构建可运营、可管理、电信级的光以太网
目录
1 光以太网成为城域网的主流封装技术
2 光以太网提供的业务
3 光以太网的用户管理
4 光以太网的QoS 保证机制
5 结论
关键词 城域网 光以太网 封装 认证 QoS
目前,桌面接入基本已是LAN 一统天下,最后一公里则围绕以太网/ATM 两大主流技术交织演变,DSL与LAN 成为主流接入手段,光城域网蓬勃发展,大部分流量最终汇入IP网,呈现出Everything over IP及IP over Everything的发展趋势,IP已开始统治数据网络世界。光以太网作为目前构建光城域网的主流技术之一,受到各方面的关注和重视,如何构建可运营、可管理、电信级的光以太网成为运营IP业务所必须解决的问题。可运营、可管理、电信级的要求主要体现在:1) 完善的用户管理,主要包括用户认证、计费、访问控制、带宽控制、优先级控制、接入终端控制和多播组控制。2) 有效的QoS保证,主要包括流分类、流量监管、队列调度、拥塞避免等。3) 健全安全机制,主要包括二层严格隔离、三层受控访问、主机保护、网络安全等。4) 丰富的业务提供能力,要求能提供高速以太网上网、多播/ 广播、VoIP、宽带上网卡、VPN、VPDN、带宽出租批发等业务类型。5) 灵活多样的计费支持,既能支持远端SRADIU认证计费,又能支持本地话单定时备份的计费。6) 良好的运营维护能力。本文将就构建光以太网的一些关键问题进行详细的探讨。
1 光以太网成为城域网的主流封装技术
IP数据网按地域方式划分,可分为长途骨干网、城域网、接入网三个层面。长途骨干网由高速传输链路连接大量高速高性能的路由器构成。接入网中 DSL 与LAN 成为主流接入手段,用户量较小情况下,承载在双绞线的DSL 是主要接入手段,高度密集的居住模型下,LAN 则有很好的前景。光城域网承担着在大范围城域区域内承载和传送IP业务的功能,它是以数据为主开放的电信业务承载平台。网络层次如图1。图1 光城域网网络层次从包封装方式上看,存在着以下几种技术方案:1)、IP over ATM over SDH 技术。ATM 具有统计复用、带宽管理、负荷平衡等QoS 支持,通过ATM 封装的IP包在QoS上有很好的保证,但存在封装效率低、体系结构复杂、选路不灵活、高业务量下性能不理想、扩展性差、投资高、维护管理复杂、高速SAR 实现复杂等问题。2)、IP over SDH 技术。IP 封装在传统的SONET/SDH 的 STS/VC 内,主要协议为 PoS(IP/PPP/HDLC/SDH),IP 业务以 DS-1、DS-3、STM-1/4粒度点对点“专线”形式进入传输网络,并以预留核心层-业务高速交换汇聚层-各项业务汇聚接入层-用户高速接入-业务分类分局校园网宾馆商务中心中小企业/家庭用户移动用户居民区ISP务类型。
2 光以太网提供的业务
光以太网可提供高速以太网上网、多播 / 广播、VoIP、宽带上网卡、VPN、VPDN、带宽出租批发等业务类型。提供多种业务类型的光城域网图2中。DIA为互联数据专线、SIA 为共享数据专线、IPLC 为国际数据专线。
3 光以太网的用户管理
可运营、可管理、电信级的光以太网完善的用户管理要求:运营商根据与用户签订的SLA协议,在接入层对用户接入做安全隔离、端口防盗用、端口限速、业务分配优先级、访问控制和分业务分时段计费,在骨干及城域层提供SLA 协议保证的可靠性、分组丢失率、时延、时延抖动等指标。而这一切均基于用户认证技术得以实现,用户认证是可运营、可管理网络的关键。从严格意义上讲,认证功能包括: 识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认和控制,这些构成用户计费和各种安全服务质量机制实施的前提以及多业务支持和发展的基础。由于光以太网建立在二层交换网络之上,认证、计费和IP层管理功能在二层交换无法实现,为此通过引入BAS,作为以太网到IP 网的互通网关和认证触发器,提供ADSL、LAN 等用户接入的终结、认证、计费、管理等接入控制功能,还提供防火墙、安全控制、NAT、带宽管理、流量控制等业务管理功能。目前,作为城域网汇聚层关键设备,BAS设备已经超出了纯BAS的概念,从组网位置看,其功能更趋多样化,主要体现在可同时作为IP Hotel、201+等业务网关,与后台系统配合可提供多种控制和管理手段,与智能平台配合时,还可提供多样化增值业务。根据认证触发的位置,用户认证可大致分为BAS设置方式和 EAS 设置方式,BAS 设置方式针对区域内大量用户进行集中管理,它可以设置在L3层交换机以上的汇聚点、骨干点的任何位置,或外挂在L3层交换机上。EAS 设置方式为分布式采集和集中控制、管理,它设置在L2与L3层交换机之间,这两种设置方式各有优长,BAS设置方式对用户管理是二级过程包括用户—BAS 和BAS —服务器过程两个过程,这两级管理过程均为集中式。EAS采用的是分布式管理代理,即将用户—BAS段分布化管理,而BAS —服务器还是集中式的。从BAS 是否需要具备汇聚功能的角度考虑,BAS 又可分为独立式和汇聚型。独立式BAS 要求具有大容量和高处理性能,在组网结构上,仅作为集中式BAS使用,与汇聚三层交换机间是直通式或外挂式关系;汇聚型BAS 不但要完成BAS 功能,同时还能够完成汇聚功能,因此,可以省去L3,适合建设小型网络,它要求BAS设备具有高端口密度、大容量和高处理性能。光以太网中接入用户的隔离主要基于VLAN,利用VLAN减少广播域,实现用户间信息的隔离,同时三层交换可节省VLAN 配置所耗费的IP 地址,用户认证建立在用户的VLAN之上。目前,数据业务用户认证方式主要有:V L A N / D H C P + 基于物理位置认证方式、P P O E 基于帐号密码的认证方式、VLAN+Web 基于Portal帐号的认证方式、802.1Q基于端口的认证方式、L2TP 认证方式。VLAN/DHCP+ 认证方式是通过用户 MAC 地址或VLAN ID 来确定用户身份,BAS/EAS 完成的功能:1)、BAS/EAS 根据用户权限作 DHCP relay; 2)、BAS/EAS 终结 V L A N;3)、BAS/EAS 转发 DHCPServer 分配的 IP 地址给用户;4)、BAS/EAS 完成IP+VLAN+MAC 的绑定,并在随后对流量作这种绑定的检测。其优点是:1)不需要终端软件,兼容性好;2)对固定用户能够进行精确的定位,能够成为今后开展某些业务的基础。其缺点是:1)用户不能输入卡号和密码,只适合固定用户。2)由于不存在用户登录的认证过程,无法计算时间长,只支持包月制资费方案。PPPOE 认证方式对用户分组采用 PPP 封装方式以拨号方式接入 PPPOE 服务器完成认证。BAS/EAS 完成的功能:1)、BAS/EAS 终结 PPPOE 并转发用户的IP 包,即本地终结一次认证;2)、BAS/EAS 作为RADIUS Client 与 RADIUS Server 一起完成用户的认证,即PPP 续传二次认证;3)、认证通过后,BAS/EAS 分配一合法 IP 地址(可通过内置 DHCP 或外部DHCP Server),建立 IP+VLAN+MAC 的绑定,并在随后对流量作这种绑定的检测。其优点是:1)PPPOE是面向微机终端用户的,可实现在一个共享的以太网段上对各个用户的认证;2)技术成熟,管理简便。其缺点是:1)所有用户数据均由PPP 封装,然后由认证设备终结转发,必然造成效率降低,并使认证设备(BAS)成为网络瓶颈;2 )客户端进行拨号时首先会发起广播包寻找PPPOE服务器,待响应后建立PPP连接,因此需PPPOE服务器与客户端存在一个二层网络,PPPOE 无法穿透三层IP 网络,PPP 连接必须在边缘汇聚层终结,无法实现整网的集中认证,PPPOE 服务器与大量客户端存在同一二层网络,造成管理困难;3)需要安装客户端拨号软件,安装、设定及升级复杂;4)不支持多播;5)不支持非PC终端上的认证,如机顶盒认证;6)通常路由器或客户端MTU 设定成1500BYTE,对大的分组包需封包分割,会对路由器及客户端的IP封包传输造成50% 以上的额外压力。V L A N + W e b 认证方式是从 M A C / V L A N 改良过来的接入认证技术。当用户没完成认证时用户的VLAN只能到达交换机内置或外挂的 Web 认证模块,当用户通过认证后 W e b 认证模块才命令交换机将用户的VLAN ID打开。该方式提供了基于用户身份的认证,客户端不需配置特别的客户端软件,但存在每客户必需有一个单独的VLAN,并且终结在Web/VLAN 交换机上,接入交换机必须支持 VLAN Trunk 功能,同时大量客户端与WEB/VLAN 服务器存在同一二层网络,存在管理困难等问题。IP+Web 认证方式同 VLAN+Web 认证方式相似,当用户没完成认证时用户的IP只能到达交换机内置或外挂的Web 认证模块,当用户通过认证后Web 认证模块才命令三层交换机将用户的IP 地址加入Web/IP 三层交换机的授权表。BAS/EAS 完成的功能:1)、BAS/EAS 的DHCP 分配给用户一IP 地址; 2)、在BAS/EAS上定义ACL,控制未通过认证的用户只能访问特定的WEB 服务器,WEB 服务器作用户认证的 relay;3)、BAS/EAS 作为Radius Client 与Radius Server 一起完成用户的认证;4)、认证通过后,BAS/EAS 建立IP+VLAN+MAC 的绑定,并在随后对流量作这种绑定的检测。其优点是:1)不需要安装客户端软件;2)支持多播;3)可以透过三层设备;4)支持机顶盒认证;5) DHCP+WEB 认证除了可实现基于用户的管理外,还可在智能网络设备及Portal Server的配合下可方便灵活地实现基于应用的管理;6)不存在封包分割及客户端CPU 负载问题。其缺点是:用户没有通过认证(非法用户)也要占用IP地址,存在浪费。802.1Q认证方式基于端口控制即打开和关闭进行认证,主要目的是为了解决无线局域网用户的接入认证问题,有线以太网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线以太网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x 正是基于这一需求而出现的一种认证技术。802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的端口被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。同时,由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。为解决网络在空中传送的安全性问题,采用高度的加密规范,需占用客户端大量CPU资源,同时支持802.1X的接入交换机需具备硬件加解密功能。客户端需安装特定的客户端软件或使用Windows XP。PPTP/L2TP 类似于PPPOE,但可以穿透3 层网,适合VPDN 应用,同PPPOE 一样存在封包分割、客户端CPU 负载、需安装客户端软件(Windows2000 包含)等问题。PPTP/L2TP 设计的目的是做VPDN,认证不是其主要用途。其优点是:1)主要用在VPDN 的网络建设中,但由于这两种技术可以穿透三层网络,因此也可以用于集中的用户认证建网模式中;2)可以有效集中的利用IP地址。其缺点是:1)有协议封装的额外开销,效率低;2)对于多播业务很难支持,即使支持也会浪费大量带宽;3)PPTP/L2TP 不能对用户数据(认证信息可以)实现加密,而所有的用户数据都必须通过 PPTP/L2TP隧道加密,会造成严重的安全隐患;4)难以区分优先级。不同的隧道之间难以划分优先级区别,同一隧道内也难以区分不同业务的多个优先级,即使支持优先级也很有限。实践证明,PPPoE 认证技术、VLAN + Web、IP+Web 认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求,以VLAN +Web、IP +Web 认证技术最佳。BAS/EAS 在上述用户认证过程中,根据后台业务管理系统对用户优先级的设置来设定和控制用户的计费、访问控制、带宽控制、优先级控制、接入终端控制等。
4 光以太网的QoS 保证机制
IP QoS指IP数据流通过网络时的性能,其目的是向部分数据业务用户提供的所需的端到端的服务质量保证,它是运营商向不同等级用户提供差异化服务的基础,这样就对IP网络的骨干层、城域层和接入层提出的全程QoS要求。IP QoS可以用下列参数定义: 可用性,用户和网络的可靠性; 时延; 抖动; 吞吐量; 分组丢弃率。IP 网络的不同层面具有不同的QoS 保证策略和机制,光以太网接入层在接入交换机上为不同等级用户的VLAN 定义不同等级的 802.1p 优先级来保证接入层QoS,骨干层和城域IP层的QoS目前可才用的机制有:IntServ(综合业务体系结构)、Diffser(v区分业务体系结构)、MPLS。IntServ 是基于RSVP 信令的QoS 体系结构,其针对每个数据流提供三种不同的业务类型保证:保障型业务、负载受控型业务、尽力而为型业务,要求每个节点支持RSVP信令,支持接入控制、分类、调度等功能。IntServ扩展性较差,主要用于城域IP网边缘。Diffserv在网络边缘将数据流按QoS要求进行简单分类对不同类别的数据采用不同的转发策略,它使用IPv4 分组中的TOS字段(DS字段)对不同数据流集合进行不同标记采用不同的转发策略PHB。目前定义了四种PHB: 默认PHB、级别选择PHB、加速转发(EF)PHB、确保转发(AF)PHB。Diffserv扩展性好,复杂的分类、标记、警管和整形等操作只在城域IP网的边缘路由器上进行,核心路由器仅负责简单的分组判别和转发。MPLS与Diffserv类似,但它不是像Diffserv那样用标签来决定优先级,而是采用标签决定下一跳路由,通过业务量规划、流量工程等可方便实现真正QoS 保证。目前,通常做法是在长途骨干层采用MPLS,在城域核心层采用 Diffserv,在用户和 POP 点间采用IntServ 的 RSVP,不同网络层面提供不同方式的 QoS保证机制。
5 结论
尽管目前光以太网还有很多问题有待解决,就像IP业务大行其道一样,光以太网也必将成为宽带城域网的主流,一些更深入的问题也必将在业务发展中不断提出、不断解决,促使光以太网不断完善,真正走向可运营、可管理、电信级的IP承载平台。
摘 要 本文对构建可运营可管理电信级光以太网所涉及到的封装技术、用户管理、QoS 保证等相关问题进行探讨。