寬帶以太網(wǎng)接入技術(shù)分析

■網(wǎng)捷網(wǎng)絡(luò)公司 彭雋
　　在寬帶接入網(wǎng)方面，目前國際上比較成熟的主流技術(shù)包括xDSL技術(shù)、HomePNA技術(shù)、光纖接入技術(shù)、Cable技術(shù)、無線寬帶技術(shù)等，但是這些技術(shù)都存在著一個(gè)相同的問題：成本較高。由于基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)提供給用戶標(biāo)準(zhǔn)的以太網(wǎng)接口，用戶不需要增加任何新的接口卡或協(xié)議軟件，而且無論是局端網(wǎng)絡(luò)設(shè)備還是用戶端設(shè)備都比ADSL、Cable Modem等便宜很多。因此，基于以太網(wǎng)技術(shù)的寬帶接入是一種十分廉價(jià)的寬帶接入技術(shù)，基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)將在以后的寬帶IP網(wǎng)絡(luò)接入中發(fā)揮重要作用。



　　由于寬帶接入網(wǎng)是一個(gè)公用的網(wǎng)絡(luò)環(huán)境，因此相對(duì)于傳統(tǒng)以太網(wǎng)絡(luò)而言, 其要求有較大區(qū)別，主要反映在安全管理、用戶管理、業(yè)務(wù)管理等方面。



安全管理



　　寬帶接入網(wǎng)絡(luò)與傳統(tǒng)企業(yè)網(wǎng)絡(luò)在對(duì)安全機(jī)制的要求方面有很大區(qū)別: 傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全性側(cè)重于防范外界攻擊，常使用安裝功能強(qiáng)大的防火墻方式以解決外網(wǎng)安全問題; 寬帶接入網(wǎng)把形形色色的社會(huì)用戶連接于內(nèi)部網(wǎng)中，所面對(duì)的安全威脅不僅來自于外網(wǎng)系統(tǒng)，更大的問題則來自網(wǎng)絡(luò)內(nèi)部系統(tǒng)的直接攻擊。因此，社區(qū)網(wǎng)絡(luò)對(duì)于安全機(jī)制的要求更加全面。



　　以太網(wǎng)中大量采用廣播的方式實(shí)現(xiàn)用戶之間的通信，目前, 雖然交換機(jī)已得到廣泛使用并為每個(gè)用戶提供了專用的網(wǎng)絡(luò)帶寬，但它并沒有縮減廣播域的大小。對(duì)于小區(qū)來說，如果不采用適當(dāng)技術(shù)，小區(qū)中任何一幢樓中的一臺(tái)計(jì)算機(jī)發(fā)出的廣播包會(huì)在整個(gè)小區(qū)中轉(zhuǎn)發(fā)。在寬帶接入網(wǎng)這樣一個(gè)公用網(wǎng)絡(luò)的環(huán)境中，保證用戶的安全性是十分重要的。



1. VLAN的安全措施



　　傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第二層隔離開，可以防止任何惡意的行為和以太網(wǎng)的信息探聽。



　　然而，這種給每個(gè)客戶分配單一VLAN和 IP子網(wǎng)的模式造成了擴(kuò)展方面的局限。這些局限主要有以下幾個(gè)方面：




　　每一個(gè)接入用戶端口都需要對(duì)應(yīng)到社區(qū)全網(wǎng)一個(gè)惟一的VLAN和一個(gè)惟一的IP子網(wǎng)；大量的全局VLAN和IP子網(wǎng)規(guī)劃和配置工作給社區(qū)網(wǎng)絡(luò)管理員帶來巨大的壓力。



　　VLAN 的限制 ：隨著接入用戶的急劇增加，社區(qū)接入網(wǎng)絡(luò)的VLAN資源存在上限；基于802.1q的VLAN標(biāo)記在理論上其用戶不能超過4095，實(shí)際使用中的接入級(jí)交換機(jī)和匯聚層級(jí)交換機(jī)所能支持的實(shí)際VLAN數(shù)目以及能在核心實(shí)現(xiàn)的三層路由接口數(shù)量都會(huì)大大低于理論值。



　　IP地址緊缺：每個(gè)VLAN 對(duì)應(yīng)一個(gè)IP 子網(wǎng), IP子網(wǎng)的劃分勢必造成較大的地址浪費(fèi)。因此, 可以針對(duì)每個(gè)用戶群（如小區(qū)內(nèi)一棟居民樓）分配一個(gè)VLAN。但在同一個(gè)VLAN內(nèi)部還是存在廣播的問題。PVLAN技術(shù)可以解決同一個(gè)VLAN內(nèi)部的廣播問題。


2. PVLAN技術(shù)



　　專用VLAN是第二層機(jī)制，在同一個(gè)VLAN中有兩類不同安全級(jí)別的訪問端口。與用戶連接的端口可定義為專用端口(Private port)，它與匯聚層交換機(jī)接口相連的上連端口為混雜端口(Promioscuous port)。用戶端口只能發(fā)送流量到上連端口，也只能檢測從上連端口來的流量, 用戶端口之間在默認(rèn)情況下由硬件進(jìn)行安全隔離，不能進(jìn)行通信。



　　專用VLAN的應(yīng)用對(duì)于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性非常有效。保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過上連TRUNK端口。這樣即使在同一VLAN中的用戶，相互之間也不會(huì)受到廣播的影響。



用戶管理



　　所謂用戶管理指的是在用戶進(jìn)行通信時(shí)對(duì)用戶進(jìn)行認(rèn)證、授權(quán)。用戶管理技術(shù)的一個(gè)重要方面就是如何保證合法用戶的正常使用和防止非法用戶的入侵，因此需要對(duì)用戶進(jìn)行合法性認(rèn)證，采用以下幾種技術(shù)：



1. 端口與MAC地址的綁定



　　交換機(jī)的端口連接到用戶的網(wǎng)卡，每一個(gè)網(wǎng)卡都有一個(gè)全球惟一的48位MAC地址，任何用戶申請(qǐng)開通上網(wǎng)業(yè)務(wù)時(shí)都需登記MAC地址，網(wǎng)絡(luò)管理員注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。



　　每個(gè)端口可靜態(tài)設(shè)置多個(gè)MAC地址，如果有非法MAC地址入侵，交換機(jī)會(huì)通過TRAP告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。



2. 限定端口同時(shí)連接的MAC數(shù)



　　此種方法不需要進(jìn)行MAC地址和端口的靜態(tài)綁定，只限制每個(gè)端口同時(shí)連接的MAC地址數(shù)量。



3. PPPoE



　　上述方法解決了用戶數(shù)據(jù)的安全性問題，但是一方面它不靈活, 管理上較為麻煩, 另外,缺少對(duì)用戶進(jìn)行管理的手段，即無法對(duì)用戶進(jìn)行認(rèn)證、授權(quán)。為了識(shí)別用戶的合法性,可采用VLAN＋PPPoE方式,PPP協(xié)議提供用戶認(rèn)證、授權(quán)、動(dòng)態(tài)分配用戶IP地址、基本統(tǒng)計(jì)等功能, 可以解決用戶數(shù)據(jù)的安全性問題。



業(yè)務(wù)管理



1. 服務(wù)質(zhì)量保證



　　由于話音、視頻等實(shí)時(shí)業(yè)務(wù)是未來Internet上的重要業(yè)務(wù)，因此接入網(wǎng)必須為保證QoS提供一定手段，支持流量優(yōu)先等級(jí), 以減少時(shí)延、抖動(dòng)和丟包。目前城域網(wǎng)很難實(shí)現(xiàn)統(tǒng)一的管理,通過信令實(shí)現(xiàn)以RSVP協(xié)議為基礎(chǔ)的QoS保證難以實(shí)現(xiàn),同時(shí),該種方式擴(kuò)展性不好,不能很好地適應(yīng)城域網(wǎng)規(guī)模。最有希望的方法是采用IETF制定的區(qū)分服務(wù): 接入交換機(jī)必須支持802.1q的流量優(yōu)先級(jí)設(shè)置, 對(duì)于匯聚層、骨干層的交換機(jī),還需要支持服務(wù)類型（ToS）或DiffServ設(shè)置，支持利用ACL來設(shè)置基于端口或流量類型的流量優(yōu)先等級(jí)。



2. 帶寬控制



　　為了保證各種業(yè)務(wù)的QoS，接入網(wǎng)需要提供一定的帶寬控制能力，例如，保證用戶最低接入速率、限制用戶最高接入速率，從而支持對(duì)業(yè)務(wù)的QoS保證。



3. 計(jì)費(fèi)管理



　　對(duì)用戶的計(jì)費(fèi)目前常用的方法有：按用戶流量計(jì)費(fèi)、按用戶連接時(shí)間計(jì)費(fèi)、包月制。其中，前兩種計(jì)費(fèi)方式比較復(fù)雜，而且非技術(shù)因素較多。在一般的小區(qū)接入中，網(wǎng)絡(luò)在建設(shè)初期采用包月制。



　　對(duì)于網(wǎng)絡(luò)設(shè)備選型, 應(yīng)考慮到對(duì)未來各種收費(fèi)模式的支持。對(duì)于匯聚層的設(shè)備, 應(yīng)能提供計(jì)費(fèi)管理所需要的有關(guān)計(jì)費(fèi)的信息，使計(jì)費(fèi)系統(tǒng)能夠按信息量、按連接時(shí)間、按流量類型等多種方式進(jìn)行靈活計(jì)費(fèi)。



4. 網(wǎng)絡(luò)管理


　　基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)還應(yīng)具有強(qiáng)大的網(wǎng)管功能。所有設(shè)備必須支持基于簡單網(wǎng)絡(luò)管理協(xié)議的設(shè)備管理，以及基于Web的圖形用戶界面。通過網(wǎng)管軟件, 通過中心控制點(diǎn)來進(jìn)行配置管理、性能管理、故障管理和安全管理。


摘自《計(jì)算機(jī)世界報(bào) 第11期D29》