寬帶以太網接入技術分析

在寬帶接入網方面，目前國際上比較成熟的主流技術包括xDSL技術、HomePNA技術、光纖接入技術、Cable技術、無線寬帶技術等，但是這些技術都存在著一個相同的問題：成本較高。由于基于以太網技術的寬帶接入網提供給用戶標準的以太網接口，用戶不需要增加任何新的接口卡或協議軟件，而且無論是局端網絡設備還是用戶端設備都比ADSL、CableModem等便宜很多。因此，基于以太網技術的寬帶接入是一種十分廉價的寬帶接入技術，基于以太網技術的寬帶接入網將在以后的寬帶IP網絡接入中發揮重要作用。

　　由于寬帶接入網是一個公用的網絡環境，因此相對于傳統以太網絡而言,其要求有較大區別，主要反映在安全管理、用戶管理、業務管理等方面。

安全管理

　　寬帶接入網絡與傳統企業網絡在對安全機制的要求方面有很大區別:傳統企業網絡的安全性側重于防范外界攻擊，常使用安裝功能強大的防火墻方式以解決外網安全問題;寬帶接入網把形形色色的社會用戶連接于內部網中，所面對的安全威脅不僅來自于外網系統，更大的問題則來自網絡內部系統的直接攻擊。因此，社區網絡對于安全機制的要求更加全面。

　　以太網中大量采用廣播的方式實現用戶之間的通信，目前,雖然交換機已得到廣泛使用并為每個用戶提供了專用的網絡帶寬，但它并沒有縮減廣播域的大小。對于小區來說，如果不采用適當技術，小區中任何一幢樓中的一臺計算機發出的廣播包會在整個小區中轉發。在寬帶接入網這樣一個公用網絡的環境中，保證用戶的安全性是十分重要的。

1.VLAN的安全措施

　　傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第二層隔離開，可以防止任何惡意的行為和以太網的信息探聽。

　　然而，這種給每個客戶分配單一VLAN和IP子網的模式造成了擴展方面的局限。這些局限主要有以下幾個方面：

　　每一個接入用戶端口都需要對應到社區全網一個惟一的VLAN和一個惟一的IP子網；大量的全局VLAN和IP子網規劃和配置工作給社區網絡管理員帶來巨大的壓力。

　　VLAN的限制：隨著接入用戶的急劇增加，社區接入網絡的VLAN資源存在上限；基于802.1q的VLAN標記在理論上其用戶不能超過4095，實際使用中的接入級交換機和匯聚層級交換機所能支持的實際VLAN數目以及能在核心實現的三層路由接口數量都會大大低于理論值。

　　IP地址緊缺：每個VLAN對應一個IP子網,IP子網的劃分勢必造成較大的地址浪費。因此,可以針對每個用戶群（如小區內一棟居民樓）分配一個VLAN。但在同一個VLAN內部還是存在廣播的問題。PVLAN技術可以解決同一個VLAN內部的廣播問題。

2.PVLAN技術

　　專用VLAN是第二層機制，在同一個VLAN中有兩類不同安全級別的訪問端口。與用戶連接的端口可定義為專用端口(Privateport)，它與匯聚層交換機接口相連的上連端口為混雜端口(Promioscuousport)。用戶端口只能發送流量到上連端口，也只能檢測從上連端口來的流量,用戶端口之間在默認情況下由硬件進行安全隔離，不能進行通信。

　　專用VLAN的應用對于保證城域接入網絡的數據通信的安全性非常有效。保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過上連TRUNK端口。這樣即使在同一VLAN中的用戶，相互之間也不會受到廣播的影響。

用戶管理

　　所謂用戶管理指的是在用戶進行通信時對用戶進行認證、授權。用戶管理技術的一個重要方面就是如何保證合法用戶的正常使用和防止非法用戶的入侵，因此需要對用戶進行合法性認證，采用以下幾種技術：

1.端口與MAC地址的綁定

　　交換機的端口連接到用戶的網卡，每一個網卡都有一個全球惟一的48位MAC地址，任何用戶申請開通上網業務時都需登記MAC地址，網絡管理員注入系統數據庫，并起用端口的安全特性。

　　每個端口可靜態設置多個MAC地址，如果有非法MAC地址入侵，交換機會通過TRAP告警網絡管理員。這種方式安全性高，但管理復雜。

2.限定端口同時連接的MAC數

　　此種方法不需要進行MAC地址和端口的靜態綁定，只限制每個端口同時連接的MAC地址數量。

3.PPPoE

　　上述方法解決了用戶數據的安全性問題，但是一方面它不靈活,管理上較為麻煩,另外,缺少對用戶進行管理的手段，即無法對用戶進行認證、授權。為了識別用戶的合法性,可采用VLAN＋PPPoE方式,PPP協議提供用戶認證、授權、動態分配用戶IP地址、基本統計等功能,可以解決用戶數據的安全性問題。

業務管理

1.服務質量保證

　　由于話音、視頻等實時業務是未來Inte.net上的重要業務，因此接入網必須為保證QoS提供一定手段，支持流量優先等級,以減少時延、抖動和丟包。目前城域網很難實現統一的管理,通過信令實現以RSVP協議為基礎的QoS保證難以實現,同時,該種方式擴展性不好,不能很好地適應城域網規模。最有希望的方法是采用IETF制定的區分服務:接入交換機必須支持802.1q的流量優先級設置,對于匯聚層、骨干層的交換機,還需要支持服務類型（ToS）或DiffServ設置，支持利用ACL來設置基于端口或流量類型的流量優先等級。

2.帶寬控制

　　為了保證各種業務的QoS，接入網需要提供一定的帶寬控制能力，例如，保證用戶最低接入速率、限制用戶最高接入速率，從而支持對業務的QoS保證。

3.計費管理

　　對用戶的計費目前常用的方法有：按用戶流量計費、按用戶連接時間計費、包月制。其中，前兩種計費方式比較復雜，而且非技術因素較多。在一般的小區接入中，網絡在建設初期采用包月制。

　　對于網絡設備選型,應考慮到對未來各種收費模式的支持。對于匯聚層的設備,應能提供計費管理所需要的有關計費的信息，使計費系統能夠按信息量、按連接時間、按流量類型等多種方式進行靈活計費。

4.網絡管理

　　基于以太網技術的寬帶接入網還應具有強大的網管功能。所有設備必須支持基于簡單網絡管理協議的設備管理，以及基于Web的圖形用戶界面。通過網管軟件,通過中心控制點來進行配置管理、性能管理、故障管理和安全管理。

原文轉自：http://www.kjueaiud.com