在宽带接入网方面,目前国际上比较成熟的主流技术包括xDSL技术、HomePNA技术、光纤接入技术、Cable技术、无线宽带技术等,但是这些技术都存在着一个相同的问题:成本较高。由于基于以太网技术的宽带接入网提供给用户标准的以太网接口,用户不需要增加任何新的接口卡或协议软件,而且无论是局端网络设备还是用户端设备都比ADSL、CableModem等便宜很多。因此,基于以太网技术的宽带接入是一种十分廉价的宽带接入技术,基于以太网技术的宽带接入网将在以后的宽带IP网络接入中发挥重要作用。
由于宽带接入网是一个公用的网络环境,因此相对于传统以太网络而言,其要求有较大区别,主要反映在安全治理、用户治理、业务治理等方面。
安全治理
宽带接入网络与传统企业网络在对安全机制的要求方面有很大区别:传统企业网络的安全性侧重于防范外界攻击,常使用安装功能强大的防火墙方式以解决外网安全问题;宽带接入网把形形色色的社会用户连接于内部网中,所面对的安全威胁不仅来自于外网系统,更大的问题则来自网络内部系统的直接攻击。因此,社区网络对于安全机制的要求更加全面。
以太网中大量采用广播的方式实现用户之间的通信,目前,虽然交换机已得到广泛使用并为每个用户提供了专用的网络带宽,但它并没有缩减广播域的大小。对于小区来说,假如不采用适当技术,小区中任何一幢楼中的一台计算机发出的广播包会在整个小区中转发。在宽带接入网这样一个公用网络的环境中,保证用户的安全性是十分重要的。
1.VLAN的安全措施
传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第二层隔离开,可以防止任何恶意的行为和以太网的信息探听。
然而,这种给每个客户分配单一VLAN和IP子网的模式造成了扩展方面的局限。这些局限主要有以下几个方面:
每一个接入用户端口都需要对应到社区全网一个惟一的VLAN和一个惟一的IP子网;大量的全局VLAN和IP子网规划和配置工作给社区网络治理员带来巨大的压力。
VLAN的限制:随着接入用户的急剧增加,社区接入网络的VLAN资源存在上限;基于802.1q的VLAN标记在理论上其用户不能超过4095,实际使用中的接入级交换机和汇聚层级交换机所能支持的实际VLAN数目以及能在核心实现的三层路由接口数量都会大大低于理论值。
IP地址紧缺:每个VLAN对应一个IP子网,IP子网的划分势必造成较大的地址浪费。因此,可以针对每个用户群(如小区内一栋居民楼)分配一个VLAN。但在同一个VLAN内部还是存在广播的问题。PVLAN技术可以解决同一个VLAN内部的广播问题。
2.PVLAN技术
专用VLAN是第二层机制,在同一个VLAN中有两类不同安全级别的访问端口。与用户连接的端口可定义为专用端口(Privateport),它与汇聚层交换机接口相连的上连端口为混杂端口(Promioscuousport)。用户端口只能发送流量到上连端口,也只能检测从上连端口来的流量,用户端口之间在默认情况下由硬件进行安全隔离,不能进行通信。
专用VLAN的应用对于保证城域接入网络的数据通信的安全性非常有效。保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过上连TRUNK端口。这样即使在同一VLAN中的用户,相互之间也不会受到广播的影响。
用户治理
所谓用户治理指的是在用户进行通信时对用户进行认证、授权。用户治理技术的一个重要方面就是如何保证合法用户的正常使用和防止非法用户的入侵,因此需要对用户进行合法性认证,采用以下几种技术:
1.端口与MAC地址的绑定
交换机的端口连接到用户的网卡,每一个网卡都有一个全球惟一的48位MAC地址,任何用户申请开通上网业务时都需登记MAC地址,网络治理员注入系统数据库,并起用端口的安全特性。
每个端口可静态设置多个MAC地址,假如有非法MAC地址入侵,交换机会通过TRAP告警网络治理员。这种方式安全性高,但治理复杂。
2.限定端口同时连接的MAC数
此种方法不需要进行MAC地址和端口的静态绑定,只限制每个端口同时连接的MAC地址数量。
3.PPPoE
上述方法解决了用户数据的安全性问题,但是一方面它不灵活,治理上较为麻烦,另外,缺少对用户进行治理的手段,即无法对用户进行认证、授权。为了识别用户的合法性,可采用VLAN+PPPoE方式,PPP协议提供用户认证、授权、动态分配用户IP地址、基本统计等功能,可以解决用户数据的安全性问题。
业务治理
1.服务质量保证
由于话音、视频等实时业务是未来Internet上的重要业务,因此接入网必须为保证QoS提供一定手段,支持流量优先等级,以减少时延、抖动和丢包。目前城域网很难实现统一的治理,通过信令实现以RSVP协议为基础的QoS保证难以实现,同时,该种方式扩展性不好,不能很好地适应城域网规模。最有希望的方法是采用IETF制定的区分服务:接入交换机必须支持802.1q的流量优先级设置,对于汇聚层、骨干层的交换机,还需要支持服务类型(ToS)或DiffServ设置,支持利用ACL来设置基于端口或流量类型的流量优先等级。
2.带宽控制
为了保证各种业务的QoS,接入网需要提供一定的带宽控制能力,例如,保证用户最低接入速率、限制用户最高接入速率,从而支持对业务的QoS保证。
3.计费治理
对用户的计费目前常用的方法有:按用户流量计费、按用户连接时间计费、包月制。其中,前两种计费方式比较复杂,而且非技术因素较多。在一般的小区接入中,网络在建设初期采用包月制。
对于网络设备选型,应考虑到对未来各种收费模式的支持。对于汇聚层的设备,应能提供计费治理所需要的有关计费的信息,使计费系统能够按信息量、按连接时间、按流量类型等多种方式进行灵活计费。
4.网络治理
基于以太网技术的宽带接入网还应具有强大的网管功能。所有设备必须支持基于简单网络治理协议的设备治理,以及基于Web的图形用户界面。通过网管软件,通过中心控制点来进行配置治理、性能治理、故障治理和安全治理。
