面向FTTH的EPON系統(tǒng)應用與管理
近年來,隨著Internet的普及和寬帶應用的發(fā)展,特別是一些“帶寬殺手”應用的不斷涌現(xiàn),使得接入網(wǎng)帶寬資源日益“捉襟見肘”,為了徹底解決接入網(wǎng)的帶寬瓶頸,光纖到戶(FTTH)這個一直以來作為接入網(wǎng)發(fā)展的最終理想,已經(jīng)具有了提前實現(xiàn)的迫切需求和可能。EPON是基于千兆以太網(wǎng)的無源光網(wǎng)絡技術,繼承了以太網(wǎng)的低成本和易用性以及光網(wǎng)絡的高帶寬,是實現(xiàn)FTTH眾多技術中“性價比”最高的一種。隨著EPON國際標準――IEEE802.3ah在2004年的正式發(fā)布,EPON的產(chǎn)業(yè)聯(lián)盟已經(jīng)吸引了眾多廠商的積極參與,從EPON的核心芯片、光模塊到系統(tǒng),EPON的產(chǎn)業(yè)鏈已經(jīng)日趨成熟。
2.面向FTTH的EPON系統(tǒng)
首先,面向FTTH的EPON系統(tǒng)中用戶側設備的用戶接口種類要豐富和帶寬要大。在光纖到戶的情況下,用戶的業(yè)務需求已經(jīng)不再滿足于簡單的上網(wǎng),而是變成了集數(shù)據(jù)、語音和視頻業(yè)務于一體的綜合業(yè)務接入需求。這也正是推動“三網(wǎng)融合”最重要的驅動力。用戶需求多樣化帶來的最主要變化之一就是對帶寬需要量的大大增加。以目前IPTV需要帶寬為2Mbit/s,一路高清電視的帶寬為6-8Mbit/s來計算,每個用戶( ONU)如果要同時支持2-3個視頻流(對應2-3個電視終端),再加上常規(guī)的上網(wǎng)帶寬,則需要帶寬至少要在20Mbit/s以上。這是現(xiàn)在的ADSL所無法滿足的,即使采用ADSL+或VDSL技術也只能在短距條件下達到這樣的下行帶寬水平,還要付出線路改造的成本。因此,ONU側的基本用戶接口是10/100M兼容的以太網(wǎng)接口,對于帶寬有更高需求的用戶,這個用戶接口也可以方便的升級到10/100/1000M兼容的以太網(wǎng)接口。這個接口即可完成IPTV業(yè)務、IP電話機和PC的接入。除了基本接口,對于使用普通話機的用戶,ONU應提供一個POTS口。而對于采用“視頻覆蓋”技術傳輸有限電視信號的解決方案,ONU再增加一個有線電視信號的接口即可。總之,ONU的下面將是一個透過智能網(wǎng)關連接的家庭網(wǎng)絡,用戶通過EPON系統(tǒng)帶來的高帶寬,就可以享受到家庭網(wǎng)絡信息化帶來的各種生活上的便利。
其次,局端設備的單個PON接口可支持的遠端用戶側設備數(shù)量要多。目前,我國FTTH主要用戶是城市住宅小區(qū)的住戶,其突出特點是:住戶密度高,單一住宅小區(qū)一般有500―3000住戶。從技術上,EPON系統(tǒng)的分路比完全可以做到1:128,即一個PON端口帶128個ONU。EPON的控制協(xié)議完全可以支持更多的ONU。目前傳輸距離和分路比主要是受光模塊性能指標的限制,隨著光模塊技術的進步,這一目標是能夠實現(xiàn)的。相對于目前1:32的分路比(可支持10-20公里的傳輸距離),面向FTTH的EPON設備將是支持高分路比的設備,每線成本也隨之降低。那時,如果要完全覆蓋一個3000戶左右的住宅小區(qū),在局端就只需要不到30個PON接口堆疊在一起,大大降低了工程開通和維護的復雜度。
最后,在面向FTTH應用的EPON系統(tǒng)中,局端設備(OLT)的集成度要高。表現(xiàn)為PON端口的密度增大,OLT通過增加PON端口的數(shù)量來靈活地擴容以支持更多用戶。PON端口為單纖雙向,一個PON接口盤出2個PON端口將是很容易實現(xiàn)的,因此,一個PON接口盤的用戶數(shù)將可以達到256個。相對于目前一個ADSL用戶盤的容納32個用戶的水平,面向FTTH的EPON系統(tǒng)在用戶接入的密度上也具有優(yōu)勢。
3.安全管理
在復雜的接入網(wǎng)環(huán)境中,有效保證系統(tǒng)和用戶數(shù)據(jù)安全,是運營商和用戶越來越關心的問題。EasyPathEPON在設計上也進行了充分的考慮。
首先,對用戶數(shù)據(jù)安全的保護。用戶數(shù)據(jù)安全的威脅主要來自PON內部用戶之間,包括內容監(jiān)聽和主動攻擊等形式。由于EPON下行方向的數(shù)據(jù)采取廣播形式,每個ONU能接收到所有的下行數(shù)據(jù),802.3ah標準中為每個連接設定LLID邏輯鏈路標識,每個ONU只能接收帶有屬于自己的LLID的數(shù)據(jù)包,其余的數(shù)據(jù)包丟棄不再轉發(fā)。但是,LLID主要是為了區(qū)分不同連接而設定的,ONU側如果只是簡單根據(jù)LLID進行過濾很顯然還是不夠的,因為傳送的是標準的以太網(wǎng)幀,所以某個ONU用戶技術上完全可以不區(qū)分LLID,而獲取非本ONU的信息,用戶信息的私密性受到威脅,這顯然是用戶所不愿看到的。為了隔離用戶信息,保證每個ONU數(shù)據(jù)的私密性,就需要在下行方向對每個ONU的數(shù)據(jù)進行加密。802.3ah標準中建議采用高級加密標準(AES)算法在物理層實現(xiàn)用戶信息的加密。經(jīng)過AES算法加密的用戶數(shù)據(jù)有效地降低了信息泄露的可能性,但是如果EPON是一個簡單的二層交換系統(tǒng),用戶的關鍵信息,如MAC地址、IP地址等,仍然可以通過監(jiān)聽鏈路層的廣播消息而獲得,這些信息都可能被網(wǎng)絡黑客用于實施各種攻擊。因此,要更好地保障用戶信息的安全,還要考慮鏈路層的隔離措施,基于PrivateVLAN的二層隔離方案就是一個很好的選擇。至于來自于EPON系統(tǒng)外的安全威脅,就需要用戶采取其他措施進行防范了。
其次,對EPON系統(tǒng)自身安全的保護。因為,一旦EPON網(wǎng)絡本身的安全受到威脅,那么受到影響的就將是系統(tǒng)內的全體用戶。考慮EPON設備的特點,在以下方面需要做出防范:
MAC地址表溢出。MAC地址表是實現(xiàn)以太網(wǎng)幀正確轉發(fā)的基礎,如果惡意用戶通過大量使用假冒的地址使MAC地址表溢出,將造成正常數(shù)據(jù)業(yè)務的中斷。因此,在FTTH的應用中,要限制用戶端口的MAC地址數(shù)量,或者干脆直接將用戶的一個MAC地址和端口綁定。這兩種辦法都可以防止MAC地址表的溢出,但從便于維護的角度來說,使用第一種方式會更好一些。
上行系統(tǒng)控制幀假冒。如果用戶能夠從用戶接口發(fā)送系統(tǒng)的控制幀,如多點控制協(xié)議(MPCP)幀或維護管理(OAM)幀進入系統(tǒng),就會干擾系統(tǒng)的正常運行,所以一般需要在系統(tǒng)的用戶接口處對系統(tǒng)控制幀進行過濾,濾除侵入系統(tǒng)的“假冒”控制幀。
通過對EPON系統(tǒng)面臨的安全威脅的分析,并對比已有的解決方案,我們認為EPON系統(tǒng)和ADSL接入在安全性方面是等價的。由于采用了AES加密算法,甚至在安全方面還要優(yōu)于FTTx+LAN的接入方式。
4.用戶管理
面向住宅小區(qū)的寬帶接入系統(tǒng),由于大量用戶的接入需要管理和計費,因此支持認證、授權、計費(AAA)功能也是EPON系統(tǒng)必須考慮的,具體為:
認證(Authentication):驗證用戶的身份與可使用的網(wǎng)絡服務。
授權(Authorization):依據(jù)認證結果向用戶開放網(wǎng)絡服務。
計費(Accounting):記錄用戶對各種網(wǎng)絡服務的用量,并提供給計費系統(tǒng)。
AAA的功能不僅可以有效地增強網(wǎng)絡的安全,防止非法用戶進入網(wǎng)絡,而且是使網(wǎng)絡具備“可運營、可管理和可增值”能力的重要手段。比如,提供靈活的計費方式(如時長、流量、預付費、費率切換、費率折扣、實時計費、區(qū)分業(yè)務計費等),提供對增值業(yè)務與寬帶網(wǎng)絡價值鏈的全方位支持等。
4.1EPON的AAA系統(tǒng)構成
EPON系統(tǒng)是一個分布式的以太網(wǎng)接入設備,其基本功能主要包括二層的以太網(wǎng)交換。而802.1x的認證體系正是基于端口認證的二層協(xié)議,與EPON結合可以充分發(fā)揮其簡單高效的優(yōu)勢。這是由于802.1x在接入端口就將業(yè)務流和認證流分離,避免了給認證者帶來處理能力上的壓力,實現(xiàn)更加簡單,消除了可能存在的性能瓶頸。802.1x依托EPON的匯聚能力,可以將眾多的認證點的信息匯聚后再傳遞給認證服務器,在減小認證服務器并發(fā)連接數(shù)的同時,也增加了服務器同時管理用戶的數(shù)量。這也體現(xiàn)了認證邊緣化、管理集中化的趨勢。EPON采用802.1x的認證框架,可以實現(xiàn)對傳統(tǒng)PPP認證架構的兼容,同時由于采用EAP(擴展認證協(xié)議)認證方式,其擴展性也得到很好的兼顧。隨著802.1x的發(fā)展和完善,EPON的認證手段也將不斷完善。正是基于以上考慮,EasyPathEPON系統(tǒng)將802.1x作為自己的首選認證方式。EPON的AAA系統(tǒng)框圖如下所示。
申請者是安裝在用戶PC上的客戶端軟件,WindowsXP系統(tǒng)自帶了802.1x的客戶端,易于使用。如果用戶沒有PC,或者不想使用客戶端軟件,那么在ONU上有申請者代理軟件同樣可以實現(xiàn)認證過程。用戶從服務提供商處申請開通業(yè)務的時候,服務提供者在給該用戶使用的ONU上寫入該用戶的身份識別信息。只要該ONU處于工作狀態(tài),該用戶申請的業(yè)務即被授權。這種情況比較適合簡單的包月計費的業(yè)務。
認證者系統(tǒng)是EPON需要實現(xiàn)的重要功能。ONU側的認證代理模塊實現(xiàn)對受控端口的控制,同時將分離出來的認證流在ONU和OLT之間傳送。該模塊還可以完成用戶設備(PC機)在線狀態(tài)的監(jiān)測,發(fā)現(xiàn)異常下線的情況及時上報OLT。
OLT側主要包括用戶管理模塊、PAE模塊、后臺任務模塊和RADIUS客戶端模塊。用戶管理模塊主要用于認證消息的分發(fā)和維護在線用戶的數(shù)據(jù)結構。PAE模塊和后臺任務實現(xiàn)認證者狀態(tài)機的主體部分。RADIUS客戶端模塊負責收集認證者實體需要與認證服務器交互的消息,轉換為RADIUS協(xié)議幀后與認證服務器通信。OLT強大的軟件處理能力和實時嵌入式操作系統(tǒng)為支持PON系統(tǒng)多用戶并發(fā)認證和在線用戶的維護提供了保障。
運營商一般會建自己的認證服務器和計費平臺,只要是基于RADIUS協(xié)議,EPON系統(tǒng)就可以無縫接入,構成完整的AAA系統(tǒng)。
4.2認證
EAP可以允許認證者和申請者之間采用靈活的方案進行認證,并且對將來出現(xiàn)的更先進、合理的認證技術具有很好的兼容性。EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域實現(xiàn),“EAP類型”域中定義的認證類型可以滿足不同層次的安全需要。目前可以采用的EAP類型有包括PAP、MD5-challenge、One-TimePassword(OTP)、TLS等等。
4.3授權
認證成功以后,認證服務器會將該用戶的信息傳遞給認證者系統(tǒng)。EPON的認證者系統(tǒng)除了將受控端口閉合,允許用戶數(shù)據(jù)進入網(wǎng)絡等標準功能以外,還有一些針對EPON而言更重要的事情要做:首先,根據(jù)用戶申請的帶寬大小,將初始狀態(tài)的默認帶寬修改為用戶可以得到的實際帶寬值。由于EPON的動態(tài)帶寬(DBA)機制,用戶可以獲得的帶寬是一個保證帶寬加上網(wǎng)絡相對空閑時的部分剩余帶寬。其次,根據(jù)用戶申請的業(yè)務種類,為用戶配置業(yè)務端口,同時根據(jù)協(xié)議類型在ONU處劃分VLAN,以便不同業(yè)務數(shù)據(jù)的統(tǒng)計和匯聚。再次,根據(jù)用戶的QoS級別,在OLT側為用戶分配不同的優(yōu)先級隊列。最后,如果運營商需要保障用戶端到端的QoS等級,那么還可以在用戶數(shù)據(jù)離開EPON系統(tǒng)時,打上運營商指定的VLAN標簽。
4.4計費
由于OLT集中維護了每個用戶詳細的在線信息,并可以統(tǒng)一上報給RADIUS服務器,所以基于時長的計費粒度可以精確到秒級。而且ONU可以實時統(tǒng)計用戶的業(yè)務流量,甚至是區(qū)分業(yè)務類型的業(yè)務流量,基于流量的計費也易于實現(xiàn)。在此基礎上,運營商可以為用戶提供靈活的計費方案。
5.結束語
FTTH作為接入網(wǎng)發(fā)展的終極目標,在市場和技術的不斷推動之下,正在一步步向我們走來。EPON從誕生之初就將自己定位在FTTH的理想解決方案之上,在經(jīng)歷了不斷的演進和完善之后,正期盼著在FTTH建設中大顯身手。
評論