1、摘 要宽带接入网络的技术发展迅速,其应用也越来越广泛,但是安全问题也伴随着它的发展成为大家越来越关心的问题。在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。针对当前网络中出现的问题,可以采用端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术和方案加以解决。最近 10 年,宽带接入网络在全球蓬勃发展,越来越多的个人用户和企业用户通过宽带接入到 Internet。同时,用户对网络性能的要求也越来越高,他们不再满足于畅通无阻的高带宽接入能力,逐渐对服务的质量提出了更高的要求。在服务质量(Qos)中,一个重要的不能忽视的指标就是安全保证。关键词: 宽带接入网;
2、威胁;质量;安全 ; IIAbstractRapid development of the technology of broadband access network, and their use is growing, but is also accompanied by security issues become a matter of growing concern for its development.In access network environment, users, access devices and networks are faced with various t
3、hreats, especially threats from customer side.On the current problems in the network, port location, you can use the media access control (MAC) address anti-fraud, illegal operations, such as monitoring technology, and solutions to address it.The last 10 years, and flourish in the global broadband a
4、ccess networks, an increasing number of individual users and business users through broadband access to the Internet.Also, a user is getting higher and higher demands on network performance, they are no longer satisfied with smooth high bandwidth access, increasingly higher demands on the quality of
5、 services.Quality of service (QoS), an important indicator that cannot be ignored is security assurances. Keywords Broadband access network;Threats;Quality;Security III目 录摘 要 IAbstractII第 1 章 绪 论 11.1 宽 带接入网的定义 21.2 宽带接入网的主要技术 41.3 宽带接入网 的优势 5第 2 章 宽带接入 网络面临的各种安全威胁 62.1 宽带接入网络安全性问题 72.2 非 法用 户接入 92.
6、3 非法报文 和过量报文 102.4 过量不 同源 MAC 地址的报文 122.5 MAC/IP 地址欺骗 122.6 中 兴宽带接入设备的 安全功能及特点 14第 3 章宽带接 入网设备优化的解决方案 163.1 接入设备本身的支持能力 163.1.1 线路 条件 173.2 看宽带接入 网络正在向光纤化发展 19IV3.2.1 PON 的宽带接入技术优势 213.2.2 PON 技术应用的局限性 223.2.3 PON 技 术的标准进展 23第 4 章 展望宽带 接入网技 术的未来发展方向 294.1 宽带接入技 术的应用 294.2 ADSL 与 UADSL 系统 324.3.1 ADS
7、L 与 UADSL 系统 32结 论 35致 谢 36参考文 献 37附录 1 外文文献译文 39附录 2 外文文献原文 451第 1 章 绪 论自美国政府 1993 年提出建设国家信息基础设施NII,即信息高速以来,讨论和建设信息高速公路的浪潮已推进到欧洲、亚洲、并席卷全世界。韩国和日本是发展最迅猛的国家,这与其政府的大力推动是密不可分的。韩国经过三年的大发展,宽带用户总数突破 1000 万,宽带普及率达到世界第一,占家庭用户的 70,互联网用户的 90,市场规模达到 40 亿美元。日本政府也通过各种措施(包括eJapan、uJapan等一系列国家项目)大力推动宽带技术的发展,目前宽带用户总
8、数为 1500 万,其中光纤到户(FTTh)达到 120 万,在 2005 年宽带用户总数已经提高到 3000 万,其中FTTh达到 1 000 万。一些国家投入大量的人力、物力、财力建设信息高速公路。近两年我国宽带接入网的发展也十分迅速。据初步统计,2003 年底我国宽带上网用户达到了 1740 万,宽带注册用户数为 1010 万。20012003 年,我国互联网宽带用户从 200 万增加到 1740万,年均增长率为 38.5,宽带用户增长率是上网用户增长率的 5.7 倍,我国宽带用户增长进入快速发展期。我国原邮电部已建成了八纵八横的光纤通信主干线,ATM实验网也在多个城市建成,广东省优先建
9、成了带宽多媒体通信网,已在广州,深圳开展VOD业务,并将在广东九城市开通两万用户的VOD网。广电总局也正在全国铺设光缆,实施全国有线电视联网工程,各地有线电视台正积极进行CATV网和HFC技术改造,并已有深圳、广州、青岛等地有线台利用CATV网开展INTERNET接入等多媒体信息服务。 1所有这些都表明,信息高速公路的建设正在世界各国如火如荼地进行着,同时也可看到,各国在建设信息高速公路中都是以宽带网络的建设为基础的。信息高速公路的建设在技术方面就是要解决如何将图像、高速数据和话音等多种业务综合传送到用户的问题,这其中涉及到的主要是宽带网络技术。宽带网络技术由传输技术、交换技术和接入技术三大部
10、分组成。传输技术主要解决干线的大容量,长距离的可靠传输问题,目前采用的物理传输线路是光纤和数字微波,传输体制多采用光纤同步数字传输技术SDH。交换技术要求能提供高速大容量的交换,能支持各种业务,目前2主要是ATM和IP技术。接入技术解决怎样将多媒体信息送到用户家中,即要建设宽带用户接入网的网体,这是整个信息高速公路建设中的关键,被称为信息高速公路最后一公里的问题。宽带接入网的主要技术有铜双绞线接入(xDSL) ,光纤同轴混合接入(HFC)以及光纤接入(FTTH)等。下面首先简要介绍一下宽带接入网的定义和主要技术,以及其主要优势。1.1 宽带接入网的定义接入网(AN: Access Networ
11、k)是指用户和端局(即本地交换局)之间的所有机线设备,具有复用、交叉连接和传输等功能,能支持各种交换型和非交换型业务。图 1-1 给出了接入网在整个通信网中的位置分布图。其中:用户是指用户终端设备(如计算机、电话机等)和用户驻地设备(如用户交换机等) ;核心网是指本地局与市话局、市话局与长途局、长途局与长途局之间的所有区段。可见,接入网是用户与核心网之间的中介网,也可以看成是公共通信网的末端网。图中还给出了接入网与用户之间的接口 UNI(称为用户-网络接口) 、接入网与核心网之间的接口 SNI(称为业务节点接口) 。利用这些接口,也可以定义接入网是指 UNI 和 SNI 之间的所有机线设备。接
12、入网将来自用户的所有业务流组合后通过公共传输通道送往业务节点(如:本地交换机等) ,反过来则将来自业务节点的业务流分开后送往各个用户,其中需要完成 UNI 信令和SNI 信令的转换,但接入网本身并不解释和处理信令的内容,即对用户信令透明。按照线路的转接配置,端局到用户之间的线路连接结构如图 1-2 所示。其中:端局本地交换机(LE)和交接箱之间用大径多芯(几百至几千对芯)馈线连接,交接箱和分线盒之间用小径多芯配线连接,分线盒和用户终端之间是用细径双芯引入线连接。交接箱的作用是完成馈线和配线之间的交叉连接,分线盒的作用是完成配线和引入线之间的分路/合路。通常馈线长几公里,配线长几百米,引入线长几
13、十米。传统的电缆接入网就是这种结构。UNI UNI公共通信网接入网 接入网核心网开一用户用户用户 用户用户用户SNI SNI图 1-1 接入网在整个通信网中的位置3接入网的目的是综合考虑本地交换局、用户环路和终端设备,通过有限的标准化接口将各种用户的需求接入业务节点。接入网的引入给通信网带来了新的变化,使整个通信网络结构发生了根本的变化。由于受传输损耗、传输带宽及噪声等的限制和影响,现行铜线接入网已越来越难以满足电信新业务发展的需求,并逐步成为宽带综合业务数字网的瓶颈所在。作为交换局与用户终端之间的连接纽带,接入网的数字化、宽带化理所当然地被提到议事日程,成为当前电信网发展的焦点之一。近来,随
14、着技术成本的持续下降、电信市场的日益开放以及以IP为代表的数据业务的爆炸式增长,网络的带宽与容量再次成为热门话题和紧缺商品。以美国为代表的发达国家的骨干网正向超高速和超大容量配线馈线引 入 线LE 交 接 箱 分 线 盒用户终端用户终端用户终端用户终端端局图 1-2 端局到用户之间的线路连接结构4的方向发展,高达 160Gbps(1610Gbps)的波分复用系统已投入应用,同时,为了适应这一新的形势,接入网的宽带接入技术也呈现了新的发展态势。 21.2 宽带接入网的主要技术1. 接口技术:主要指V5 接口。V接口是数字交换机的数字用户接口,定义在本地交换机的用户侧。与以前定义的V1 到V4 接
15、口不够标准化相比,V5 接口综合考虑了本地交换机,用户环路与终端设备,是用户数字传输系统和交换机相结合的新型数字接口,目前已标准化的有V5.1(G964)和V5.2(G965)接口,前者支持 2Mbps速率的业务,后者支持多达 16 个 2Mbps,将来还准备定义针对SDH速率的V5.3 接口和针对宽带业务的VB5 接口。2. 光纤接入:光纤是目前传输带宽最宽的介质,目前主干网中已大量采用光纤,如果将光纤应用到用户环路中,定能满足将来各种宽带业务的需要。可以说,光纤接入是宽带接入网的最终形式,但目前要完全抛弃现有的用户网络,全部重新铺设光纤,对于大多数国家和地区来说还是不经济不现实的。3. 混
16、合接入:主要有混合光纤/同轴(HFC)技术,同轴也是一种带宽较宽的介质,目前CATV网就是一种混合光纤同轴网络,主干部分利用光纤,然后用同轴经分支器接入各家用户。HFC接入技术的一大优点是可以利用现有的CATV网,从而降低网络成本。4. 铜线接入:铜线接入以现有的电话线为传输媒介,利用各种先进的调制技术和数字信号处理技术,来提高铜线的传输速率和距离。但是铜线的传输带宽毕竟有限,5铜线接入方式的传输速率和传输距离是一对难以调和的矛盾。5. 无线接入:无线用户环路(WLL)指利用无线技术为固定用户和移动用户提供电信业务,因此无线接入可分为固定无线接入和移动无线接入,采用的无线技术可以包括微波,卫星
17、等。无线接入的优点有:初期投入小,能迅速提供业务,无线接入不需要铺设线路,所以可以省去铺线的大量费用和时间;灵活,可随时按需进行变更,扩容,抗灾难性强;当然无线用户也有许多缺点,如性能不如有线方式,质量不稳定,受环境影响大,目前还难以提供宽带接入,虽然现在已经开始研究利用ATM技术的无线接入系统,但离现实有很大的距离。对于各种接入技术,对于不同的国情,不同的应用场合,应比较各种技术的优缺点,灵活选择。目前世界各地所采用的接入技术就是五花八门的,但总的来说目前实际应用的宽带网络中,提供宽带业务的宽带接入网络主要有三种:光纤接入网,HFC网和铜线接入网。许多专家学者和工程技术人员相继发表文章陈述各
18、种技术的利弊,激烈的争论和技术本身的飞速发展使得广大技术人员感到有些无所是从,在一定程度上影响了接入网的建设,改造。本文主要对HFC宽带接入网的技术问题进行了分析讨论,重点研究了HFC接入技术的国际标准,协议,回传通道的噪声问题,以及为解决噪声问题而采用的集中分配式HFC网络和S-CDMA电缆调制解调器等,最后对宽带接入网建设的一些问题进行了讨论,综合我国的接入网状况,提出了适合我国现状的宽带接入方案。 31.3 宽带接入网的优势宽带接入网的技术实现手段有多种,包括铜线上的DSL和以太网技术,同轴电缆上的HFC技术,光纤上的各种有源和无源技术,以及无线上的宽带接入技术等。当前各种宽带接入技术都
19、在发展和应用,从世界范围看,电信公司是以ADSL为主发展的。根据ATM论坛的统计,2004 年第一季度全球已有 7340 多万ADSL宽带用户,其他宽带接入技术的用户量都不是很大。 46目前的ADSL技术是建立在铜线基础上的宽带接入技术,然而铜是世界性战略资源,所以随着国际铜缆价格的持续攀升,以铜缆为基础的xDSL的线路成本会越来越高;其次,作为有源设备,电磁干扰难以避免,维护成本也会越来越高;最后,随着全网的光纤化进程继续向用户侧延伸,端到端宽带连接的限制将越来越集中在接入段,目前ADSL上行 1MBit/s和下行 8MBit/s的连接速率已无法满足高端用户的长远需求。尽管ADSL2 和AD
20、SL2技术有望缓解这一压力,但其速率和传输距离的继续大幅度提高是受限的,不能指望有本质性突破。显然,随着光纤在长途网、城域网乃至接入网主干段的大量应用,逻辑的发展趋势将是继续向接入网的配线段和引入线部分延伸,关键是推进速度有多快。这将取决于多种因素,包括市场的需求、竞争的需要、应用的刺激、技术的进步、成本的下降以及配套运维系统的开发,等等。我国举办 2008 年奥运会和 2010年世界博览会这两大事件将在一定程度上推进宽带光纤接入网的发展。下面将重点从技术角度来分析几种主要宽带光纤接入技术的特征、问题和发展趋势。5第 2 章 宽带接入网络面临的各种安全威胁最近 10 年,宽带接入网络在全球蓬勃
21、发展,越来越多的个人用户和企业用户通过宽带接入连接到了Internet。同时,用户的上网体验越来越细腻,他们不再满足于接入能力、畅通无阻的高带宽,而逐渐对服务的质量提出了更高的要求。在服务质量中,一个重要的、不能忽视的课题就是 安全保证。72.1 宽带接入安全性问题接入网络的蓬勃发展带来了成倍的用户,但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后,接入网安全性问题日益凸现,监听他人信息,盗取业务(Theft of Service) ,甚至造成他人遭受拒绝服务(Denial of Service)攻击3等安全性问题时有发生。提供电信运营级的接入网络,为用户提供安全的
22、接入服务,检测非法业务,保证网络设备正常运行,就成为设备商和运营商共同关注的问题。宽带接入技术呈现多样化趋势,包括xDSL、HFC、xPON和Wimax无线接入等等,他们大致都具有下面的网络架构1:图 1 宽带接入网络的架构包括以下几个组成部分:1 用户自组网络 Customer Prem. Net。xDSL是当前最普遍的用户接入方式。2 接入节点 AN(Access Node) 。完成用户线缆的物理终结,或者无线信道的终结。AN最靠近用户,是安全防护的第一道门栏。在接入网安全中,AN占有重要的地位。3 以太网汇聚网络 Ethernet Aggregation Network。它进一步对汇聚数
23、据,同时也肩负网络内部数据交换的任务。4 宽带网络网关 Broadband Network Geteway ,它包括很多功能:终8结以太层及其对应的封装、用户认证(结合认证服务器) 、用户端自动配置、QoS业务保证、默认网关等等。接入节点、以太汇聚网络和宽带网络网关属于运营商所有,这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用,用户自主网路对运营商是不可信的。有时安全问题产生于信任域内,但是安全威胁大都来自不信任网络内恶意用户或者程序的攻击。归纳起来,当前,接入网络中主要有下面的一些安全问题:1 非法用户的接入2 非法报文和恶意报文发送3 MAC/IP地址欺骗,冒用M
24、AC地址或者IP地址,偷取他人的业务服务或者造成DoS攻击2.2 非法用户接入非法用户接入性质严重,直接损害运营商的运营收益。如果不对用户进行识别和认证,那么非法用户接入就会大量存在。用户识别与认证技术已经非常的成熟,比如PPPoE、DHCP+Web和 802.1x等已经被普遍使用。业界当前普遍关注的问题是:对用户端口(也称为用户线路)的识别。如果认证服务器只是通过用户名来识别用户,那么用户可以把自己的用户名和密码共享给其他用户,其他用户也能上网,这是运营商不希望看到的。9过去在PPPoA为主要接入方式时,用户VC在BRAS上终结,因此,用户的端口信息直接就可以在BRAS上获取。现在,PPPo
25、E和IPoA是主要的接入方式。这两种接入方式下,没有办法让BRAS直接获取端口信息。当前,有多种用户端口(或者用户线路)识别方案被提出来:* DHCP option82 DHCP Option82(RFC3046)在DHCP(RFC2131)的基础上,对DHCP协议流程进行了扩充。AN需要截获DHCP上下行协议报文,扮演 2 层DHCP Relay Agent的角色。上行方向,将端口信息插入到option82 字段中;下行方向,剥离此字段信息(可选) 。下图为协议交互图:图 2 DHCP Option82 协议交互图10* PPPoE+ 又称为 PPPoE Intermediate Agent
26、,和 DHCP option82 类似,它对 PPPoE 协议报文进行了扩充。AN 截获 PPPoE 搜索阶段的协议报文,上行插入端口信息。下图为其协议交互图:图 3 PPPoE+协议交互图* VBAS 和 PPPoE+略有不同,VBAS 修改 PPPoE 的流程,在用户与 BRAS 协议交互中,插入 BRAS 与 AN 的交互,获取端口信息。协议交互图如下:图 4 VBAS 协议交互图11* VLAN Stacking 也就是双 Tag,使用内层 VLAN 来唯一标识用户端口信息。* VMAC 该方法对每个用户数据报文的源 MAC 地址按照特定规则进行翻译,翻译后的 MAC 地址包含了用户端
27、口信息。这样 BRAS 在 PPPoE 协议交互时,就可以直接从源 MAC 地址信息中获取到用户端口信息。各种实现方式的优缺点如下:表格 1 端口识别技术优缺点对比2.3 非法报文和过量报文上行方向,因为用户自组网络不受控,如果恶意用户构造非法协议报文,向上发送,就会导致网络设备处理性能下降,有时还造成网络设备系统紊乱,甚至死机。如果恶意用户过量地上行发送协议、广播报文,无论是合法还是非法,都会造成系统设备性能明显下降,因为协议、广播等报文的处理非常消耗设备资源。12下行方向,尽管处于可控的网络域内,但是因为设备自身稳定性问题,以及网络复杂性问题,也可能会出现非法或者过量报文发送,也需要进行防
28、范。归纳起来,非法报文包括:1. 非法源 MAC 地址报文。源 MAC 地址不能是广播或者组播地址;有些MAC 地址已经被标准组织所预留,不能被普通用户使用。2. 非法协议报文。从理论上分析,IGMP 协议上行方向不可能有 Query 报文,下行方向不可能有 Report/Leave/Join 报文;DHCP 协议上行不可能出现Offer/Ack 报文,下行不可能出现 Discover/Request;PPPoE 协议上行不会有PADO 和 PADS 报文,下行不会有 PADI 和 PADR 报文;路由协议报文等。根据需要,对这些报文都可以拦截过滤。133. 超长报文、超短报文或者校验错报文。
29、低于 64 字节的报文或者大于1518 字节的报文。特定情况下,超长报文(jumbo frame)是允许的。过量报文类型一般分成以下几类:1. 过量的协议报文2. 过量的广播报文3. 过量的组播报文2.4 过量不同源 MAC 地址的报文前面三种过量报文类型会大量吞噬设备处理资源,第四种会占用交换芯片有限的 MAC 地址表资源,都需要进行控制。前三种过量报文的处理步骤一般如下:1. 匹配特定类型的报文 特征是:特定的协议报文、广播报文(或者某种更具体特征的广播报文) 、组播报文(或者某种更具体特征的组播报文)2. 统计此类报文的发送速率3. 如果发送速率超过预定义的速率,抛弃报文处理过量协议、广
30、播和组播报文的技术又称为报文抑制。14解决过量源 MAC 地址问题比较简单:可设定用户侧端口学习 MAC 地址个数的上限。这样,一旦端口达到预定义的 MAC 地址个数,后续带有新 MAC 地址的报文一律被丢弃。152.5 MAC/IP 地址欺骗MAC/IP 地址欺骗是非常严重的安全威胁。MAC 地址欺骗的本质是会出现重复的 MAC 地址,造成交换芯片 MAC 学习迁移,部分用户无法上网。MAC 地址欺骗可以分成下面两种类型:1 用户的 MAC 地址欺骗;2 上游网络业务服务器(如 BRAS,DHCP Server/Relay,默认网关等)的 MAC 地址欺骗;以太网中 MAC 地址信息基本是公
31、开的,通过扫描工具,用户也可以较容易地获取其它用户的 MAC 地址信息。如果相同的 MAC 地址出现在设备的不同用户端口上,就会造成 MAC 地址学习发生紊乱,导致用户无法上网。为了增强安全性,在接入网络,一般要求在 AN 处实现用户端口隔离:在同一个 VLAN 下的用户之间相互不能通信,而只能和上行汇聚口互通。用户端口隔离可以通过 PVLAN(Private VLAN)技术来实现。1617图 5 PVLAN假定 PortA、PortB 到 PortF 都属于一个 VLAN,PortA 是上联口。如果设置为 PVLAN,那么上行,用户口只能和 PortA 互通;下行 PortA 可以和 Por
32、tB到 PortF 用户端口相通。不是所有的交换芯片都支持 PVLAN 的功能,即使支持 PVLAN 的功能,也有可能因为设备 MAC 地址设置不当造成 MAC 地址重复问题,或者用户通过其他渠道获得其他用户的 MAC(比如暴力MAC 尝试) 。PVLAN 技术本身不足以完全解决用户侧 MAC 地址欺骗问题。解决用户侧 MAC 地址欺骗,存在不同的解决方法,优缺点各不相同:1. VMAC 在 AN 处,上行方向,给每个分配或者生成一个独一无二的虚拟 MAC(Virtual MAC,简称 VMAC)地址。被解释以后的 MAC 地址因为是设备自己产生的,因此是可信的,而且确保不会出现用户侧 MAC
33、 地址重复的现象。使用 VMAC 地址代替报文的源 MAC 地址。下行方向,根据 VMAC 查找到对应的原始的 MAC 地址,然后使用原始 MAC 地址代替 VMAC 地址。VMAC 不仅仅可用来防止用户 MAC 地址欺骗,还可防止对业务服务器 MAC 地址的欺骗,并且也可以用于用户端口识别。缺点是影响与 MAC 地址相关的协议,处理复杂。2. MAC 地址绑定 将 MAC 地址静态绑定到用户端口,如果数据报文的源MAC 地址和绑定的 MAC 地址不同,那么被丢弃。此方法非常简单,但存在管理难的问题。3. 基于 PPPoE Session 感知的数据报文转发 应用于 PPPoE 接入环境。每个
34、用户都对应独一的 PPPoE_SessionID。我们可以在 AN 上记录一张的表,上行直接汇聚,下行可以查看该表来进行数据转发。这样,数据报文的转发完全可以不使用 MAC 地址,也就不需要学习,从而也就不存在 MAC 地址重复问题。184. 基于 IP 感知的数据报文转发 应用于 IPoE 的接入环境。在 AN 上,建立一张表,因为 IP 是唯一的,所以不会存在 IP 重复的现象,数据报文下行转发没有问题。和基于 PPPoE Session 的数据报文转发一样,AN 上也不需要 MAC学习。利用 PPPoE Session 或者 IP 感知的方式和传统的二层交换机的转发机制已经有质的不同,一
35、般的交换芯片难以实现。他们的优点是,不用修改数据报文,不会影响其它协议。业务服务器的 MAC 地址欺骗将会使得网络设备的业务服务器 MAC 地址学习发生迁移,从而造成设备下的部分用户无法上网。业务服务器 MAC 地址防欺骗可以使用下面的技术来解决:1. VMAC 使用 VMAC 可以解决在各种接入环境下的业务服务器 MAC 欺骗。2. 业务服务器 MAC 地址静态配置 手动将业务服务器的 MAC 配置到 AN 交换芯片的静态 MAC 地址表上,这样业务服务器 MAC 地址学习就不会发生迁移。3. 业务服务器 MAC 地址自动配置 基本思想是,让 AN 充当 PPPoE 或者DHCP 客户端,定
36、期发起 PPPoE 或者 DHCP 请求,这样就可以动态的获取 BRAS和 DHCP Server/Relay 的 MAC 地址。其优点非常明显:利用现有的协议,不用手动配置,不修改数据报文,不影响其它协议。19IP 欺骗存在于 IPoE 接入场景下,冒用他人 IP 地址,盗取服务,或者没有通过 DHCP 获得配置信息的情况下接入网络,妨碍了运营商的统一管理。解决这个问题需要在 AN 上实现 DHCP IP Source Guard。它监听来往于用户和DHCP Server/Relay 的协议报文,在用户没有获取配置信息以前,除了 DHCP协议报文,其他上行报文统统抛弃。一旦监听到 DHCP
37、Ack 报文,就绑定到用户端口,使能上行数据报文的发送,同时保证上行数据报文的和绑定的一致。在 DHCP 租用到期后,取消这种捆绑,并且停止上行非 DHCP 协议报文的发送。202.6 中兴宽带接入设备的安全功能及特点经过多年的积累,中兴通讯的宽带接入设备已经在国际国内大规模使用。面对各种不同的安全要求场景,中兴通讯的宽带接入设备都经受住了各种各样的考验。前面描述的技术问题,是目前业界比较关注的问题。除了提供对这些问题的解决方法外,中兴通信宽带接入设备还支持很多其他重要的安全功能。具体如下:1. 用户标识功能(也就是前面说的非法用户接入)* DHCP Option82* PPPoE+* VBA
38、S* VLAN Stacking2. 认证* 802.1x* Radius client3. MAC/IP 地址欺骗* MAC 地址绑定,通过绑定 MAC 地址来防止 MAC 地址欺骗。* IP 地址绑定,通过绑定 IP 地址来防止 IP 地址欺骗。21* MAC 地址个数限制,限制 MAC 地址个数可以减少 MAC 地址欺骗的可能性。* IP 地址个数限制,限制 IP 地址个数可以减少 IP 地址欺骗的可能性。* DHCP Snooping Guard,动态绑定 IP/MAC 地址到端口。4. 过量和非法报文* 广播报文抑制/组播报文抑制/未知单播报文抑制* 数据流限速* 非法协议报文过滤,
39、PPPoE 非法协议报文过滤和 IGMP 非法协议过滤* 未知组播报文过滤5. 组播安全* IGMP 协议报文抑制,基于端口和基于 VLAN。* 用户端口组播组过滤,用户端口组播组个数限制* 组播组个数限制* 组播 VLAN,其他 VLAN 不跑组播业务6. 高层协议安全* SNMP v3* SSHv222* 路由协议认证,包括 RIP/OSPF/IS-IS/BGP 的各种认证7. 其他* ACL,强大的 L2 到 L7 多层次报文识别功能。* PVLAN* 网管 IP 地址限制,只有特定的 IP 地址才能 SNMP 访问设备。* Telnet IP 地址限制,只有特定的 IP 地址才能 Te
40、lnet 访问设备。* 多级用户权限和口令保护第 3 章宽带接入网设备优化的解决方案3.1 接入设备本身的支持能力根据运营商对未来几年内的网络模型规划,并综合考虑低端用户、高端用户以及 IPTV 用户的所占比例、峰值集线比等因素,平均每个宽带用户最少需要 800Kbps 左右的接入带宽。在宽带发展初期,以及现在建设的一些模块局,DSLAM 通常采用 STM-1、E1 或者 FE 作为上行方式,在没有 IPTV 等增值业务的压力时,这三种方式完全可以满足需要。但当每个终端用户需要 800Kbps 以上23的接入带宽时,则需要提供 GE 的上行方式才能满足发展增值业务对于带宽的需求。所以需要对当前
41、的宽带接入网进行网络优化:(1)采用 STM-1 以及 E1 上联方式的 DSLAM 可以仅仅接入专线用户,严格保证专线用户的通信质量;其他用户可分流到 GE 上行的 DSLAM 设备上。(2)对于采用 FE 上行的 DSLAM,如果用户数量在 200 以下,或者在偏远地区,上联资源有限,可以保留原有上行方式;如果用户数量超过 200,可根据具体情况将多台 DSLAM 的用户归并到一台 DSLAM 设备上,并采用 GE 上行。(3)原有采用 STM-1、E1 和 FE 级联的 DSLAM,可根据具体情况拆除级联,并根据上述原则采用不同的上行方式组网。因为 DSLAM 将提供 TriplePla
42、y 的接入,所以除了考虑上行带宽这一主要因素外,还需要考虑 DSLAM 设备对组播的支持能力、Qos 的支持能力、网络侧链路保护能力、网络安全能力等因素。另外,未来将有可能为用户开通HDTV,每个 HDTV 将占用 10Mbps 的带宽,所以提供双向 100Mbps 带宽的 VDSL2将是以后 DSL 发展的主要方向;而为了保护现有网络的投资,以及考虑面向NGN/IMS 的应用,DSLAM 最好具备可以平滑过渡到接入网关 AG 的能力。3.1.1 线路条件DSL 线路质量会受到各种因素的影响,如近端串扰、远端串扰、干扰、线路长度等。其中最重要的因素就是线路长度。为了满足增值业务的需要,宽带用户的接入带宽应为 4Mbps 左右。根据 DSLAM 在实验室的测试结果,如果采用ADSL 宽带接入网方式,则接入距离至多为 2.8km 左右;如果采用 ADSL2+接入方式,则接入距离至多为 3.5km 左右。而在实际应用中,由于应用环境比较复杂,要达到 4Mbps 的接入带宽,所需的接入距离还要小于实验室的测试值。一般的,接入距离在 2.5km 时,用户接入带宽可以达到 4Mbps。据调查,在中国,24城市中心区域接入距离在 2.
