiàn)，網(wǎng)管人員的管理工作大大減輕。而且本套系統(tǒng)具備完善的權限管理功能,可以根據(jù)不同的管理員分配不同的權限。