微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > 面向FTTH的EPON系统应用及其管理简介

面向FTTH的EPON系统应用及其管理简介

时间:03-27 来源:赛迪网 点击:

息的安全,还要考虑链路层的隔离措施,基于PrivateVLAN的二层隔离方案就是一个很好的选择。至于来自于EPON系统外的安全威胁,就需要用户采取其他措施进行防范了。

  其次,对EPON系统自身安全的保护。因为,一旦EPON网络本身的安全受到威胁,那么受到影响的就将是系统内的全体用户。考虑EPON设备的特点,在以下方面需要做出防范:

  MAC地址表溢出。MAC地址表是实现以太网帧正确转发的基础,如果恶意用户通过大量使用假冒的地址使MAC地址表溢出,将造成正常数据业务的中断。因此,在FTTH的应用中,要限制用户端口的MAC地址数量,或者干脆直接将用户的一个MAC地址和端口绑定。这两种办法都可以防止MAC地址表的溢出,但从便于维护的角度来说,使用第一种方式会更好一些。

  上行系统控制帧假冒。如果用户能够从用户接口发送系统的控制帧,如多点控制协议(MPCP)帧或维护管理(OAM)帧进入系统,就会干扰系统的正常运行,所以一般需要在系统的用户接口处对系统控制帧进行过滤,滤除侵入系统的"假冒"控制帧。

  通过对EPON系统面临的安全威胁的分析,并对比已有的解决方案,我们认为EPON系统和ADSL接入在安全性方面是等价的。由于采用了AES加密算法,甚至在安全方面还要优于FTTx+LAN的接入方式。

  4. 用户管理

  面向住宅小区的宽带接入系统,由于大量用户的接入需要管理和计费,因此支持认证、授权、计费(AAA)功能也是EPON系统必须考虑的,具体为:

  认证(Authentication):验证用户的身份与可使用的网络服务。

  授权(Authorization):依据认证结果向用户开放网络服务。

  计费(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。

  AAA的功能不仅可以有效地增强网络的安全,防止非法用户进入网络,而且是使网络具备"可运营、可管理和可增值"能力的重要手段。比如,提供灵活的计费方式(如时长、流量、预付费、费率切换、费率折扣、实时计费、区分业务计费等),提供对增值业务与宽带网络价值链的全方位支持等。

  4.1 EPON的AAA系统构成

  EPON系统是一个分布式的以太网接入设备,其基本功能主要包括二层的以太网交换。而802.1x的认证体系正是基于端口认证的二层协议,与EPON结合可以充分发挥其简单高效的优势。这是由于802.1x在接入端口就将业务流和认证流分离,避免了给认证者带来处理能力上的压力,实现更加简单,消除了可能存在的性能瓶颈。802.1x依托EPON的汇聚能力,可以将众多的认证点的信息汇聚后再传递给认证服务器,在减小认证服务器并发连接数的同时,也增加了服务器同时管理用户的数量。这也体现了认证边缘化、管理集中化的趋势。EPON采用802.1x的认证框架,可以实现对传统PPP认证架构的兼容,同时由于采用EAP(扩展认证协议)认证方式,其扩展性也得到很好的兼顾。随着802.1x的发展和完善,EPON的认证手段也将不断完善。正是基于以上考虑,EasyPathEPON系统将802.1x作为自己的首选认证方式。EPON的AAA系统框图如下所示。

  EPON的AAA系统框图

  申请者是安装在用户PC上的客户端软件,WindowsXP系统自带了802.1x的客户端,易于使用。如果用户没有PC,或者不想使用客户端软件,那么在ONU上有申请者代理软件同样可以实现认证过程。用户从服务提供商处申请开通业务的时候,服务提供者在给该用户使用的ONU上写入该用户的身份识别信息。只要该ONU处于工作状态,该用户申请的业务即被授权。这种情况比较适合简单的包月计费的业务。

  认证者系统是EPON需要实现的重要功能。ONU侧的认证代理模块实现对受控端口的控制,同时将分离出来的认证流在ONU和OLT之间传送。该模块还可以完成用户设备(PC机)在线状态的监测,发现异常下线的情况及时上报OLT。

  OLT侧主要包括用户管理模块、PAE模块、后台任务模块和RADIUS客户端模块。用户管理模块主要用于认证消息的分发和维护在线用户的数据结构。PAE模块和后台任务实现认证者状态机的主体部分。RADIUS客户端模块负责收集认证者实体需要与认证服务器交互的消息,转换为RADIUS协议帧后与认证服务器通信。OLT强大的软件处理能力和实时嵌入式操作系统为支持PON系统多用户并发认证和在线用户的维护提供了保障。

  运营商一般会建自己的认证服务器和计费平台,只要是基于RADIUS协议,EPON系统就可以无缝接入,构成完整的AAA系统。

  4.2 认证

EAP可以允许认证者和申请者之间采用灵活的方案进行认证,并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的"EAP类型"域实现,"EAP类型"域中定义的认证类型可

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top