面向FTTH的EPON系統(tǒng)應(yīng)用與管理
近年來,隨著Internet的普及和寬帶應(yīng)用的發(fā)展,特別是一些“帶寬殺手”應(yīng)用的不斷涌現(xiàn),使得接入網(wǎng)帶寬資源日益“捉襟見肘”,為了徹底解決接入網(wǎng)的帶寬瓶頸,光纖到戶(FTTH)這個(gè)一直以來作為接入網(wǎng)發(fā)展的最終理想,已經(jīng)具有了提前實(shí)現(xiàn)的迫切需求和可能。EPON是基于千兆以太網(wǎng)的無源光網(wǎng)絡(luò)技術(shù),繼承了以太網(wǎng)的低成本和易用性以及光網(wǎng)絡(luò)的高帶寬,是實(shí)現(xiàn)FTTH眾多技術(shù)中“性價(jià)比”最高的一種。隨著EPON國際標(biāo)準(zhǔn)――IEEE802.3ah在2004年的正式發(fā)布,EPON的產(chǎn)業(yè)聯(lián)盟已經(jīng)吸引了眾多廠商的積極參與,從EPON的核心芯片、光模塊到系統(tǒng),EPON的產(chǎn)業(yè)鏈已經(jīng)日趨成熟。
2.面向FTTH的EPON系統(tǒng)
首先,面向FTTH的EPON系統(tǒng)中用戶側(cè)設(shè)備的用戶接口種類要豐富和帶寬要大。在光纖到戶的情況下,用戶的業(yè)務(wù)需求已經(jīng)不再滿足于簡單的上網(wǎng),而是變成了集數(shù)據(jù)、語音和視頻業(yè)務(wù)于一體的綜合業(yè)務(wù)接入需求。這也正是推動(dòng)“三網(wǎng)融合”最重要的驅(qū)動(dòng)力。用戶需求多樣化帶來的最主要變化之一就是對帶寬需要量的大大增加。以目前IPTV需要帶寬為2Mbit/s,一路高清電視的帶寬為6-8Mbit/s來計(jì)算,每個(gè)用戶( ONU)如果要同時(shí)支持2-3個(gè)視頻流(對應(yīng)2-3個(gè)電視終端),再加上常規(guī)的上網(wǎng)帶寬,則需要帶寬至少要在20Mbit/s以上。這是現(xiàn)在的ADSL所無法滿足的,即使采用ADSL+或VDSL技術(shù)也只能在短距條件下達(dá)到這樣的下行帶寬水平,還要付出線路改造的成本。因此,ONU側(cè)的基本用戶接口是10/100M兼容的以太網(wǎng)接口,對于帶寬有更高需求的用戶,這個(gè)用戶接口也可以方便的升級到10/100/1000M兼容的以太網(wǎng)接口。這個(gè)接口即可完成IPTV業(yè)務(wù)、IP電話機(jī)和PC的接入。除了基本接口,對于使用普通話機(jī)的用戶,ONU應(yīng)提供一個(gè)POTS口。而對于采用“視頻覆蓋”技術(shù)傳輸有限電視信號的解決方案,ONU再增加一個(gè)有線電視信號的接口即可。總之,ONU的下面將是一個(gè)透過智能網(wǎng)關(guān)連接的家庭網(wǎng)絡(luò),用戶通過EPON系統(tǒng)帶來的高帶寬,就可以享受到家庭網(wǎng)絡(luò)信息化帶來的各種生活上的便利。
其次,局端設(shè)備的單個(gè)PON接口可支持的遠(yuǎn)端用戶側(cè)設(shè)備數(shù)量要多。目前,我國FTTH主要用戶是城市住宅小區(qū)的住戶,其突出特點(diǎn)是:住戶密度高,單一住宅小區(qū)一般有500―3000住戶。從技術(shù)上,EPON系統(tǒng)的分路比完全可以做到1:128,即一個(gè)PON端口帶128個(gè)ONU。EPON的控制協(xié)議完全可以支持更多的ONU。目前傳輸距離和分路比主要是受光模塊性能指標(biāo)的限制,隨著光模塊技術(shù)的進(jìn)步,這一目標(biāo)是能夠?qū)崿F(xiàn)的。相對于目前1:32的分路比(可支持10-20公里的傳輸距離),面向FTTH的EPON設(shè)備將是支持高分路比的設(shè)備,每線成本也隨之降低。那時(shí),如果要完全覆蓋一個(gè)3000戶左右的住宅小區(qū),在局端就只需要不到30個(gè)PON接口堆疊在一起,大大降低了工程開通和維護(hù)的復(fù)雜度。
最后,在面向FTTH應(yīng)用的EPON系統(tǒng)中,局端設(shè)備(OLT)的集成度要高。表現(xiàn)為PON端口的密度增大,OLT通過增加PON端口的數(shù)量來靈活地?cái)U(kuò)容以支持更多用戶。PON端口為單纖雙向,一個(gè)PON接口盤出2個(gè)PON端口將是很容易實(shí)現(xiàn)的,因此,一個(gè)PON接口盤的用戶數(shù)將可以達(dá)到256個(gè)。相對于目前一個(gè)ADSL用戶盤的容納32個(gè)用戶的水平,面向FTTH的EPON系統(tǒng)在用戶接入的密度上也具有優(yōu)勢。
3.安全管理
在復(fù)雜的接入網(wǎng)環(huán)境中,有效保證系統(tǒng)和用戶數(shù)據(jù)安全,是運(yùn)營商和用戶越來越關(guān)心的問題。EasyPathEPON在設(shè)計(jì)上也進(jìn)行了充分的考慮。
首先,對用戶數(shù)據(jù)安全的保護(hù)。用戶數(shù)據(jù)安全的威脅主要來自PON內(nèi)部用戶之間,包括內(nèi)容監(jiān)聽和主動(dòng)攻擊等形式。由于EPON下行方向的數(shù)據(jù)采取廣播形式,每個(gè)ONU能接收到所有的下行數(shù)據(jù),802.3ah標(biāo)準(zhǔn)中為每個(gè)連接設(shè)定LLID邏輯鏈路標(biāo)識,每個(gè)ONU只能接收帶有屬于自己的LLID的數(shù)據(jù)包,其余的數(shù)據(jù)包丟棄不再轉(zhuǎn)發(fā)。但是,LLID主要是為了區(qū)分不同連接而設(shè)定的,ONU側(cè)如果只是簡單根據(jù)LLID進(jìn)行過濾很顯然還是不夠的,因?yàn)閭魉偷氖菢?biāo)準(zhǔn)的以太網(wǎng)幀,所以某個(gè)ONU用戶技術(shù)上完全可以不區(qū)分LLID,而獲取非本ONU的信息,用戶信息的私密性受到威脅,這顯然是用戶所不愿看到的。為了隔離用戶信息,保證每個(gè)ONU數(shù)據(jù)的私密性,就需要在下行方向?qū)γ總€(gè)ONU的數(shù)據(jù)進(jìn)行加密。802.3ah標(biāo)準(zhǔn)中建議采用高級加密標(biāo)準(zhǔn)(AES)算法在物理層實(shí)現(xiàn)用戶信息的加密。經(jīng)過AES算法加密的用戶數(shù)據(jù)有效地降低了信息泄露的可能性,但是如果EPON是一個(gè)簡單的二層交換系統(tǒng),用戶的關(guān)鍵信息,如MAC地址、IP地址等,仍然可以通過監(jiān)聽鏈路層的廣播消息而獲得,這些信息都可能被網(wǎng)絡(luò)黑客用于實(shí)施各種攻擊。因此,要更好地保障用戶信息的安全,還要考慮鏈路層的隔離措施,基于PrivateVLAN的二層隔離方案就是一個(gè)很好的選擇。至于來自于EPON系統(tǒng)外的安全威脅,就需要用戶采取其他措施進(jìn)行防范了。
其次,對EPON系統(tǒng)自身安全的保護(hù)。因?yàn)?,一旦EPON網(wǎng)絡(luò)本身的安全受到威脅,那么受到影響的就將是系統(tǒng)內(nèi)的全體用戶。考慮EPON設(shè)備的特點(diǎn),在以下方面需要做出防范:
MAC地址表溢出。MAC地址表是實(shí)現(xiàn)以太網(wǎng)幀正確轉(zhuǎn)發(fā)的基礎(chǔ),如果惡意用戶通過大量使用假冒的地址使MAC地址表溢出,將造成正常數(shù)據(jù)業(yè)務(wù)的中斷。因此,在FTTH的應(yīng)用中,要限制用戶端口的MAC地址數(shù)量,或者干脆直接將用戶的一個(gè)MAC地址和端口綁定。這兩種辦法都可以防止MAC地址表的溢出,但從便于維護(hù)的角度來說,使用第一種方式會更好一些。
上行系統(tǒng)控制幀假冒。如果用戶能夠從用戶接口發(fā)送系統(tǒng)的控制幀,如多點(diǎn)控制協(xié)議(MPCP)幀或維護(hù)管理(OAM)幀進(jìn)入系統(tǒng),就會干擾系統(tǒng)的正常運(yùn)行,所以一般需要在系統(tǒng)的用戶接口處對系統(tǒng)控制幀進(jìn)行過濾,濾除侵入系統(tǒng)的“假冒”控制幀。
通過對EPON系統(tǒng)面臨的安全威脅的分析,并對比已有的解決方案,我們認(rèn)為EPON系統(tǒng)和ADSL接入在安全性方面是等價(jià)的。由于采用了AES加密算法,甚至在安全方面還要優(yōu)于FTTx+LAN的接入方式。
4.用戶管理
面向住宅小區(qū)的寬帶接入系統(tǒng),由于大量用戶的接入需要管理和計(jì)費(fèi),因此支持認(rèn)證、授權(quán)、計(jì)費(fèi)(AAA)功能也是EPON系統(tǒng)必須考慮的,具體為:
認(rèn)證(Authentication):驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。
授權(quán)(Authorization):依據(jù)認(rèn)證結(jié)果向用戶開放網(wǎng)絡(luò)服務(wù)。
計(jì)費(fèi)(Accounting):記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量,并提供給計(jì)費(fèi)系統(tǒng)。
AAA的功能不僅可以有效地增強(qiáng)網(wǎng)絡(luò)的安全,防止非法用戶進(jìn)入網(wǎng)絡(luò),而且是使網(wǎng)絡(luò)具備“可運(yùn)營、可管理和可增值”能力的重要手段。比如,提供靈活的計(jì)費(fèi)方式(如時(shí)長、流量、預(yù)付費(fèi)、費(fèi)率切換、費(fèi)率折扣、實(shí)時(shí)計(jì)費(fèi)、區(qū)分業(yè)務(wù)計(jì)費(fèi)等),提供對增值業(yè)務(wù)與寬帶網(wǎng)絡(luò)價(jià)值鏈的全方位支持等。
4.1EPON的AAA系統(tǒng)構(gòu)成
EPON系統(tǒng)是一個(gè)分布式的以太網(wǎng)接入設(shè)備,其基本功能主要包括二層的以太網(wǎng)交換。而802.1x的認(rèn)證體系正是基于端口認(rèn)證的二層協(xié)議,與EPON結(jié)合可以充分發(fā)揮其簡單高效的優(yōu)勢。這是由于802.1x在接入端口就將業(yè)務(wù)流和認(rèn)證流分離,避免了給認(rèn)證者帶來處理能力上的壓力,實(shí)現(xiàn)更加簡單,消除了可能存在的性能瓶頸。802.1x依托EPON的匯聚能力,可以將眾多的認(rèn)證點(diǎn)的信息匯聚后再傳遞給認(rèn)證服務(wù)器,在減小認(rèn)證服務(wù)器并發(fā)連接數(shù)的同時(shí),也增加了服務(wù)器同時(shí)管理用戶的數(shù)量。這也體現(xiàn)了認(rèn)證邊緣化、管理集中化的趨勢。EPON采用802.1x的認(rèn)證框架,可以實(shí)現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容,同時(shí)由于采用EAP(擴(kuò)展認(rèn)證協(xié)議)認(rèn)證方式,其擴(kuò)展性也得到很好的兼顧。隨著802.1x的發(fā)展和完善,EPON的認(rèn)證手段也將不斷完善。正是基于以上考慮,EasyPathEPON系統(tǒng)將802.1x作為自己的首選認(rèn)證方式。EPON的AAA系統(tǒng)框圖如下所示。
申請者是安裝在用戶PC上的客戶端軟件,WindowsXP系統(tǒng)自帶了802.1x的客戶端,易于使用。如果用戶沒有PC,或者不想使用客戶端軟件,那么在ONU上有申請者代理軟件同樣可以實(shí)現(xiàn)認(rèn)證過程。用戶從服務(wù)提供商處申請開通業(yè)務(wù)的時(shí)候,服務(wù)提供者在給該用戶使用的ONU上寫入該用戶的身份識別信息。只要該ONU處于工作狀態(tài),該用戶申請的業(yè)務(wù)即被授權(quán)。這種情況比較適合簡單的包月計(jì)費(fèi)的業(yè)務(wù)。
認(rèn)證者系統(tǒng)是EPON需要實(shí)現(xiàn)的重要功能。ONU側(cè)的認(rèn)證代理模塊實(shí)現(xiàn)對受控端口的控制,同時(shí)將分離出來的認(rèn)證流在ONU和OLT之間傳送。該模塊還可以完成用戶設(shè)備(PC機(jī))在線狀態(tài)的監(jiān)測,發(fā)現(xiàn)異常下線的情況及時(shí)上報(bào)OLT。
OLT側(cè)主要包括用戶管理模塊、PAE模塊、后臺任務(wù)模塊和RADIUS客戶端模塊。用戶管理模塊主要用于認(rèn)證消息的分發(fā)和維護(hù)在線用戶的數(shù)據(jù)結(jié)構(gòu)。PAE模塊和后臺任務(wù)實(shí)現(xiàn)認(rèn)證者狀態(tài)機(jī)的主體部分。RADIUS客戶端模塊負(fù)責(zé)收集認(rèn)證者實(shí)體需要與認(rèn)證服務(wù)器交互的消息,轉(zhuǎn)換為RADIUS協(xié)議幀后與認(rèn)證服務(wù)器通信。OLT強(qiáng)大的軟件處理能力和實(shí)時(shí)嵌入式操作系統(tǒng)為支持PON系統(tǒng)多用戶并發(fā)認(rèn)證和在線用戶的維護(hù)提供了保障。
運(yùn)營商一般會建自己的認(rèn)證服務(wù)器和計(jì)費(fèi)平臺,只要是基于RADIUS協(xié)議,EPON系統(tǒng)就可以無縫接入,構(gòu)成完整的AAA系統(tǒng)。
4.2認(rèn)證
EAP可以允許認(rèn)證者和申請者之間采用靈活的方案進(jìn)行認(rèn)證,并且對將來出現(xiàn)的更先進(jìn)、合理的認(rèn)證技術(shù)具有很好的兼容性。EAP的這些特性主要通過擴(kuò)展EAP中廠家定義的“EAP類型”域?qū)崿F(xiàn),“EAP類型”域中定義的認(rèn)證類型可以滿足不同層次的安全需要。目前可以采用的EAP類型有包括PAP、MD5-challenge、One-TimePassword(OTP)、TLS等等。
4.3授權(quán)
認(rèn)證成功以后,認(rèn)證服務(wù)器會將該用戶的信息傳遞給認(rèn)證者系統(tǒng)。EPON的認(rèn)證者系統(tǒng)除了將受控端口閉合,允許用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)等標(biāo)準(zhǔn)功能以外,還有一些針對EPON而言更重要的事情要做:首先,根據(jù)用戶申請的帶寬大小,將初始狀態(tài)的默認(rèn)帶寬修改為用戶可以得到的實(shí)際帶寬值。由于EPON的動(dòng)態(tài)帶寬(DBA)機(jī)制,用戶可以獲得的帶寬是一個(gè)保證帶寬加上網(wǎng)絡(luò)相對空閑時(shí)的部分剩余帶寬。其次,根據(jù)用戶申請的業(yè)務(wù)種類,為用戶配置業(yè)務(wù)端口,同時(shí)根據(jù)協(xié)議類型在ONU處劃分VLAN,以便不同業(yè)務(wù)數(shù)據(jù)的統(tǒng)計(jì)和匯聚。再次,根據(jù)用戶的QoS級別,在OLT側(cè)為用戶分配不同的優(yōu)先級隊(duì)列。最后,如果運(yùn)營商需要保障用戶端到端的QoS等級,那么還可以在用戶數(shù)據(jù)離開EPON系統(tǒng)時(shí),打上運(yùn)營商指定的VLAN標(biāo)簽。
4.4計(jì)費(fèi)
由于OLT集中維護(hù)了每個(gè)用戶詳細(xì)的在線信息,并可以統(tǒng)一上報(bào)給RADIUS服務(wù)器,所以基于時(shí)長的計(jì)費(fèi)粒度可以精確到秒級。而且ONU可以實(shí)時(shí)統(tǒng)計(jì)用戶的業(yè)務(wù)流量,甚至是區(qū)分業(yè)務(wù)類型的業(yè)務(wù)流量,基于流量的計(jì)費(fèi)也易于實(shí)現(xiàn)。在此基礎(chǔ)上,運(yùn)營商可以為用戶提供靈活的計(jì)費(fèi)方案。
5.結(jié)束語
FTTH作為接入網(wǎng)發(fā)展的終極目標(biāo),在市場和技術(shù)的不斷推動(dòng)之下,正在一步步向我們走來。EPON從誕生之初就將自己定位在FTTH的理想解決方案之上,在經(jīng)歷了不斷的演進(jìn)和完善之后,正期盼著在FTTH建設(shè)中大顯身手。
評論