初級通信工程師考試IP城域網(wǎng)的關鍵技術[1]

7.5.1 IP城域網(wǎng)的關鍵技術

IP城域網(wǎng)的關鍵技術涉及的因素很多，但網(wǎng)絡技術、接入技術等在相關章節(jié)已作過介紹，這里不作贅述。本小節(jié)主要介紹用戶認證與接入、用戶管理、接入帶寬控制、IP地址分配與網(wǎng)絡地址轉換、用戶信息安全、網(wǎng)絡管理等城域網(wǎng)的關鍵技術。

1.用戶認證與接入

運營商建設M絡的根本目的在于能夠通過網(wǎng)絡運營為用戶提供服務而獲取利潤。因此，必須對使用網(wǎng)絡的用戶按照一定的原則進行計費。簡單的計費方式是采用包月制，但由于用戶的需求不一（如高速上網(wǎng)可能范要1Mbit/s帶寬，看MPEG-1節(jié)目可能需要2Mbit/s帶寬，看MPEG-2節(jié)目可能需要6Mbit/s帶寬），隨著競爭的加劇，這種包月制計費方式將難以適應市場需求，因此網(wǎng)絡必須能夠支持按照用戶使用W絡資源的情況進行計費。要做到這一點，必須首先能夠對使用網(wǎng)絡的用戶進行身份認證，以防止非法用戶的盜用。

窄帶接入方式下利用PPP技術通過AAA服務器實現(xiàn)用戶的身份認證并分配1P地址，使得用戶能夠通過接入服務器接入網(wǎng)絡，進行信息的交互。而寬帶接入方式下，通過以太網(wǎng)交換機或路由器實現(xiàn)的網(wǎng)絡，并不提供相應的功能對用戶進行身份認證。因此，要做到這一點，必須引入有關技術與相應的設備，如客戶管理系統(tǒng)。冃前與此有關的技術可以歸為兩類，即+需要嚴格認證的方法和需要嚴格認證的方法。

　?。?）不需要嚴格認證的方法

不需要嚴格認證的方法是將用戶靜態(tài)配置的IP地址或者采用DHCP自動獲取的端U地址與用戶終端設備的MAC地址和基于端口的VLANID捆綁在一起，用戶一開機就自動接入。到網(wǎng)絡中，不需耍對用戶的身份進行認證。上述IP地址、MAC地址與VLANID的捆綁能夠有效地保證合法的終端才能接入M絡中。能夠確保用戶信息的安全性。不過，這種方法存在著一個嚴重的缺陷，只是保證合法終端接入M絡，而不是保證合法用戶接入網(wǎng)絡，不管是集團用戶還是家庭用戶，對此都幾乎難以容忍，這直接導致了DHCP+的出現(xiàn)。而且，這種方式目前還不能做到按用戶進行計費。因此，這種方式只能在網(wǎng)絡建設初期包月制情況下使用。

（2）需要嚴格認證的方法

需要嚴格認證的方法能夠保證每一個使用者都是合法的用戶，一個終端可以有多個不同的用戶，如果與客戶管理系統(tǒng)一起使用，不同用戶還可以擁有訪問網(wǎng)絡資源的不同權限。目前，需要嚴格認證的方法又分為兩種，即PPPoE/A技術和DHCP+技術。

①PPPoE/A技術。PPPoE/A技術既能夠實現(xiàn)一個客戶端與多個遠程主機連接的功能，又能夠提供類似于PPP的訪問控制和計費功能=使用PPPoE/A技術，類似使用點對點協(xié)議的撥號服務方式，每個主機使用只己的點對點協(xié)議棧，用戶使用他們所熟悉的撥號網(wǎng)絡用戶接口進行撥號。通過PPPoE/A技術，每個用戶可以有他自己的接入管理、計費和業(yè)務類型。

PPPoE/A技術有IETF的RFC,技術與設備比較成熟，可以防止地址沖突與地址盜用，既可以按時長計費也可以按流量計費，能夠對特定用戶設置訪問列表過濾或防火墻功能，能夠對具體用戶訪問網(wǎng)絡的速率進行控制，能夠利用現(xiàn)有的用戶認證、管理和計費系統(tǒng)實現(xiàn)寬窄帶用戶的統(tǒng)一管理認證和計費，能夠方便地提供動態(tài)業(yè)務選擇特性，而這些都是DHCP+所不具備的。因此，目前應該使用這種萬法建設寬帶IP城域網(wǎng)。

②DHCP+技術。DHCP+技術是為了適應網(wǎng)絡發(fā)展的需要而對傳統(tǒng)的DHCP進行了改進，主要增加了認證功能，即DHCP服務器在將配置參數(shù)發(fā)給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務器進行認證，通過后才將配置信息發(fā)給客戶端。與PPPoE/A技術一樣，DHCP+技術也需要在客戶端上安裝客戶端軟件。但不同的是，DHCP+客戶端與服務器可以通過在每個子網(wǎng)內增加中繼代理而跨越三層，不一定要在同一個二層內。而且，服務器只是在獲得丨P配置信息階段起作用，以后的通信完全不經(jīng)過它，而PPPoE/A技術由于服務器與客戶端之間存在PPP連接。因此服務器是所有通信的必經(jīng)之路。

DHCP+技術的主要優(yōu)點是使用DHCP+服務器只在用戶接入網(wǎng)絡前為用戶提供配置與管理信息，一般不會成為瓶頸，并能夠很容易地實現(xiàn)組播的應用。但是，DHCP+技術還沒有正式的標準，產(chǎn)品和應用很少；不能防止地址沖突和地址盜用；不能按流量進行計費：不能對用戶的數(shù)據(jù)流量進行控制；并且，應用DHCP+需要改變現(xiàn)有的后臺管理系統(tǒng)。因此，這種方式目前還不具備實際應用的能力，需要等待進一步成熟后才能考慮使用。

2.用戶管理

寬帶IP城域網(wǎng)的用戶主要有兩類，即集團用戶和家庭用戶，集團用戶一般采用包月制方式，不需要認證，而家庭用戶一般希望網(wǎng)絡能夠根據(jù)其實際需要提供業(yè)務和計費。因此，用戶管理主要是對需要進行嚴格認證的用戶的管理。

相對于分散認證分散管理方式（即將用戶信息放置在靠近用戶的匯集層上，用戶接入網(wǎng)絡時客戶管理系統(tǒng)不需要到遠端去就能獲取有關用戶的信息而完成對用戶的認證），采用集中認證集中管理方式（城域網(wǎng)中的用戶集中在一起進行管理，用戶接入網(wǎng)絡時，客戶管理系統(tǒng)利用RADIUS技術到用戶管理中心獲取有關用戶的信息，完成對用戶的認證），管理起來非常方便，特別是在這種情況下，能夠將寬帶RADIUS服務器與窄帶的RADIUS服務器集中放在一起，甚至將兩者合二為一，實現(xiàn)寬窄帶用戶統(tǒng)一管理。因此，將成為必然的選擇。但需要注意的是，在這種方式下客戶管理系統(tǒng)可以根據(jù)網(wǎng)絡業(yè)務量的大小放置在不同的位置上。

　?。?）分布式放置

分布式放置就是在靠近用戶的匯接層（如接入?yún)R接層）上設置客戶管理系統(tǒng)，為該匯接層之下的用戶提供認證、流量控制等功能。這樣做，可以不需要大容量的客戶管理系統(tǒng)，并使網(wǎng)絡的可擴展性非常好。由于可以根據(jù)網(wǎng)絡規(guī)模的大小和業(yè)務需要選擇不同等級的、具有極好性能價格比的客戶管理系統(tǒng)，因此不會出現(xiàn)因為分布式設置而像使用其他寬帶接入服務器那樣使造價過高的情況，同時為業(yè)務的進一步快速增長留下足夠的空間。

（2）集中式放置

集中式放置就是在核心層上集中設置客戶管理系統(tǒng)，對一個片區(qū)的大量小區(qū)和集團用戶進行集中認證。這種方式的優(yōu)勢在于可以對用戶進行集中管理，但對設備的要求比較高，很有可能成為網(wǎng)絡進一步發(fā)展的瓶頸。因此建議在網(wǎng)絡建設初期每個片區(qū)內用戶比較少時，可以考慮采用這種方法。隨著網(wǎng)絡建設的不斷發(fā)展和用戶的不斷增多，還是應該過渡到分布式設置：但集中式設置的系統(tǒng)并不是不用了，事實上它可以用來為分布式設置的系統(tǒng)提供業(yè)務匯集功能，如對于VPN業(yè)務，利用集中式設置的系統(tǒng)可以簡化全網(wǎng)配置。

3.接入帶寬控制

用戶如果以以太網(wǎng)方式接入，則城域網(wǎng)提供給用戶的一般是10/100Mbit/S以太網(wǎng)接口。用戶對這樣的速率并不滿意，主要原因有兩個：一是城域網(wǎng)目前能夠提供的、需要較高帶寬的、能夠吸引用戶的寬帶業(yè)務并不多，大部分用戶目前還不需要如此高的速率，他們希望運營商能夠將帶寬根據(jù)他們的實際需要分成多個等級，每個等級采用不同的收費標準；二是目前用戶上網(wǎng)大部分是為了訪問城域網(wǎng)之外的業(yè)務，而由于匯集層/骨干層/業(yè)務層設備的限制，在城域網(wǎng)之外速率并不高，因此用戶希望運營商能夠提供與匯集層/骨干層/業(yè)務層相適應的接入速率，以降低資費。從競爭角度和業(yè)務發(fā)展趨勢來看，用戶的這種合理要求應該予以滿足。目前，這種要求可以采用兩種不同方法實現(xiàn)。一種是在分散放置的客戶管理系統(tǒng)上對每個用戶的接入帶寬進行控制，另一種是在用戶接入點上對用戶接入帶寬進行控制。

[1]  [2]