作者:郭巍 刘冬 孙曙和 陈雪
1引言
近年来,随着Internet的普及和宽带应用的发展,特别是一些“带宽杀手”应用的不断涌现,使得接入网带宽资源日益“捉襟见肘”,为了彻底解决接入网的带宽瓶颈,光纤到户(FTTH)这个一直以来作为接入网发展的最终理想,已经具有了提前实现的迫切需求和可能。 EPON是基于千兆以太网的无源光网络技术,继承了以太网的低成本和易用性以及光网络的高带宽,是实现FTTH众多技术中“性价比”最高的一种。随着EPON国际标准——IEEE802.3ah在2004年的正式发布,EPON的产业联盟已经吸引了众多厂商的积极参与,从EPON的核心芯片、光模块到系统,EPON的产业链已经日趋成熟。
2面向FTTH的EPON系统
首先,面向FTTH的EPON系统中用户侧设备的用户接口种类要丰富和带宽要大。在光纤到户的情况下,用户的业务需求已经不再满足于简单的上网,而是变成了集数据、语音和视频业务于一体的综合业务接入需求。这也正是推动“三网融合”最重要的驱动力。用户需求多样化带来的最主要变化之一就是对带宽需要量的大大增加。以目前IPTV需要带宽为2Mbit/s,一路高清电视的带宽为6-8Mbit/s来计算,每个用户(ONU)如果要同时支持2-3个视频流(对应2-3个电视终端),再加上常规的上网带宽,则需要带宽至少要在20Mbit/s以上。这是现在的ADSL所无法满足的,即使采用ADSL+或VDSL技术也只能在短距条件下达到这样的下行带宽水平,还要付出线路改造的成本。因此,ONU侧的基本用户接口是10/100M兼容的以太网接口,对于带宽有更高需求的用户,这个用户接口也可以方便的升级到10/100/1000M兼容的以太网接口。这个接口即可完成IPTV业务、IP电话机和PC的接入。除了基本接口,对于使用普通话机的用户,ONU应提供一个POTS口。而对于采用“视频覆盖”技术传输有限电视信号的解决方案,ONU再增加一个有线电视信号的接口即可。总之,ONU的下面将是一个透过智能网关连接的家庭网络,用户通过EPON系统带来的高带宽,就可以享受到家庭网络信息化带来的各种生活上的便利。
其次,局端设备的单个PON接口可支持的远端用户侧设备数量要多。目前,我国FTTH主要用户是城市住宅小区的住户,其突出特点是:住户密度高,单一住宅小区一般有500—3000住户。从技术上,EPON系统的分路比完全可以做到1:128,即一个PON端口带128个ONU。EPON的控制协议完全可以支持更多的ONU。目前传输距离和分路比主要是受光模块性能指标的限制,随着光模块技术的进步,这一目标是能够实现的。相对于目前1:32的分路比(可支持10-20公里的传输距离),面向FTTH的EPON设备将是支持高分路比的设备,每线成本也随之降低。那时,如果要完全覆盖一个3000户左右的住宅小区,在局端就只需要不到30个PON接口堆叠在一起,大大降低了工程开通和维护的复杂度。
最后,在面向FTTH应用的EPON系统中,局端设备(OLT)的集成度要高。表现为PON端口的密度增大,OLT通过增加PON端口的数量来灵活地扩容以支持更多用户。PON端口为单纤双向,一个PON接口盘出2个PON端口将是很容易实现的,因此,一个PON接口盘的用户数将可以达到256个。相对于目前一个ADSL用户盘的容纳32个用户的水平,面向FTTH的EPON系统在用户接入的密度上也具有优势。
3安全管理
在复杂的接入网环境中,有效保证系统和用户数据安全,是运营商和用户越来越关心的问题。EasyPathEPON在设计上也进行了充分的考虑。
首先,对用户数据安全的保护。用户数据安全的威胁主要来自PON内部用户之间,包括内容监听和主动攻击等形式。由于EPON下行方向的数据采取广播形式,每个ONU能接收到所有的下行数据,802.3ah标准中为每个连接设定LLID逻辑链路标识,每个ONU只能接收带有属于自己的LLID的数据包,其余的数据包丢弃不再转发。但是,LLID主要是为了区分不同连接而设定的,ONU侧如果只是简单根据LLID进行过滤很显然还是不够的,因为传送的是标准的以太网帧,所以某个ONU用户技术上完全可以不区分LLID,而获取非本ONU的信息,用户信息的私密性受到威胁,这显然是用户所不愿看到的。为了隔离用户信息,保证每个ONU数据的私密性,就需要在下行方向对每个ONU的数据进行加密。802.3ah标准中建议采用高级加密标准(AES)算法在物理层实现用户信息的加密。经过AES算法加密的用户数据有效地降低了信息泄露的可能性,但是如果EPON是一个简单的二层交换系统,用户的关键信息,如MAC地址、IP地址等,仍然可以通过监听链路层的广播消息而获得,这些信息都可能被网络黑客用于实施各种攻击。因此,要更好地保障用户信息的安全,还要考虑链路层的隔离措施,基于PrivateVLAN的二层隔离方案就是一个很好的选择。至于来自于EPON系统外的安全威胁,就需要用户采取其他措施进行防范了。
其次,对EPON系统自身安全的保护。因为,一旦EPON网络本身的安全受到威胁,那么受到影响的就将是系统内的全体用户。考虑EPON设备的特点,在以下方面需要做出防范:
MAC地址表溢出。MAC地址表是实现以太网帧正确转发的基础,如果恶意用户通过大量使用假冒的地址使MAC地址表溢出,将造成正常数据业务的中断。因此,在FTTH的应用中,要限制用户端口的MAC地址数量,或者干脆直接将用户的一个MAC地址和端口绑定。这两种办法都可以防止MAC地址表的溢出,但从便于维护的角度来说,使用第一种方式会更好一些。
上行系统控制帧假冒。如果用户能够从用户接口发送系统的控制帧,如多点控制协议(MPCP)帧或维护管理(OAM)帧进入系统,就会干扰系统的正常运行,所以一般需要在系统的用户接口处对系统控制帧进行过滤,滤除侵入系统的“假冒”控制帧。
通过对EPON系统面临的安全威胁的分析,并对比已有的解决方案,我们认为EPON系统和ADSL接入在安全性方面是等价的。由于采用了AES加密算法,甚至在安全方面还要优于FTTx+LAN的接入方式。
4用户管理
面向住宅小区的宽带接入系统,由于大量用户的接入需要管理和计费,因此支持认证、授权、计费(AAA)功能也是EPON系统必须考虑的,具体为:
认证(Authentication):验证用户的身份与可使用的网络服务。
授权(Authorization):依据认证结果向用户开放网络服务。
计费(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA的功能不仅可以有效地增强网络的安全,防止非法用户进入网络,而且是使网络具备“可运营、可管理和可增值”能力的重要手段。比如,提供灵活的计费方式(如时长、流量、预付费、费率切换、费率折扣、实时计费、区分业务计费等),提供对增值业务与宽带网络价值链的全方位支持等。
4.1 EPON的AAA系统构成
EPON系统是一个分布式的以太网接入设备,其基本功能主要包括二层的以太网交换。而802.1x的认证体系正是基于端口认证的二层协议,与EPON结合可以充分发挥其简单高效的优势。这是由于802.1x在接入端口就将业务流和认证流分离,避免了给认证者带来处理能力上的压力,实现更加简单,消除了可能存在的性能瓶颈。802.1x依托EPON的汇聚能力,可以将众多的认证点的信息汇聚后再传递给认证服务器,在减小认证服务器并发连接数的同时,也增加了服务器同时管理用户的数量。这也体现了认证边缘化、管理集中化的趋势。EPON采用802.1x的认证框架,可以实现对传统PPP认证架构的兼容,同时由于采用EAP(扩展认证协议)认证方式,其扩展性也得到很好的兼顾。随着802.1x的发展和完善,EPON的认证手段也将不断完善。正是基于以上考虑,EasyPathEPON系统将802.1x作为自己的首选认证方式。EPON的AAA系统框图如下所示。
图1 EPON的AAA系统框图
申请者是安装在用户PC上的客户端软件,WindowsXP系统自带了802.1x的客户端,易于使用。如果用户没有PC,或者不想使用客户端软件,那么在ONU上有申请者代理软件同样可以实现认证过程。用户从服务提供商处申请开通业务的时候,服务提供者在给该用户使用的ONU上写入该用户的身份识别信息。只要该ONU处于工作状态,该用户申请的业务即被授权。这种情况比较适合简单的包月计费的业务。
认证者系统是EPON需要实现的重要功能。ONU侧的认证代理模块实现对受控端口的控制,同时将分离出来的认证流在ONU和OLT之间传送。该模块还可以完成用户设备(PC机)在线状态的监测,发现异常下线的情况及时上报OLT。
OLT侧主要包括用户管理模块、PAE模块、后台任务模块和RADIUS客户端模块。用户管理模块主要用于认证消息的分发和维护在线用户的数据结构。PAE模块和后台任务实现认证者状态机的主体部分。RADIUS客户端模块负责收集认证者实体需要与认证服务器交互的消息,转换为RADIUS协议帧后与认证服务器通信。OLT强大的软件处理能力和实时嵌入式操作系统为支持PON系统多用户并发认证和在线用户的维护提供了保障。
运营商一般会建自己的认证服务器和计费平台,只要是基于RADIUS协议,EPON系统就可以无缝接入,构成完整的AAA系统。
4.2 认证
EAP可以允许认证者和申请者之间采用灵活的方案进行认证,并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的“EAP类型”域实现,“EAP类型”域中定义的认证类型可以满足不同层次的安全需要。目前可以采用的EAP类型有包括PAP、MD5-challenge、One-TimePassword(OTP)、TLS等等。
4.3 授权
认证成功以后,认证服务器会将该用户的信息传递给认证者系统。EPON的认证者系统除了将受控端口闭合,允许用户数据进入网络等标准功能以外,还有一些针对EPON而言更重要的事情要做:首先,根据用户申请的带宽大小,将初始状态的默认带宽修改为用户可以得到的实际带宽值。由于EPON的动态带宽(DBA)机制,用户可以获得的带宽是一个保证带宽加上网络相对空闲时的部分剩余带宽。其次,根据用户申请的业务种类,为用户配置业务端口,同时根据协议类型在ONU处划分VLAN,以便不同业务数据的统计和汇聚。再次,根据用户的QoS级别,在OLT侧为用户分配不同的优先级队列。最后,如果运营商需要保障用户端到端的QoS等级,那么还可以在用户数据离开EPON系统时,打上运营商指定的VLAN标签。
4.4 计费
由于OLT集中维护了每个用户详细的在线信息,并可以统一上报给RADIUS服务器,所以基于时长的计费粒度可以精确到秒级。而且ONU可以实时统计用户的业务流量,甚至是区分业务类型的业务流量,基于流量的计费也易于实现。在此基础上,运营商可以为用户提供灵活的计费方案。
5结束语
FTTH作为接入网发展的终极目标,在市场和技术的不断推动之下,正在一步步向我们走来。EPON从诞生之初就将自己定位在FTTH的理想解决方案之上,在经历了不断的演进和完善之后,正期盼着在FTTH建设中大显身手。