寬帶IP接入的相關(guān)技術(shù)

林丹琦

　　寬帶IP城域網(wǎng)的建設(shè)正處于穩(wěn)步發(fā)展時(shí)期，從最初的圈地到目前有序的網(wǎng)絡(luò)建設(shè)過(guò)程中，寬帶IP接入技術(shù)也在不斷地摸索發(fā)展，逐步適應(yīng)網(wǎng)絡(luò)的建設(shè)、維護(hù)、管理以及業(yè)務(wù)的開展等各種需要。本文主要論述寬帶IP城域網(wǎng)接入網(wǎng)的一些較新的關(guān)鍵技術(shù)。

　　1. 增強(qiáng)的組播功能

　　組播對(duì)于Internet的應(yīng)用而言，是一種非常有用的 技術(shù)，最終用戶可通過(guò)組播接收ISP或CSP提供的音頻、視頻等業(yè)務(wù)。目前寬帶城域網(wǎng)接入層一般采用路由交換機(jī)（或稱中心接入交換機(jī)）+以太網(wǎng)交換機(jī)（或稱樓道接入交換機(jī)）將Internet業(yè)務(wù)接入到住宅用戶、企業(yè)、學(xué)校等。為了節(jié)省組播數(shù)據(jù)流所占據(jù)的帶寬，在樓道接入交換機(jī)上設(shè)計(jì)了基于IGMP的探測(cè)技術(shù)，稱為IGMP Snooping，其目的是將上層路由交換機(jī)發(fā)送過(guò)來(lái)的單份組播數(shù)據(jù)流分發(fā)給多個(gè)用戶，如圖1所示。

　　在一般情況下，這種技術(shù)能夠?qū)崿F(xiàn)真正的組播，如圖1a所示。但是，在寬帶接入的應(yīng)用中，為了安全起見(jiàn)，需要使用VLAN做用戶的二層隔離，使得用戶之間的通信只能通過(guò)VLAN路由發(fā)生在中心接入交換機(jī)上。我們知道，VLAN路由需要為每個(gè)VLAN分配一個(gè)子網(wǎng)，這樣在中心交換機(jī)的一個(gè)端口上會(huì)存在多個(gè)IP interface，根據(jù)IGMP本身的定義，即使這些用戶點(diǎn)一套節(jié)目，也會(huì)被認(rèn)為屬于不同的接口而分發(fā)多次。因此，在以太網(wǎng)交換機(jī)的IGMP Snooping上做了一些改動(dòng)，將所有IGMP PDU放入一個(gè)缺省VLAN中，使得中心交換機(jī)認(rèn)為這些組播流只發(fā)生在一個(gè)IP interface上，這樣，就可以節(jié)省帶寬，實(shí)現(xiàn)真正意義的組播。

　　2. VLAN聚合

　　根據(jù)IPv4子網(wǎng)劃分概念，為了給用戶分配一個(gè)有效的IP地址，最多可以有30位掩碼（255.255.255.252），這樣一個(gè)子網(wǎng)中共有4個(gè)IP地址，其中一個(gè)為有限廣播地址，一個(gè)為保留地址，剩下的兩個(gè)地址分別為用戶主機(jī)IP地址和用戶網(wǎng)關(guān)IP地址。這樣計(jì)算下來(lái)，每個(gè)用戶實(shí)際占用了4個(gè)IP地址，造成IP地址空間的嚴(yán)重浪費(fèi)。

　　對(duì)此，提出了VLAN聚合的概念，即在以太網(wǎng)交換機(jī)上仍然為每個(gè)用戶劃分一個(gè)VLAN，但不再是每個(gè)用戶一個(gè)子網(wǎng)，而是給掛在同一臺(tái)交換機(jī)上的所有用戶劃分一個(gè)大的子網(wǎng)，且共用同一個(gè)網(wǎng)關(guān)地址。用戶之間的通信也不再使用VLAN路由，而是通過(guò)路由交換機(jī)上的ARP Server來(lái)實(shí)現(xiàn)。

　　ARP Server的工作原理為，路由交換機(jī)使用自身的MAC地址應(yīng)答來(lái)自用戶A的ARP請(qǐng)求，并轉(zhuǎn)發(fā)來(lái)自用戶A的IP數(shù)據(jù)包到用戶B，具體通信流程如圖2所示。對(duì)于屬于不同VLAN的用戶之間仍然采用VLAN路由進(jìn)行通信。

　　3. 集群管理

　　在寬帶城域網(wǎng)的接入網(wǎng)中，樓道接入交換機(jī)的配置大多相同，為了降低網(wǎng)絡(luò)管理員的配置、管理、維護(hù)的工作量，可以將一組樓道接入交換機(jī)看成一個(gè)集群管理域，網(wǎng)絡(luò)管理員只需要在中心機(jī)房使用一條命令就可同時(shí)配置多臺(tái)交換機(jī)。在這種管理模式下，也不需要為樓道交換機(jī)配置IP地址，在一定程度上節(jié)省了IP地址資源。

　　集群管理的實(shí)現(xiàn)分兩個(gè)部分：一個(gè)是安裝在主機(jī)上的圖形化管理軟件，該軟件的設(shè)計(jì)基于SNMP協(xié)議，管理員通過(guò)企業(yè)MIB操作設(shè)置/取消主設(shè)備，獲取主設(shè)備的拓?fù)鋱D并向主設(shè)備發(fā)送各種命令，如圖3所示；另外一個(gè)為集群管理二層協(xié)議（Cluster Management L2 Link Protocol），可簡(jiǎn)稱為C.Link協(xié)議，主要功能為基于MAC的拓?fù)浒l(fā)現(xiàn)以及對(duì)來(lái)自管理主機(jī)的命令進(jìn)行分解與執(zhí)行。下面介紹一下集群管理的二層協(xié)議功能。

　�。�1）基于MAC的拓?fù)浒l(fā)現(xiàn)

　　為了獲得準(zhǔn)確的拓?fù)浣Y(jié)構(gòu)，僅僅使用三層協(xié)議是不夠的，目前很多廠家提供的拓?fù)渥詣?dòng)發(fā)現(xiàn)功能基本上是基于SNMP、ICMP、Traceroute等三層IP數(shù)據(jù)包，而以太網(wǎng)交換機(jī)對(duì)這些包都是透明傳輸?shù)�，因而無(wú)法發(fā)現(xiàn)以太網(wǎng)交換機(jī)之間的物理連接情況。由于三層拓?fù)浒l(fā)現(xiàn)具有上述的局限性，因此定義了二層拓?fù)浞恋K協(xié)議，先由管理員指定主設(shè)備，然后由主設(shè)備發(fā)起拓?fù)洳樵兿�息，從設(shè)備標(biāo)記接收到消息的端口，在該端口發(fā)送"正在查詢"消息，并向其他端口發(fā)拓?fù)洳樵兿�息，如此傳遞，直到從設(shè)備不再接收到查詢應(yīng)答消息，此時(shí)，逐級(jí)向上傳遞拓?fù)湎�息。該算法遞歸查詢，可設(shè)置可查詢的最大級(jí)數(shù)（如5級(jí)）。

　�。�2）命令分解

　　主設(shè)備分解來(lái)自管理主機(jī)的集群管理命令（集群管理由基于CLI的字符串組成），根據(jù)存儲(chǔ)的從設(shè)備信息（主要是設(shè)備型號(hào)及其軟件版本）分解命令，用單播MAC包發(fā)送到各個(gè)從設(shè)備，從設(shè)備完成收到的命令后返回確認(rèn)消息。對(duì)于軟件升級(jí)應(yīng)先將新軟件傳到主設(shè)備上（可通過(guò)TFTP或xMODEM），再進(jìn)行升級(jí)。

　　4. 用戶認(rèn)證及計(jì)費(fèi)

　　目前Internet內(nèi)容繁多，但多為免費(fèi)業(yè)務(wù)，運(yùn)營(yíng)商還不能根據(jù)用戶訪問(wèn)的內(nèi)容進(jìn)行計(jì)費(fèi)。為了保證運(yùn)營(yíng)商的利益，促進(jìn)Internet內(nèi)容的發(fā)展，在城域網(wǎng)接入層提供用戶認(rèn)證和計(jì)費(fèi)服務(wù)。認(rèn)證及計(jì)費(fèi)的種類比較多，如PPPoE認(rèn)證、基于應(yīng)用層的認(rèn)證、基于IEEE 802.1x的端口認(rèn)證等。但是PPPoE的接入方式對(duì)組播的支持不好，已逐漸被另外兩種認(rèn)證方式所取代。

　�。�1）基于應(yīng)用層的認(rèn)證

　　目前寬帶接入使用較多的認(rèn)證為DHCP+Radius方式，即用戶在上網(wǎng)前必須登錄到某Web門戶網(wǎng)站，進(jìn)行用戶名以及口令的認(rèn)證，認(rèn)證通過(guò)后可訪問(wèn)Internet，并由后臺(tái)開始計(jì)費(fèi)，計(jì)費(fèi)方式分為包月制、按時(shí)長(zhǎng)計(jì)費(fèi)和按流量計(jì)費(fèi)等。這種認(rèn)證方式的優(yōu)點(diǎn)在于不需要安裝客戶端軟件，用戶只要打開IE就開始認(rèn)證。雖然這種方式簡(jiǎn)化了客戶端，但認(rèn)證流程變得復(fù)雜，并且在客戶端也造成了一些限制，如無(wú)法檢測(cè)客戶端是否使用了NAT或代理服務(wù)器等。因此，在Web認(rèn)證的基礎(chǔ)上做了進(jìn)一步的工作，簡(jiǎn)化了認(rèn)證流程，設(shè)計(jì)制作了客戶端軟件，該軟件使用方便，類似撥號(hào)方式接入，只要運(yùn)行該客戶端程序，就可在網(wǎng)管服務(wù)器后臺(tái)進(jìn)行用戶名、口令的驗(yàn)證。為了保證賬號(hào)的安全性，對(duì)用戶信息數(shù)據(jù)包進(jìn)行加密，維護(hù)了客戶的利益。該客戶端軟件可以檢測(cè)客戶端是否安裝了代理服務(wù)器或NAT等，如果安裝了，則無(wú)法進(jìn)行認(rèn)證。同時(shí)，客戶還可以即時(shí)查詢自己的賬號(hào)信息，接收來(lái)自網(wǎng)管中心的通知等。另外，客戶端軟件對(duì)于探測(cè)來(lái)說(shuō)也是非常必要的。

　�。�2）基于IEEE 802.1x的認(rèn)證EAPOL

　　EAPOL即IEEE 802.1x協(xié)議中定義的EAP en*9鄄capsulation Over LANs，可以用于802.3/Ethernet、Token Ring/FDDI等不同的網(wǎng)絡(luò)，采用以太網(wǎng)封裝格式的EAPOL，實(shí)現(xiàn)對(duì)交換機(jī)端口轉(zhuǎn)發(fā)數(shù)據(jù)包功能的控制。根據(jù)IEEE 802.1x中的定義，以太網(wǎng)交換機(jī)的每個(gè)端口被分為兩個(gè)邏輯端口，分別是控制口和數(shù)據(jù)口，在初始狀態(tài)下，控制口始終是使能的，而數(shù)據(jù)口被禁止訪問(wèn)�？刂瓶谥唤邮漳撤N特殊的組播MAC包，而EAPOL控制報(bào)文就被封裝到該組播MAC包中，并送至交換機(jī)的CPU。CPU對(duì)EAPOL包進(jìn)行解析，提取用戶名、口令等信息并封裝為Radius數(shù)據(jù)包發(fā)送到Radius服務(wù)器進(jìn)行認(rèn)證。所以支持EAPOL認(rèn)證的以太網(wǎng)交換機(jī)必須具備部分三層功能。用戶認(rèn)證通過(guò)后，數(shù)據(jù)端口被開放，用戶即可訪問(wèn)外部網(wǎng)絡(luò)。在實(shí)際應(yīng)用中，一個(gè)端口可能連接了若干臺(tái)主機(jī)，在這種情況下，只進(jìn)行端口認(rèn)證就無(wú)法控制多個(gè)用戶的訪問(wèn)，因此要采用端口的MAC地址綁定功能，即只允許通過(guò)認(rèn)證的計(jì)算機(jī)進(jìn)行正常通信。除此之外，EAPOL客戶端程序也支持上面提到的代理、NAT檢測(cè)、賬號(hào)信息自查、接收網(wǎng)管通告等功能。

　　（3）探測(cè)

　　上述兩類認(rèn)證方式，對(duì)于運(yùn)營(yíng)商和用戶來(lái)說(shuō)，計(jì)費(fèi)的準(zhǔn)確性非常重要。IP技術(shù)是無(wú)連接的，本身并不提供完善的計(jì)費(fèi)功能，不像傳統(tǒng)的面向連接的電信技術(shù)（如程控交換機(jī)）帶有完善的計(jì)費(fèi)系統(tǒng)，而且無(wú)法實(shí)時(shí)獲取用戶在線/離線的狀態(tài)，因此有必要為此定義用戶探測(cè)機(jī)制：用戶認(rèn)證通過(guò)后，每隔一段時(shí)間向交換機(jī)發(fā)送探測(cè)報(bào)文，并接收來(lái)自交換機(jī)的應(yīng)答報(bào)文。當(dāng)交換機(jī)連續(xù)3次收不到探測(cè)報(bào)文時(shí)，即認(rèn)為用戶已異常離線，通知Radius服務(wù)器停止計(jì)費(fèi)；當(dāng)客戶端連續(xù)3次收不到探測(cè)報(bào)文的應(yīng)答包時(shí)，即認(rèn)為網(wǎng)絡(luò)連接出現(xiàn)故障，提示用戶離線。另外，交換機(jī)還定時(shí)備份用戶信息，供網(wǎng)絡(luò)出現(xiàn)異常時(shí)重啟使用。有了這些完備的探測(cè)技術(shù)，方可同時(shí)保證運(yùn)營(yíng)商和用戶的利益。

　　綜上所述，這幾種技術(shù)對(duì)于寬帶IP城域網(wǎng)的業(yè)務(wù)建設(shè)提供了平臺(tái)：增強(qiáng)的組播功能可以避免不必要的組播流；VLAN聚合在IP地址空間緊缺的今天提供了解決方案；集群管理節(jié)省了網(wǎng)絡(luò)管理員的工作量，方便了網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的維護(hù)及管理；完善的用戶認(rèn)證、計(jì)費(fèi)系統(tǒng)為收費(fèi)業(yè)務(wù)的開展奠定了基礎(chǔ)。

摘自　中國(guó)電信網(wǎng)