面向FTTH的EPON系統應用與管理

1.引言

　　近年來(lái)，隨著(zhù)Internet的普及和寬帶應用的發(fā)展，特別是一些“帶寬殺手”應用的不斷涌現，使得接入網(wǎng)帶寬資源日益“捉襟見(jiàn)肘”，為了徹底解決接入網(wǎng)的帶寬瓶頸，光纖到戶(hù)（FTTH）這個(gè)一直以來(lái)作為接入網(wǎng)發(fā)展的最終理想，已經(jīng)具有了提前實(shí)現的迫切需求和可能。EPON是基于千兆以太網(wǎng)的無(wú)源光網(wǎng)絡(luò )技術(shù)，繼承了以太網(wǎng)的低成本和易用性以及光網(wǎng)絡(luò )的高帶寬，是實(shí)現FTTH眾多技術(shù)中“性?xún)r(jià)比”最高的一種。隨著(zhù)EPON國際標準――IEEE802.3ah在2004年的正式發(fā)布，EPON的產(chǎn)業(yè)聯(lián)盟已經(jīng)吸引了眾多廠(chǎng)商的積極參與，從EPON的核心芯片、光模塊到系統，EPON的產(chǎn)業(yè)鏈已經(jīng)日趨成熟。

　　2.面向FTTH的EPON系統

　　首先，面向FTTH的EPON系統中用戶(hù)側設備的用戶(hù)接口種類(lèi)要豐富和帶寬要大。在光纖到戶(hù)的情況下，用戶(hù)的業(yè)務(wù)需求已經(jīng)不再滿(mǎn)足于簡(jiǎn)單的上網(wǎng)，而是變成了集數據、語(yǔ)音和視頻業(yè)務(wù)于一體的綜合業(yè)務(wù)接入需求。這也正是推動(dòng)“三網(wǎng)融合”最重要的驅動(dòng)力。用戶(hù)需求多樣化帶來(lái)的最主要變化之一就是對帶寬需要量的大大增加。以目前IPTV需要帶寬為2Mbit/s，一路高清電視的帶寬為6-8Mbit/s來(lái)計算，每個(gè)用戶(hù)（ ONU）如果要同時(shí)支持2-3個(gè)視頻流（對應2-3個(gè)電視終端），再加上常規的上網(wǎng)帶寬，則需要帶寬至少要在20Mbit/s以上。這是現在的ADSL所無(wú)法滿(mǎn)足的，即使采用ADSL+或VDSL技術(shù)也只能在短距條件下達到這樣的下行帶寬水平，還要付出線(xiàn)路改造的成本。因此，ONU側的基本用戶(hù)接口是10/100M兼容的以太網(wǎng)接口，對于帶寬有更高需求的用戶(hù)，這個(gè)用戶(hù)接口也可以方便的升級到10/100/1000M兼容的以太網(wǎng)接口。這個(gè)接口即可完成IPTV業(yè)務(wù)、IP電話(huà)機和PC的接入。除了基本接口，對于使用普通話(huà)機的用戶(hù)，ONU應提供一個(gè)POTS口。而對于采用“視頻覆蓋”技術(shù)傳輸有限電視信號的解決方案，ONU再增加一個(gè)有線(xiàn)電視信號的接口即可?？傊?，ONU的下面將是一個(gè)透過(guò)智能網(wǎng)關(guān)連接的家庭網(wǎng)絡(luò )，用戶(hù)通過(guò)EPON系統帶來(lái)的高帶寬，就可以享受到家庭網(wǎng)絡(luò )信息化帶來(lái)的各種生活上的便利。

　　其次，局端設備的單個(gè)PON接口可支持的遠端用戶(hù)側設備數量要多。目前，我國FTTH主要用戶(hù)是城市住宅小區的住戶(hù)，其突出特點(diǎn)是：住戶(hù)密度高，單一住宅小區一般有500―3000住戶(hù)。從技術(shù)上，EPON系統的分路比完全可以做到1:128，即一個(gè)PON端口帶128個(gè)ONU。EPON的控制協(xié)議完全可以支持更多的ONU。目前傳輸距離和分路比主要是受光模塊性能指標的限制，隨著(zhù)光模塊技術(shù)的進(jìn)步，這一目標是能夠實(shí)現的。相對于目前1:32的分路比（可支持10-20公里的傳輸距離），面向FTTH的EPON設備將是支持高分路比的設備，每線(xiàn)成本也隨之降低。那時(shí)，如果要完全覆蓋一個(gè)3000戶(hù)左右的住宅小區，在局端就只需要不到30個(gè)PON接口堆疊在一起，大大降低了工程開(kāi)通和維護的復雜度。

　　最后，在面向FTTH應用的EPON系統中，局端設備（OLT）的集成度要高。表現為PON端口的密度增大，OLT通過(guò)增加PON端口的數量來(lái)靈活地擴容以支持更多用戶(hù)。PON端口為單纖雙向，一個(gè)PON接口盤(pán)出2個(gè)PON端口將是很容易實(shí)現的，因此，一個(gè)PON接口盤(pán)的用戶(hù)數將可以達到256個(gè)。相對于目前一個(gè)ADSL用戶(hù)盤(pán)的容納32個(gè)用戶(hù)的水平，面向FTTH的EPON系統在用戶(hù)接入的密度上也具有優(yōu)勢。

　　3.安全管理

　　在復雜的接入網(wǎng)環(huán)境中，有效保證系統和用戶(hù)數據安全，是運營(yíng)商和用戶(hù)越來(lái)越關(guān)心的問(wèn)題。EasyPathEPON在設計上也進(jìn)行了充分的考慮。

　　首先，對用戶(hù)數據安全的保護。用戶(hù)數據安全的威脅主要來(lái)自PON內部用戶(hù)之間，包括內容監聽(tīng)和主動(dòng)攻擊等形式。由于EPON下行方向的數據采取廣播形式，每個(gè)ONU能接收到所有的下行數據，802.3ah標準中為每個(gè)連接設定LLID邏輯鏈路標識，每個(gè)ONU只能接收帶有屬于自己的LLID的數據包，其余的數據包丟棄不再轉發(fā)。但是，LLID主要是為了區分不同連接而設定的，ONU側如果只是簡(jiǎn)單根據LLID進(jìn)行過(guò)濾很顯然還是不夠的，因為傳送的是標準的以太網(wǎng)幀，所以某個(gè)ONU用戶(hù)技術(shù)上完全可以不區分LLID，而獲取非本ONU的信息，用戶(hù)信息的私密性受到威脅，這顯然是用戶(hù)所不愿看到的。為了隔離用戶(hù)信息，保證每個(gè)ONU數據的私密性，就需要在下行方向對每個(gè)ONU的數據進(jìn)行加密。802.3ah標準中建議采用高級加密標準（AES）算法在物理層實(shí)現用戶(hù)信息的加密。經(jīng)過(guò)AES算法加密的用戶(hù)數據有效地降低了信息泄露的可能性，但是如果EPON是一個(gè)簡(jiǎn)單的二層交換系統，用戶(hù)的關(guān)鍵信息，如MAC地址、IP地址等，仍然可以通過(guò)監聽(tīng)鏈路層的廣播消息而獲得，這些信息都可能被網(wǎng)絡(luò )黑客用于實(shí)施各種攻擊。因此，要更好地保障用戶(hù)信息的安全，還要考慮鏈路層的隔離措施，基于PrivateVLAN的二層隔離方案就是一個(gè)很好的選擇。至于來(lái)自于EPON系統外的安全威脅，就需要用戶(hù)采取其他措施進(jìn)行防范了。

　　其次，對EPON系統自身安全的保護。因為，一旦EPON網(wǎng)絡(luò )本身的安全受到威脅，那么受到影響的就將是系統內的全體用戶(hù)?？紤]EPON設備的特點(diǎn)，在以下方面需要做出防范：

　　MAC地址表溢出。MAC地址表是實(shí)現以太網(wǎng)幀正確轉發(fā)的基礎，如果惡意用戶(hù)通過(guò)大量使用假冒的地址使MAC地址表溢出，將造成正常數據業(yè)務(wù)的中斷。因此，在FTTH的應用中，要限制用戶(hù)端口的MAC地址數量，或者干脆直接將用戶(hù)的一個(gè)MAC地址和端口綁定。這兩種辦法都可以防止MAC地址表的溢出，但從便于維護的角度來(lái)說(shuō)，使用第一種方式會(huì )更好一些。

　　上行系統控制幀假冒。如果用戶(hù)能夠從用戶(hù)接口發(fā)送系統的控制幀，如多點(diǎn)控制協(xié)議（MPCP）幀或維護管理（OAM）幀進(jìn)入系統，就會(huì )干擾系統的正常運行，所以一般需要在系統的用戶(hù)接口處對系統控制幀進(jìn)行過(guò)濾，濾除侵入系統的“假冒”控制幀。

　　通過(guò)對EPON系統面臨的安全威脅的分析，并對比已有的解決方案，我們認為EPON系統和ADSL接入在安全性方面是等價(jià)的。由于采用了AES加密算法，甚至在安全方面還要優(yōu)于FTTx+LAN的接入方式。

　　4.用戶(hù)管理

　　面向住宅小區的寬帶接入系統，由于大量用戶(hù)的接入需要管理和計費，因此支持認證、授權、計費（AAA）功能也是EPON系統必須考慮的，具體為：

　　認證(Authentication)：驗證用戶(hù)的身份與可使用的網(wǎng)絡(luò )服務(wù)。

　　授權(Authorization)：依據認證結果向用戶(hù)開(kāi)放網(wǎng)絡(luò )服務(wù)。

　　計費(Accounting)：記錄用戶(hù)對各種網(wǎng)絡(luò )服務(wù)的用量，并提供給計費系統。

　　AAA的功能不僅可以有效地增強網(wǎng)絡(luò )的安全，防止非法用戶(hù)進(jìn)入網(wǎng)絡(luò )，而且是使網(wǎng)絡(luò )具備“可運營(yíng)、可管理和可增值”能力的重要手段。比如，提供靈活的計費方式（如時(shí)長(cháng)、流量、預付費、費率切換、費率折扣、實(shí)時(shí)計費、區分業(yè)務(wù)計費等），提供對增值業(yè)務(wù)與寬帶網(wǎng)絡(luò )價(jià)值鏈的全方位支持等。

　　4.1EPON的AAA系統構成

　　EPON系統是一個(gè)分布式的以太網(wǎng)接入設備，其基本功能主要包括二層的以太網(wǎng)交換。而802.1x的認證體系正是基于端口認證的二層協(xié)議，與EPON結合可以充分發(fā)揮其簡(jiǎn)單高效的優(yōu)勢。這是由于802.1x在接入端口就將業(yè)務(wù)流和認證流分離，避免了給認證者帶來(lái)處理能力上的壓力，實(shí)現更加簡(jiǎn)單，消除了可能存在的性能瓶頸。802.1x依托EPON的匯聚能力，可以將眾多的認證點(diǎn)的信息匯聚后再傳遞給認證服務(wù)器，在減小認證服務(wù)器并發(fā)連接數的同時(shí)，也增加了服務(wù)器同時(shí)管理用戶(hù)的數量。這也體現了認證邊緣化、管理集中化的趨勢。EPON采用802.1x的認證框架，可以實(shí)現對傳統PPP認證架構的兼容，同時(shí)由于采用EAP（擴展認證協(xié)議）認證方式，其擴展性也得到很好的兼顧。隨著(zhù)802.1x的發(fā)展和完善，EPON的認證手段也將不斷完善。正是基于以上考慮，EasyPathEPON系統將802.1x作為自己的首選認證方式。EPON的AAA系統框圖如下所示。


圖EPON的AAA系統框圖

　　申請者是安裝在用戶(hù)PC上的客戶(hù)端軟件，WindowsXP系統自帶了802.1x的客戶(hù)端，易于使用。如果用戶(hù)沒(méi)有PC，或者不想使用客戶(hù)端軟件，那么在ONU上有申請者代理軟件同樣可以實(shí)現認證過(guò)程。用戶(hù)從服務(wù)提供商處申請開(kāi)通業(yè)務(wù)的時(shí)候，服務(wù)提供者在給該用戶(hù)使用的ONU上寫(xiě)入該用戶(hù)的身份識別信息。只要該ONU處于工作狀態(tài)，該用戶(hù)申請的業(yè)務(wù)即被授權。這種情況比較適合簡(jiǎn)單的包月計費的業(yè)務(wù)。

　　認證者系統是EPON需要實(shí)現的重要功能。ONU側的認證代理模塊實(shí)現對受控端口的控制，同時(shí)將分離出來(lái)的認證流在ONU和OLT之間傳送。該模塊還可以完成用戶(hù)設備（PC機）在線(xiàn)狀態(tài)的監測，發(fā)現異常下線(xiàn)的情況及時(shí)上報OLT。

　　OLT側主要包括用戶(hù)管理模塊、PAE模塊、后臺任務(wù)模塊和RADIUS客戶(hù)端模塊。用戶(hù)管理模塊主要用于認證消息的分發(fā)和維護在線(xiàn)用戶(hù)的數據結構。PAE模塊和后臺任務(wù)實(shí)現認證者狀態(tài)機的主體部分。RADIUS客戶(hù)端模塊負責收集認證者實(shí)體需要與認證服務(wù)器交互的消息，轉換為RADIUS協(xié)議幀后與認證服務(wù)器通信。OLT強大的軟件處理能力和實(shí)時(shí)嵌入式操作系統為支持PON系統多用戶(hù)并發(fā)認證和在線(xiàn)用戶(hù)的維護提供了保障。

　　運營(yíng)商一般會(huì )建自己的認證服務(wù)器和計費平臺，只要是基于RADIUS協(xié)議，EPON系統就可以無(wú)縫接入，構成完整的AAA系統。

　　4.2認證

　　EAP可以允許認證者和申請者之間采用靈活的方案進(jìn)行認證，并且對將來(lái)出現的更先進(jìn)、合理的認證技術(shù)具有很好的兼容性。EAP的這些特性主要通過(guò)擴展EAP中廠(chǎng)家定義的“EAP類(lèi)型”域實(shí)現，“EAP類(lèi)型”域中定義的認證類(lèi)型可以滿(mǎn)足不同層次的安全需要。目前可以采用的EAP類(lèi)型有包括PAP、MD5-challenge、One-TimePassword(OTP)、TLS等等。

　　4.3授權

　　認證成功以后，認證服務(wù)器會(huì )將該用戶(hù)的信息傳遞給認證者系統。EPON的認證者系統除了將受控端口閉合，允許用戶(hù)數據進(jìn)入網(wǎng)絡(luò )等標準功能以外，還有一些針對EPON而言更重要的事情要做：首先，根據用戶(hù)申請的帶寬大小，將初始狀態(tài)的默認帶寬修改為用戶(hù)可以得到的實(shí)際帶寬值。由于EPON的動(dòng)態(tài)帶寬（DBA）機制，用戶(hù)可以獲得的帶寬是一個(gè)保證帶寬加上網(wǎng)絡(luò )相對空閑時(shí)的部分剩余帶寬。其次，根據用戶(hù)申請的業(yè)務(wù)種類(lèi)，為用戶(hù)配置業(yè)務(wù)端口，同時(shí)根據協(xié)議類(lèi)型在ONU處劃分VLAN，以便不同業(yè)務(wù)數據的統計和匯聚。再次，根據用戶(hù)的QoS級別，在OLT側為用戶(hù)分配不同的優(yōu)先級隊列。最后，如果運營(yíng)商需要保障用戶(hù)端到端的QoS等級，那么還可以在用戶(hù)數據離開(kāi)EPON系統時(shí)，打上運營(yíng)商指定的VLAN標簽。

　　4.4計費

　　由于OLT集中維護了每個(gè)用戶(hù)詳細的在線(xiàn)信息，并可以統一上報給RADIUS服務(wù)器，所以基于時(shí)長(cháng)的計費粒度可以精確到秒級。而且ONU可以實(shí)時(shí)統計用戶(hù)的業(yè)務(wù)流量，甚至是區分業(yè)務(wù)類(lèi)型的業(yè)務(wù)流量，基于流量的計費也易于實(shí)現。在此基礎上，運營(yíng)商可以為用戶(hù)提供靈活的計費方案。

　　5.結束語(yǔ)

　　FTTH作為接入網(wǎng)發(fā)展的終極目標，在市場(chǎng)和技術(shù)的不斷推動(dòng)之下，正在一步步向我們走來(lái)。EPON從誕生之初就將自己定位在FTTH的理想解決方案之上，在經(jīng)歷了不斷的演進(jìn)和完善之后，正期盼著(zhù)在FTTH建設中大顯身手。