1.引言
近年來,隨著Internet的普及和寬帶應用的發展,特別是一些“帶寬殺手”應用的不斷涌現,使得接入網帶寬資源日益“捉襟見肘”,為了徹底解決接入網的帶寬瓶頸,光纖到戶(FTTH)這個一直以來作為接入網發展的最終理想,已經具有了提前實現的迫切需求和可能。
EPON是基于千兆以太網的無源光網絡技術,繼承了以太網的低成本和易用性以及光網絡的高帶寬,是實現FTTH眾多技術中“性價比”最高的一種。隨著EPON國際標準——IEEE802.3ah在2004年的正式發布,EPON的產業聯盟已經吸引了眾多廠商的積極參與,從EPON的核心芯片、光模塊到系統,EPON的產業鏈已經日趨成熟。
2.面向FTTH的EPON系統
首先,面向FTTH的EPON系統中用戶側設備的用戶接口種類要豐富和帶寬要大。在光纖到戶的情況下,用戶的業務需求已經不再滿足于簡單的上網,而是變成了集數據、語音和視頻業務于一體的綜合業務接入需求。這也正是推動“三網融合”最重要的驅動力。用戶需求多樣化帶來的最主要變化之一就是對帶寬需要量的大大增加。以目前IPTV需要帶寬為2Mbit/s,一路高清電視的帶寬為6-8Mbit/s來計算,每個用戶(ONU)如果要同時支持2-3個視頻流(對應2-3個電視終端),再加上常規的上網帶寬,則需要帶寬至少要在20Mbit/s以上。這是現在的ADSL所無法滿足的,即使采用ADSL+或VDSL技術也只能在短距條件下達到這樣的下行帶寬水平,還要付出線路改造的成本。因此,ONU側的基本用戶接口是10/100M兼容的以太網接口,對于帶寬有更高需求的用戶,這個用戶接口也可以方便的升級到10/100/1000M兼容的以太網接口。這個接口即可完成IPTV業務、IP電話機和PC的接入。除了基本接口,對于使用普通話機的用戶,ONU應提供一個POTS口。而對于采用“視頻覆蓋”技術傳輸有限電視信號的解決方案,ONU再增加一個有線電視信號的接口即可。總之,ONU的下面將是一個透過智能網關連接的家庭網絡,用戶通過EPON系統帶來的高帶寬,就可以享受到家庭網絡信息化帶來的各種生活上的便利。
其次,局端設備的單個PON接口可支持的遠端用戶側設備數量要多。目前,我國FTTH主要用戶是城市住宅小區的住戶,其突出特點是:住戶密度高,單一住宅小區一般有500—3000住戶。從技術上,EPON系統的分路比完全可以做到1:128,即一個PON端口帶128個ONU。EPON的控制協議完全可以支持更多的ONU。目前傳輸距離和分路比主要是受光模塊性能指標的限制,隨著光模塊技術的進步,這一目標是能夠實現的。相對于目前1:32的分路比(可支持10-20公里的傳輸距離),面向FTTH的EPON設備將是支持高分路比的設備,每線成本也隨之降低。那時,如果要完全覆蓋一個3000戶左右的住宅小區,在局端就只需要不到30個PON接口堆疊在一起,大大降低了工程開通和維護的復雜度。
最后,在面向FTTH應用的EPON系統中,局端設備(OLT)的集成度要高。表現為PON端口的密度增大,OLT通過增加PON端口的數量來靈活地擴容以支持更多用戶。PON端口為單纖雙向,一個PON接口盤出2個PON端口將是很容易實現的,因此,一個PON接口盤的用戶數將可以達到256個。相對于目前一個ADSL用戶盤的容納32個用戶的水平,面向FTTH的EPON系統在用戶接入的密度上也具有優勢。
3.安全管理
在復雜的接入網環境中,有效保證系統和用戶數據安全,是運營商和用戶越來越關心的問題。EasyPathEPON在設計上也進行了充分的考慮。
首先,對用戶數據安全的保護。用戶數據安全的威脅主要來自PON內部用戶之間,包括內容監聽和主動攻擊等形式。由于EPON下行方向的數據采取廣播形式,每個ONU能接收到所有的下行數據,802.3ah標準中為每個連接設定LLID邏輯鏈路標識,每個ONU只能接收帶有屬于自己的LLID的數據包,其余的數據包丟棄不再轉發。但是,LLID主要是為了區分不同連接而設定的,ONU側如果只是簡單根據LLID進行過濾很顯然還是不夠的,因為傳送的是標準的以太網幀,所以某個ONU用戶技術上完全可以不區分LLID,而獲取非本ONU的信息,用戶信息的私密性受到威脅,這顯然是用戶所不愿看到的。為了隔離用戶信息,保證每個ONU數據的私密性,就需要在下行方向對每個ONU的數據進行加密。802.3ah標準中建議采用高級加密標準(AES)算法在物理層實現用戶信息的加密。經過AES算法加密的用戶數據有效地降低了信息泄露的可能性,但是如果EPON是一個簡單的二層交換系統,用戶的關鍵信息,如MAC地址、IP地址等,仍然可以通過監聽鏈路層的廣播消息而獲得,這些信息都可能被網絡黑客用于實施各種攻擊。因此,要更好地保障用戶信息的安全,還要考慮鏈路層的隔離措施,基于PrivateVLAN的二層隔離方案就是一個很好的選擇。至于來自于EPON系統外的安全威脅,就需要用戶采取其他措施進行防范了。
其次,對EPON系統自身安全的保護。因為,一旦EPON網絡本身的安全受到威脅,那么受到影響的就將是系統內的全體用戶。考慮EPON設備的特點,在以下方面需要做出防范:
MAC地址表溢出。MAC地址表是實現以太網幀正確轉發的基礎,如果惡意用戶通過大量使用假冒的地址使MAC地址表溢出,將造成正常數據業務的中斷。因此,在FTTH的應用中,要限制用戶端口的MAC地址數量,或者干脆直接將用戶的一個MAC地址和端口綁定。這兩種辦法都可以防止MAC地址表的溢出,但從便于維護的角度來說,使用第一種方式會更好一些。
上行系統控制幀假冒。如果用戶能夠從用戶接口發送系統的控制幀,如多點控制協議(MPCP)幀或維護管理(OAM)幀進入系統,就會干擾系統的正常運行,所以一般需要在系統的用戶接口處對系統控制幀進行過濾,濾除侵入系統的“假冒”控制幀。
通過對EPON系統面臨的安全威脅的分析,并對比已有的解決方案,我們認為EPON系統和ADSL接入在安全性方面是等價的。由于采用了AES加密算法,甚至在安全方面還要優于FTTx+LAN的接入方式。
4.用戶管理
面向住宅小區的寬帶接入系統,由于大量用戶的接入需要管理和計費,因此支持認證、授權、計費(AAA)功能也是EPON系統必須考慮的,具體為:
認證(Authentication):驗證用戶的身份與可使用的網絡服務。
授權(Authorization):依據認證結果向用戶開放網絡服務。
計費(Accounting):記錄用戶對各種網絡服務的用量,并提供給計費系統。
AAA的功能不僅可以有效地增強網絡的安全,防止非法用戶進入網絡,而且是使網絡具備“可運營、可管理和可增值”能力的重要手段。比如,提供靈活的計費方式(如時長、流量、預付費、費率切換、費率折扣、實時計費、區分業務計費等),提供對增值業務與寬帶網絡價值鏈的全方位支持等。
4.1 EPON的AAA系統構成
EPON系統是一個分布式的以太網接入設備,其基本功能主要包括二層的以太網交換。而802.1x的認證體系正是基于端口認證的二層協議,與EPON結合可以充分發揮其簡單高效的優勢。這是由于802.1x在接入端口就將業務流和認證流分離,避免了給認證者帶來處理能力上的壓力,實現更加簡單,消除了可能存在的性能瓶頸。802.1x依托EPON的匯聚能力,可以將眾多的認證點的信息匯聚后再傳遞給認證服務器,在減小認證服務器并發連接數的同時,也增加了服務器同時管理用戶的數量。這也體現了認證邊緣化、管理集中化的趨勢。EPON采用802.1x的認證框架,可以實現對傳統PPP認證架構的兼容,同時由于采用EAP(擴展認證協議)認證方式,其擴展性也得到很好的兼顧。隨著802.1x的發展和完善,EPON的認證手段也將不斷完善。正是基于以上考慮,EasyPathEPON系統將802.1x作為自己的首選認證方式。 |
