職業(yè)教育論文-基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的實踐探索 .doc

職業(yè)教育論文-基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的實踐探索摘要寬帶接入網(wǎng)技術(shù)是目前的主流通信技術(shù)，基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)技術(shù)是其中之一。本文介紹了基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的優(yōu)點，并對其技術(shù)進(jìn)行了研究，說明了存在的問題及其解決方法。關(guān)鍵詞以太網(wǎng)標(biāo)準(zhǔn)安全管理用戶管理業(yè)務(wù)管理目前，比較成熟的寬帶接入網(wǎng)主流技術(shù)包括xDS嵫術(shù)、光纖接人技術(shù)、Cable技術(shù)、無線寬帶技術(shù)等。由于基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)提供標(biāo)準(zhǔn)的以太網(wǎng)接口，能夠兼容所有帶標(biāo)準(zhǔn)以太網(wǎng)接口的終端，用戶不需要增加任何新的接口卡或協(xié)議軟件，而且無論是局端網(wǎng)絡(luò)設(shè)備還是用戶端設(shè)備都比ADSL、CableModem等便宜很多。因此，基于以太網(wǎng)技術(shù)的寬帶接入是一種十分廉價的寬帶接入技術(shù)，并將在以后的寬帶IP網(wǎng)絡(luò)接人中發(fā)揮重要作用。以太網(wǎng)(Ethernet)是指基帶局域網(wǎng)。它的接人采用了異步工作方式，很適于處理IP突發(fā)數(shù)據(jù)流，其技術(shù)也已有了重要的變化和突破(LAN交換、星形布線、大容量MAC地址存儲以及管理性等)。與傳統(tǒng)的以太網(wǎng)相比，除了名字以外，它保留的特征僅剩下幀結(jié)構(gòu)和簡單性，而其余的基本特征已有了根本性變化。由于寬帶接入網(wǎng)是一個公用的網(wǎng)絡(luò)環(huán)境，因此，相對于傳統(tǒng)的以太網(wǎng)絡(luò)而言，其要求有了較大的差別，這主要反映在安全管理、用戶管理、業(yè)務(wù)管理等方面。(一)安全管理寬帶接入網(wǎng)絡(luò)與傳統(tǒng)企業(yè)網(wǎng)絡(luò)在對安全機(jī)制的要求方面有很大區(qū)別：傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全性側(cè)重于防范外界攻擊，常使用安裝功能強(qiáng)大的防火墻方式以解決外網(wǎng)的安全問題；寬帶接入網(wǎng)把形形色色的社會用戶連接于內(nèi)部網(wǎng)中，所面對的安全威脅不僅來自外網(wǎng)系統(tǒng)，更大的問題則來自網(wǎng)絡(luò)內(nèi)部系統(tǒng)的直接攻擊。因此，社區(qū)網(wǎng)絡(luò)對于安全機(jī)制的要求更加全面。以太網(wǎng)中大量采用廣播的方式來實現(xiàn)用戶之間的通信。目前，雖然交換機(jī)已得到了廣泛使用，并為每個用戶都提供了專用的網(wǎng)絡(luò)帶寬，但它并沒有縮減廣播域的大小，小區(qū)中任何一幢樓中的計算機(jī)發(fā)出的廣播包都會在整個小區(qū)中轉(zhuǎn)發(fā)。可見，在寬帶接入網(wǎng)這樣一個公用網(wǎng)絡(luò)的環(huán)境中，保證用戶的安全性是十分重要的。1、虛擬局域網(wǎng)(VLAN)的安全措施。傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶從第二層就被隔離開，這就可以防止任何惡意的行為或以太網(wǎng)的信息探聽。然而，這種給每個客戶分配單一的VLAN和IP子網(wǎng)的模式造成了擴(kuò)展方面的局限。主要表現(xiàn)在以下幾個方面：每一個接入用戶端口都需要對應(yīng)到社區(qū)全網(wǎng)一個唯一的VLAN和一個唯一的IP子網(wǎng)中，大量的全局VLAN和IP子網(wǎng)規(guī)劃和配置工作給社區(qū)網(wǎng)絡(luò)管理員帶來巨大的壓力。VLAN的限制：隨著接入用戶的急劇增加，社區(qū)接入網(wǎng)絡(luò)的VLAN資源存在上限?；?02.1Q的VLAN標(biāo)記在理論上其用戶不能超過4095，實際使用中的接人級交換機(jī)和匯聚層級交換機(jī)所能支持的實際VLAN數(shù)目以及能在核心實現(xiàn)的三層路由接口數(shù)量都會大大低于理論值。IP地址緊缺：每個VLAN對應(yīng)一個IP子網(wǎng)。IP子網(wǎng)的劃分勢必造成較大的地址浪費。因此，可以針對每個用戶群(如小區(qū)內(nèi)一棟居民樓)分配一個VLAN。但在同一個VLAN內(nèi)部還是存在廣播的問題。而PVLAN技術(shù)可以解決同一個VLAN內(nèi)部的廣播問題。2、PVLAN技術(shù)。專用VLAN是第二層機(jī)制，在同一個VLAN中有兩類不同安全級別的訪問端口。與用戶連接的端口可定義為專用端口(Privateport)，它與匯聚層交換機(jī)接口相連的上連端口為混雜端口(Promioseuousport)。用戶端口只能發(fā)送流量到上連端口，也只能檢測從上連端口來的流量，用戶端口之間在默認(rèn)情況下由硬件進(jìn)行安全隔離，不能進(jìn)行通信。專用VLAN的應(yīng)用對于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性非常有效。應(yīng)保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過上連端口，這樣，即使在同一VLAN中的用戶，相互之間也不會受到廣播的影響。(二)用戶管理用戶管理技術(shù)的一個重要方面，就是如何保證合法用戶的正常使用，并防止非法用戶的入侵，因此，需要對用戶進(jìn)行合法性認(rèn)證，可以采用以下幾種技術(shù)：1、端口與MAC地址綁定。交換機(jī)的端口連接到用戶的網(wǎng)卡，每一個網(wǎng)卡都有一個全球唯一的MAC地址，任何用戶申請開通上網(wǎng)時都需登記MAC地址，網(wǎng)絡(luò)管理員可注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。每個端口都可靜態(tài)設(shè)置多個MAC地址，如果有非法MAC地址入侵，交換機(jī)就會告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。2、限定端口同時連接的MAC數(shù)量。此種方法不需要進(jìn)行MAC地址和端口的靜態(tài)綁定，而只限制每個端口同時連接的MAC地址的數(shù)量。(三)業(yè)務(wù)管理1、服務(wù)質(zhì)量(QoS)保證。由于話音、視頻等實時業(yè)務(wù)是未來Interne止的重要業(yè)務(wù)，因此，接入網(wǎng)必須為保證QoS提供一定手段，并支持流量優(yōu)先等級，以減少時延、抖動和丟包等。目前，城域網(wǎng)很難實現(xiàn)統(tǒng)一管理，同時，這種方式的擴(kuò)展性不好，不能很好地適應(yīng)城域網(wǎng)的規(guī)模。較好的方法是采用互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的區(qū)分服務(wù)：接入交換機(jī)必須支持802，1Q的流量優(yōu)先級設(shè)置，對于匯聚層、骨干層的交換機(jī)，還需要支持服務(wù)類型(ToS)或區(qū)分服務(wù)體系結(jié)構(gòu)(DiffServ)設(shè)置，支持利用訪問控制列表來設(shè)置基于端口或流量類型的流量優(yōu)先等級。2、帶寬控制。為了保證各種業(yè)務(wù)的QoS，接入網(wǎng)需要提供一定的帶寬控制能力，例如，保證用戶的最低接入速率、限制用戶的最高接入速率，從而支持對業(yè)務(wù)的Qos保證。3、計費管理。目前常用的對用戶的計費方法有：按用戶流量計費、按用戶連接時間計費、包月制。其中，前兩種計費方式比較復(fù)雜，而且非技術(shù)因素較多。對于網(wǎng)絡(luò)設(shè)備選型，應(yīng)考慮到對未來各種收費模式的支持。對于匯聚層的