摘 要 本文全面分析了寬帶IP城域網建設中需要考慮的主要技術問題,並針對這些問題提出了自己的觀點,為我國城域網的建設提供了有益的參考。
關鍵詞 城域網 用戶管理 信息安全 網絡管理
1 引言
——隨著因特網用戶數量的劇增、多媒體業務的不斷普及和信息流量的持續高速增長,利用PSTN網絡的傳統接入方式的缺陷越來越明顯,主要體現在,一方面對用刪網絡造成了巨大的壓力;另一方面由於提供的帶寬大低,限制了多媒體應用的進一步發展,降低了競爭力,因此,建設寬帶IP城域網,為用戶提供寬帶接入方式,已成為必然的發展趨勢,針對這種情況,本文全面分析了寬帶IP城域網建設過程中需要考慮的主要技術問題。
2 網絡分層
——寬帶IP城域網是根據業務發展和競爭的需要而建設的城市范圍內(可能包括所轄的縣區等)的寬帶多媒體通信網絡,是寬帶骨干網絡(如中國電信IP骨干網絡、聯通骨干ATM網絡、網通寬帶IP網絡等)在城市范圍內的延伸,並作為本地的公共信息服務平http://www.xsyzj.cn台組成部分,負責承載各種多媒體業務,為用戶提供各種接入方式,滿足政府部門、企事業單位、個人用戶對基於IP的各種多媒體業務的需求,因此,寬帶IP城域網必須是可管理和可擴展的電信運營網絡。
——眾所周知,可管理和可擴展的電信運營網絡肯定是分層網絡。目前一般是將城域網劃分為核心層、匯接層和接入層,對於規模不大的城域網,核心層與匯接層可以合在一起,以簡化網絡體系。但是,城域網的建設是一個漸進過程,網絡的不同層次可能由不同的投資者分別建設,同一個層次也可能由多個投資者分別建設,如果采用這種劃分方法,本文認為過於簡單,不能充分反映網絡建設的具體情況。因此,建議將城域網劃分為城域網城域部分和城域網城域接入部分。
——城域網城域部分為運營商網絡,由運營商統一規劃與建設,又可分為城域核心層和城域匯接層,城域核心層主要完成城域網內部信息的高速傳送與交換,實現與其它網絡的互聯互通,而城域匯接層主要完成信息的匯聚與分發。
——城域接入部分可能由運營商、ISP、企業、建築商以及物業管理部門建設,不僅僅是傳統意義上提供接入的部分,而且還可能需要向用戶提供本地業務。城域接入部分又分為接入匯接層和
用戶接入層,接入匯接層完成信息的匯接與分發,實現用戶管理,城域接入部分的業務提供、計費等功能,而用戶接入層為用戶提供具體的接入手段。
——可以看出,城域網建設最困難的地方在於城域接入部分,而電信運營商競爭的焦點也在於此,所以,要在競爭中占據優勢,電信運營商需要詳細分析城域接入部分的各種需求。
3 技術體制
——根據網絡的發展水平http://www.xsyzj.cn和網絡業務的不同,目前建設寬帶IP城域網主要有三種方式,即路由器方式(IP網絡),ATM交換機方式(AIM網絡)和多業務路由交換機方式(多業務網絡)。
——第一種方式面向目前網絡上占80%以上而且還將不斷劇增的數據流量,利用吉比特以太網技術、IP over SDH技術、IP over DWDM技術組建純IP技術的城域網,為用戶提供基於最好努力(Best effort)、不保證服務質量的服務。
——第二種方式是面向數據通信主要收入來源的專線與話音業務,采用統一的網絡支持DDN、FR、話音等傳統業務以及IP業務,為用戶提供按需分配網絡帶寬、保證服務質量的服務,其中,
支持IP業務可以采用IPOA、LANE、MPOA或VLAN技術實現。
——第三種方式采用路由器廠商與ATM交換機廠商都普遍看好的下一代因特網骨干網絡主流技術——MPLS技術,在網絡邊緣實現第三層靈活路由,在網絡核心實現第二層快速交換。目前實際應用中,主要是第二種方式的進一步演進,即將IP業務與ATM網絡無縫地結合在一起,使ATM網絡全網不再需要兩(電腦沒聲音)套地址,既能很好地支持DDN、FR、話音等傳統業務,也能夠很好地支持IP業務,按用戶需要的服務質量提供相應的各種服務。
——本文認為,在實際網絡建設中,目前可以考慮采用的主要是第一種方式與第三種方式,但采用哪一種應該根據網絡建設的目的、網絡上各種業務流量發展趨勢、經濟投資等因素來決定。總體來說,可以從兩(電腦沒聲音)個方面來進行考慮,一個方面是,如果網絡模型的業務流量就是以IP為核心的應用,則應該選擇第一種方式,而如果希望建設一個通用的傳送平http://www.xsyzj.cn台支持包括IP業務在內的各種業務,特別是數據業務主要收入來源的傳統數據業務,則應該首先考慮采用第三種方式。另一個方面是,在有條件的、IP業務量比較大的地區應該同時采用第一種方式和第三種方式,分別建設IP網絡和多業務網絡,以適應不同業務特點和業務發展需求,而在數據業務類型多而總量不大的地方,應采用第三種方式以滿足基本的業務需求,將來條件成熟後可以進一步考慮采用第一種方式將IP業務分離開來。另外,這兩(電腦沒聲音)種方式並不是要求完全獨立的,事實上,多業務網絡能夠為IP網絡提供接入功能和匯接功能,為用戶提供更加靈活的接入方式。
4 接入技術
——建設寬帶IP城域網的主要目的之一是為了能快速方便地為用戶提供寬帶接入服務,因此,為了盡快地擴大網絡覆蓋面,方便用戶的接入,每個電信運營商都根據自己的特點提出了自己的解決方案,如電信和聯通提出了利用FTTx+xDSL,FTTx+LAN、無線接入等方式,廣電提出了利用FTTx+HFC、FTTx+LAN等方式,其它新運營商提出了FTTx+LAN、無線接入等方式。其中,FTTx+LAN方式為每個電信運營商所看好,本文認為,這是因為,一方面,以太網技術是非常成熟的技術,應用非常普及和方便,價格也比較便宜;另一方面,伴隨著高速網絡建設浪潮,對信息化小區,商住大樓、學校以及大型企業單位、政府機構等高速網絡的建設和接入需求會急速增加,而這些用戶相對集中且接入端口很密集,可以通過LAN交換機為用戶提供高密度的網絡連接方案,從而能夠以最少的投資,最低的資費為用戶提供10 Mbit/100Mbit/s甚至1000 Mbit/s的寬帶接入,讓用戶享受到真正的寬帶網絡服務。這並不是說,這種方式就完美無缺了,要真的是這樣的話,也不錯,其它的方式也就不必發展了。事實上,可以想象,對於樓字和新建小區,布設五類線或超五類線是容易實現的,只要能夠與樓字的擁有者或小區的投資商合作,就能夠做到。而對於已建小區,是非常困難的,因為淮也不願已裝修好的房於再有所動作,此時,其它接入方式就可以各顯神通了。
5 用戶認證與接入
——運營商建設網絡的根本目的在於能夠通過網絡運營為用戶提供服務而獲取高額利潤,因此,必須對使用網絡的用戶按照一定的原則進行計費,而最簡單的計費方式莫過於采用包月制方式,但由於用戶的需求不一(如高速上網可能需要1Mbit/s帶寬,看MPEG II節目可能需要2Mbit/s帶寬,看MPEG II節目可能需要6Mbit/s帶寬),隨著競爭的加劇,這種方式將難以適應市場需求,因此網絡必須能夠按照用戶使用網絡資源的情況進行計費,要做到這一點,就必須首先能夠對使用網絡的用戶進行身份認證,以防止非法用戶的盜用。
——窄帶接入方式下利用PPP技術通過AAA服務器實現用戶的身份認證並分配IP地址,使得用戶能夠通過接入服務器接入網絡,進行信息的交互,而寬帶接入方式下,通過以太網交換機或路由器實現的網絡,並不提供相應的功能對用戶進行身份認證,因此,要做到這一點,必須引入有關技
術與相應的設備,如中興通訊公司的客戶管理系統,目前,與此有關的技術可以歸為兩(電腦沒聲音)類,本文稱為不需要嚴格認證的方法和需要嚴格認證的方法。
——5.1 不需要嚴格認證的方法
——不需要嚴格認證的方法是將用戶靜態配置的IP地址或者采用DHCP自動獲取的IP地址與用戶終端設備的MAC地址和基於端口的VLAN ID捆綁在一起,用戶一開機就自動接入到網絡中,不需要對用戶的身份進行認證,上述IP地址、MAC地址與VLAN ID的捆綁能夠有效地保證合法的終端才能接入網絡中,能夠確保用戶信息的安全性。不過,這種方法存在著一個嚴重的缺陷,即只是保證合法終端接入網絡,而不是保證合法用戶接入網絡,不管是集團用戶還是家庭用戶,對此都幾乎難以容忍,這直接導致了DHCP+的出現。而且,這種方式目前還不能做到按用戶進行計費,因此,本文認為,這種方式只能在網絡建設初期包月制情況下使用。
——5.2 需要嚴格認證的方法
——需要嚴格認證的方法解決了不需要嚴格認證的方法的缺點,能夠保證每一個網絡使用者都是合法的用戶,一個終端可以有多個不同的用戶,如果與中興通訊公司客戶管理系統一起使用,不同用戶還可以擁有訪問網絡資源的不同權限。目前,需要嚴格認證的方法又分為兩(電腦沒聲音)種,即PPPoE/A技術和DHCP+技術。
——(1)PPPoE/A技術
——PPPoE/A技術既能夠實現一個客戶端與多個遠程主機連接的功能,又能夠提供類似於PPP的訪問控制和計費功能。使用PPPoE/A技術,類似於使用點對點協議的撥號服務方式,每個主機使用自己的點對點協議棧,用戶使用他們所熟悉的撥號網絡用戶接口進行拔號,通過PPPoE/A技術,每個用戶可以有他自己的接入管理、計費和業務類型。
——PPPoE/A技術有IETF的RFC,技術與設備比較成熟,可以防止地址沖突與地址盜用,既可以按時長計費也可以按流量計費,能夠對特定用戶設置訪問列表過濾或防火牆功能,能夠對具體用戶訪問網絡的速率進行控制,能夠利用現有的用戶認證、管理和計費系統實現寬窄帶用戶的統一管理認證和計費,能夠方便地提供動態業務選擇特性,而這些都是DHCP+所不具備的,因此,本文認為,目前應該使用這種方法建設寬帶IP城域網。
——(2)DHCP+
——DHCP+是為了適應網絡發展的需要而對傳統的DHCP協議進行了改進,主要增加了認證功能,即DHCP服務器在將配置參數發給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務器進行認證,通過後才將配置信息發給客戶端,與PPPoE從