电信级以太网技术漫谈

保证设备和网络的安全性是一项十分重要的工作，需要采取一定的措施防止非法进入其系统造成设备和网络无法正常工作，以及某些恶意的消息影响业务的正常提供。

　　传统以太网的安全问题已经通过VLAN技术划分虚拟网段得到解决。但随着互联网的发展，近年来网络经常遭受蠕虫等网络病毒以及黑客的攻击，全网瘫痪的案例时有发生，合法用户的有效带宽、用户的信息安全难以得到保证。因此在建设电信级以太网时，必须考虑如何保证网络的安全性。比较常见的以太网安全解决方案是通过ACL（访问控制列表）或者过滤数据库来过滤非法数据；端口镜像技术可以将任一端口的输入输出流量复制到指定端口输出，帮助网络管理者监控网络的数据内容；一些高端的网络设备具有强大的应用感知和网络级自动免疫能力，能够一定程度地自动感知并过滤不安全的数据流。

　　2.5　以太网的管理

　　电信级以太网能够提供完善强大的网管，并能提供端到端的统一网管能力、集群管理能力、堆叠管理以及可视化图形管理。除了常规的配置、监控、用户数据采样分析等，完善的网络管理还能自动发现网络故障，并能及时恢复，能够自动发现新加入的业务节点，能够配置端到端的业务；网管还能够测量端到端的性能，实时掌控网络的运行情况。

3、几种典型的电信级以太网技术

　　电信级以太网技术种类众多，其中当前比较热门的三种为：传送MPLS（T-MPLS），运营商骨干网传输（PBT，Provider Backbone Transport），运营商VLAN传输（PVT，Provider VLAN Transport）

　　3.1　T-MPLS

　　固定时隙分配的传统SDH在以分组交换为主的网络环境中暴露出很多缺点，难以满足分组以太网业务需求，MPLS技术可以很好地弥补SDH网络的缺点。但若在传统SDH中完全引入复杂的MPLS技术，则会大大提高设备成本和网络的复杂度，也是不合适的。为了适应分组交换和传送的需求，必须对MPLS/PW技术进行简化修改，并跟传送平面相关联（比如SDH、MSTP或其它任何传送设备），即发展成为T-MPLS技术。ITU-T SG15在2006年2月的全会上采纳了T-MPLS的概念，来代替过去的MPLS over传送网的概念，并通过了关于T-MPLS的三个标准，即G.8010.1"T-MPLS体系结构"、G.8112"T-MPLS的NNI接口"、G.8121"T-MPLS设备功能模块特性"。T-MPLS抛弃了IETF为MPLS定义的繁复的控制协议族，简化了数据平面，去掉了不必要的转发处理，并增加了ITU-T传送风格的保护倒换和OAM功能。总体来看，T-MPLS是ITU-T SG15定义的基于MPLS技术的一个面向连接的包传送技术，是MPLS的一个子集，是将数据通信技术同电信网络有效结合的一个技术。

　　T-MPLS与它的客户信号和控制网络（如MCN、SCN）是完全独立的，其不限定要使用某种特定的控制协议或管理方式。T-MPLS承载的客户信号可以是IP/MPLS，也可以是以太网。T-MPLS的连接具有较长的稳定性，这使它可具有传送网络所必备的保护倒换和OAM等功能特性。以太网业务通过T-MPLS传送，会用到MPLS-Ethernet互通机制，也就是PWE3技术。

　　T-MPLS技术由数据平面、管理平面和控制平面三个相关平面组成，从标准化程度来看，现在的标准仅规范了T-MPLS的数据平面部分功能，还需要进一步研究T-MPLS的多播、保护、OAM等功能，此外管理平面和控制平面也需进一步规范，预计T-MPLS的系列标准将在2008年后基本完成。

　　3.2　PBT

　　运营商骨干网传输PBT（Provider Backbone-Transport）技术源自IEEE 802.1ah定义的运营商骨干网桥接PBB（Provider Backbone Bridge），即MAC-in-MAC技术。MAC-in-MAC是一种基于MAC堆栈的技术，用户MAC被封装在运营商MAC之中作为内层MAC加以隔离，增强了以太网的扩展性和业务的安全性。PBB在MAC-in-MAC基础上并引入了I-TAG。I-TAG更适合用来与其它的技术比如MPLS进行互通，它不再被用作标识一个虚拟的网络而是标识一个业务。

　　面向连接的具有电信网络特征的以太网技术PBT最初在2005年10月提出。PBT主要具有以下技术特征：

　　（1）基于MAC-in-MAC但并不等同于MAC-in-MAC，其核心是：通过网络管理和网络控制进行配置，使得电信级以太网中的以太网业务事实上具有连接性，以便实现保护倒换、OAM、QoS、流量工程等电信传送网络的功能；

　　（2）使用运营商MAC（Provider MAC）加上VLAN ID进行业务的转发，从而使得电信级以太网受到运营商的控制而隔离用户网络；

　　（3）基于VLAN关掉MAC自学习功能，避免广播包的泛滥，重用转发表而丢弃一切在PBT转发表中查不到的数据包。

由于采用了两层MAC技术，业务通过DA+VID的方式进行识别，VLAN ID不再是全局有效，不同的DA可重用相同的VLAN ID，VLA