初級(jí)通信工程師考試IP城域網(wǎng)的關(guān)鍵技術(shù)[1]

7.5.1 IP城域網(wǎng)的關(guān)鍵技術(shù)

IP城域網(wǎng)的關(guān)鍵技術(shù)涉及的因素很多，但網(wǎng)絡(luò)技術(shù)、接入技術(shù)等在相關(guān)章節(jié)已作過介紹，這里不作贅述。本小節(jié)主要介紹用戶認(rèn)證與接入、用戶管理、接入帶寬控制、IP地址分配與網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶信息安全、網(wǎng)絡(luò)管理等城域網(wǎng)的關(guān)鍵技術(shù)。

1.用戶認(rèn)證與接入

運(yùn)營(yíng)商建設(shè)M絡(luò)的根本目的在于能夠通過網(wǎng)絡(luò)運(yùn)營(yíng)為用戶提供服務(wù)而獲取利潤(rùn)。因此，必須對(duì)使用網(wǎng)絡(luò)的用戶按照一定的原則進(jìn)行計(jì)費(fèi)。簡(jiǎn)單的計(jì)費(fèi)方式是采用包月制，但由于用戶的需求不一（如高速上網(wǎng)可能范要1Mbit/s帶寬，看MPEG-1節(jié)目可能需要2Mbit/s帶寬，看MPEG-2節(jié)目可能需要6Mbit/s帶寬），隨著競(jìng)爭(zhēng)的加劇，這種包月制計(jì)費(fèi)方式將難以適應(yīng)市場(chǎng)需求，因此網(wǎng)絡(luò)必須能夠支持按照用戶使用W絡(luò)資源的情況進(jìn)行計(jì)費(fèi)。要做到這一點(diǎn)，必須首先能夠?qū)κ褂镁W(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，以防止非法用戶的盜用。

窄帶接入方式下利用PPP技術(shù)通過AAA服務(wù)器實(shí)現(xiàn)用戶的身份認(rèn)證并分配1P地址，使得用戶能夠通過接入服務(wù)器接入網(wǎng)絡(luò)，進(jìn)行信息的交互。而寬帶接入方式下，通過以太網(wǎng)交換機(jī)或路由器實(shí)現(xiàn)的網(wǎng)絡(luò)，并不提供相應(yīng)的功能對(duì)用戶進(jìn)行身份認(rèn)證。因此，要做到這一點(diǎn)，必須引入有關(guān)技術(shù)與相應(yīng)的設(shè)備，如客戶管理系統(tǒng)。冃前與此有關(guān)的技術(shù)可以歸為兩類，即+需要嚴(yán)格認(rèn)證的方法和需要嚴(yán)格認(rèn)證的方法。

　　（1）不需要嚴(yán)格認(rèn)證的方法

不需要嚴(yán)格認(rèn)證的方法是將用戶靜態(tài)配置的IP地址或者采用DHCP自動(dòng)獲取的端U地址與用戶終端設(shè)備的MAC地址和基于端口的VLANID捆綁在一起，用戶一開機(jī)就自動(dòng)接入。到網(wǎng)絡(luò)中，不需耍對(duì)用戶的身份進(jìn)行認(rèn)證。上述IP地址、MAC地址與VLANID的捆綁能夠有效地保證合法的終端才能接入M絡(luò)中。能夠確保用戶信息的安全性。不過，這種方法存在著一個(gè)嚴(yán)重的缺陷，只是保證合法終端接入M絡(luò)，而不是保證合法用戶接入網(wǎng)絡(luò)，不管是集團(tuán)用戶還是家庭用戶，對(duì)此都幾乎難以容忍，這直接導(dǎo)致了DHCP+的出現(xiàn)。而且，這種方式目前還不能做到按用戶進(jìn)行計(jì)費(fèi)。因此，這種方式只能在網(wǎng)絡(luò)建設(shè)初期包月制情況下使用。

（2）需要嚴(yán)格認(rèn)證的方法

需要嚴(yán)格認(rèn)證的方法能夠保證每一個(gè)使用者都是合法的用戶，一個(gè)終端可以有多個(gè)不同的用戶，如果與客戶管理系統(tǒng)一起使用，不同用戶還可以擁有訪問網(wǎng)絡(luò)資源的不同權(quán)限。目前，需要嚴(yán)格認(rèn)證的方法又分為兩種，即PPPoE/A技術(shù)和DHCP+技術(shù)。

①PPPoE/A技術(shù)。PPPoE/A技術(shù)既能夠?qū)崿F(xiàn)一個(gè)客戶端與多個(gè)遠(yuǎn)程主機(jī)連接的功能，又能夠提供類似于PPP的訪問控制和計(jì)費(fèi)功能=使用PPPoE/A技術(shù)，類似使用點(diǎn)對(duì)點(diǎn)協(xié)議的撥號(hào)服務(wù)方式，每個(gè)主機(jī)使用只己的點(diǎn)對(duì)點(diǎn)協(xié)議棧，用戶使用他們所熟悉的撥號(hào)網(wǎng)絡(luò)用戶接口進(jìn)行撥號(hào)。通過PPPoE/A技術(shù)，每個(gè)用戶可以有他自己的接入管理、計(jì)費(fèi)和業(yè)務(wù)類型。

PPPoE/A技術(shù)有IETF的RFC,技術(shù)與設(shè)備比較成熟，可以防止地址沖突與地址盜用，既可以按時(shí)長(zhǎng)計(jì)費(fèi)也可以按流量計(jì)費(fèi)，能夠?qū)μ囟ㄓ脩粼O(shè)置訪問列表過濾或防火墻功能，能夠?qū)唧w用戶訪問網(wǎng)絡(luò)的速率進(jìn)行控制，能夠利用現(xiàn)有的用戶認(rèn)證、管理和計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)寬窄帶用戶的統(tǒng)一管理認(rèn)證和計(jì)費(fèi)，能夠方便地提供動(dòng)態(tài)業(yè)務(wù)選擇特性，而這些都是DHCP+所不具備的。因此，目前應(yīng)該使用這種萬法建設(shè)寬帶IP城域網(wǎng)。

②DHCP+技術(shù)。DHCP+技術(shù)是為了適應(yīng)網(wǎng)絡(luò)發(fā)展的需要而對(duì)傳統(tǒng)的DHCP進(jìn)行了改進(jìn)，主要增加了認(rèn)證功能，即DHCP服務(wù)器在將配置參數(shù)發(fā)給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務(wù)器進(jìn)行認(rèn)證，通過后才將配置信息發(fā)給客戶端。與PPPoE/A技術(shù)一樣，DHCP+技術(shù)也需要在客戶端上安裝客戶端軟件。但不同的是，DHCP+客戶端與服務(wù)器可以通過在每個(gè)子網(wǎng)內(nèi)增加中繼代理而跨越三層，不一定要在同一個(gè)二層內(nèi)。而且，服務(wù)器只是在獲得丨P配置信息階段起作用，以后的通信完全不經(jīng)過它，而PPPoE/A技術(shù)由于服務(wù)器與客戶端之間存在PPP連接。因此服務(wù)器是所有通信的必經(jīng)之路。

DHCP+技術(shù)的主要優(yōu)點(diǎn)是使用DHCP+服務(wù)器只在用戶接入網(wǎng)絡(luò)前為用戶提供配置與管理信息，一般不會(huì)成為瓶頸，并能夠很容易地實(shí)現(xiàn)組播的應(yīng)用。但是，DHCP+技術(shù)還沒有正式的標(biāo)準(zhǔn)，產(chǎn)品和應(yīng)用很少；不能防止地址沖突和地址盜用；不能按流量進(jìn)行計(jì)費(fèi)：不能對(duì)用戶的數(shù)據(jù)流量進(jìn)行控制；并且，應(yīng)用DHCP+需要改變現(xiàn)有的后臺(tái)管理系統(tǒng)。因此，這種方式目前還不具備實(shí)際應(yīng)用的能力，需要等待進(jìn)一步成熟后才能考慮使用。

2.用戶管理

寬帶IP城域網(wǎng)的用戶主要有兩類，即集團(tuán)用戶和家庭用戶，集團(tuán)用戶一般采用包月制方式，不需要認(rèn)證，而家庭用戶一般希望網(wǎng)絡(luò)能夠根據(jù)其實(shí)際需要提供業(yè)務(wù)和計(jì)費(fèi)。因此，用戶管理主要是對(duì)需要進(jìn)行嚴(yán)格認(rèn)證的用戶的管理。

相對(duì)于分散認(rèn)證分散管理方式（即將用戶信息放置在靠近用戶的匯集層上，用戶接入網(wǎng)絡(luò)時(shí)客戶管理系統(tǒng)不需要到遠(yuǎn)端去就能獲取有關(guān)用戶的信息而完成對(duì)用戶的認(rèn)證），采用集中認(rèn)證集中管理方式（城域網(wǎng)中的用戶集中在一起進(jìn)行管理，用戶接入網(wǎng)絡(luò)時(shí)，客戶管理系統(tǒng)利用RADIUS技術(shù)到用戶管理中心獲取有關(guān)用戶的信息，完成對(duì)用戶的認(rèn)證），管理起來非常方便，特別是在這種情況下，能夠?qū)拵ADIUS服務(wù)器與窄帶的RADIUS服務(wù)器集中放在一起，甚至將兩者合二為一，實(shí)現(xiàn)寬窄帶用戶統(tǒng)一管理。因此，將成為必然的選擇。但需要注意的是，在這種方式下客戶管理系統(tǒng)可以根據(jù)網(wǎng)絡(luò)業(yè)務(wù)量的大小放置在不同的位置上。

　?。?）分布式放置

分布式放置就是在靠近用戶的匯接層（如接入?yún)R接層）上設(shè)置客戶管理系統(tǒng)，為該匯接層之下的用戶提供認(rèn)證、流量控制等功能。這樣做，可以不需要大容量的客戶管理系統(tǒng)，并使網(wǎng)絡(luò)的可擴(kuò)展性非常好。由于可以根據(jù)網(wǎng)絡(luò)規(guī)模的大小和業(yè)務(wù)需要選擇不同等級(jí)的、具有極好性能價(jià)格比的客戶管理系統(tǒng)，因此不會(huì)出現(xiàn)因?yàn)榉植际皆O(shè)置而像使用其他寬帶接入服務(wù)器那樣使造價(jià)過高的情況，同時(shí)為業(yè)務(wù)的進(jìn)一步快速增長(zhǎng)留下足夠的空間。

（2）集中式放置

集中式放置就是在核心層上集中設(shè)置客戶管理系統(tǒng)，對(duì)一個(gè)片區(qū)的大量小區(qū)和集團(tuán)用戶進(jìn)行集中認(rèn)證。這種方式的優(yōu)勢(shì)在于可以對(duì)用戶進(jìn)行集中管理，但對(duì)設(shè)備的要求比較高，很有可能成為網(wǎng)絡(luò)進(jìn)一步發(fā)展的瓶頸。因此建議在網(wǎng)絡(luò)建設(shè)初期每個(gè)片區(qū)內(nèi)用戶比較少時(shí)，可以考慮采用這種方法。隨著網(wǎng)絡(luò)建設(shè)的不斷發(fā)展和用戶的不斷增多，還是應(yīng)該過渡到分布式設(shè)置：但集中式設(shè)置的系統(tǒng)并不是不用了，事實(shí)上它可以用來為分布式設(shè)置的系統(tǒng)提供業(yè)務(wù)匯集功能，如對(duì)于VPN業(yè)務(wù)，利用集中式設(shè)置的系統(tǒng)可以簡(jiǎn)化全網(wǎng)配置。

3.接入帶寬控制

用戶如果以以太網(wǎng)方式接入，則城域網(wǎng)提供給用戶的一般是10/100Mbit/S以太網(wǎng)接口。用戶對(duì)這樣的速率并不滿意，主要原因有兩個(gè)：一是城域網(wǎng)目前能夠提供的、需要較高帶寬的、能夠吸引用戶的寬帶業(yè)務(wù)并不多，大部分用戶目前還不需要如此高的速率，他們希望運(yùn)營(yíng)商能夠?qū)捀鶕?jù)他們的實(shí)際需要分成多個(gè)等級(jí)，每個(gè)等級(jí)采用不同的收費(fèi)標(biāo)準(zhǔn)；二是目前用戶上網(wǎng)大部分是為了訪問城域網(wǎng)之外的業(yè)務(wù)，而由于匯集層/骨干層/業(yè)務(wù)層設(shè)備的限制，在城域網(wǎng)之外速率并不高，因此用戶希望運(yùn)營(yíng)商能夠提供與匯集層/骨干層/業(yè)務(wù)層相適應(yīng)的接入速率，以降低資費(fèi)。從競(jìng)爭(zhēng)角度和業(yè)務(wù)發(fā)展趨勢(shì)來看，用戶的這種合理要求應(yīng)該予以滿足。目前，這種要求可以采用兩種不同方法實(shí)現(xiàn)。一種是在分散放置的客戶管理系統(tǒng)上對(duì)每個(gè)用戶的接入帶寬進(jìn)行控制，另一種是在用戶接入點(diǎn)上對(duì)用戶接入帶寬進(jìn)行控制。

[1]  [2]