面向FTTH的EPON系统应用及管理

还要考虑链路层的隔离措施，基于PrivateVLAN的二层隔离方案就是一个很好的选择。至于来自于EPON系统外的安全威胁，就需要用户采取其他措施进行防范了。

　　其次，对EPON系统自身安全的保护。因为，一旦EPON网络本身的安全受到威胁，那么受到影响的就将是系统内的全体用户。考虑EPON设备的特点，在以下方面需要做出防范：

　　MAC地址表溢出。MAC地址表是实现以太网帧正确转发的基础，如果恶意用户通过大量使用假冒的地址使MAC地址表溢出，将造成正常数据业务的中断。因此，在FTTH的应用中，要限制用户端口的MAC地址数量，或者干脆直接将用户的一个MAC地址和端口绑定。这两种办法都可以防止MAC地址表的溢出，但从便于维护的角度来说，使用第一种方式会更好一些。

　　上行系统控制帧假冒。如果用户能够从用户接口发送系统的控制帧，如多点控制协议（MPCP）帧或维护管理（OAM）帧进入系统，就会干扰系统的正常运行，所以一般需要在系统的用户接口处对系统控制帧进行过滤，滤除侵入系统的"假冒"控制帧。

　　通过对EPON系统面临的安全威胁的分析，并对比已有的解决方案，我们认为EPON系统和ADSL接入在安全性方面是等价的。由于采用了AES加密算法，甚至在安全方面还要优于FTTx+LAN的接入方式。

　　4. 用户管理

　　面向住宅小区的宽带接入系统，由于大量用户的接入需要管理和计费，因此支持认证、授权、计费（AAA）功能也是EPON系统必须考虑的，具体为：

　　认证(Authentication)：验证用户的身份与可使用的网络服务。

　　授权(Authorization)：依据认证结果向用户开放网络服务。

　　计费(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

　　AAA的功能不仅可以有效地增强网络的安全，防止非法用户进入网络，而且是使网络具备"可运营、可管理和可增值"能力的重要手段。比如，提供灵活的计费方式（如时长、流量、预付费、费率切换、费率折扣、实时计费、区分业务计费等），提供对增值业务与宽带网络价值链的全方位支持等。

　　4.1 EPON的AAA系统构成

　　EPON系统是一个分布式的以太网接入设备，其基本功能主要包括二层的以太网交换。而802.1x的认证体系正是基于端口认证的二层协议，与EPON结合可以充分发挥其简单高效的优势。这是由于802.1x在接入端口就将业务流和认证流分离，避免了给认证者带来处理能力上的压力，实现更加简单，消除了可能存在的性能瓶颈。802.1x依托EPON的汇聚能力，可以将众多的认证点的信息汇聚后再传递给认证服务器，在减小认证服务器并发连接数的同时，也增加了服务器同时管理用户的数量。这也体现了认证边缘化、管理集中化的趋势。EPON采用802.1x的认证框架，可以实现对传统PPP认证架构的兼容，同时由于采用EAP（扩展认证协议）认证方式，其扩展性也得到很好的兼顾。随着802.1x的发展和完善，EPON的认证手段也将不断完善。正是基于以上考虑，EasyPathEPON系统将802.1x作为自己的首选认证方式。EPON的AAA系统框图如下所示。

　　EPON的AAA系统框图

　　申请者是安装在用户PC上的客户端软件，WindowsXP系统自带了802.1x的客户端，易于使用。如果用户没有PC，或者不想使用客户端软件，那么在ONU上有申请者代理软件同样可以实现认证过程。用户从服务提供商处申请开通业务的时候，服务提供者在给该用户使用的ONU上写入该用户的身份识别信息。只要该ONU处于工作状态，该用户申请的业务即被授权。这种情况比较适合简单的包月计费的业务。

　　认证者系统是EPON需要实现的重要功能。ONU侧的认证代理模块实现对受控端口的控制，同时将分离出来的认证流在ONU和OLT之间传送。该模块还可以完成用户设备（PC机）在线状态的监测，发现异常下线的情况及时上报OLT。

　　OLT侧主要包括用户管理模块、PAE模块、后台任务模块和RADIUS客户端模块。用户管理模块主要用于认证消息的分发和维护在线用户的数据结构。PAE模块和后台任务实现认证者状态机的主体部分。RADIUS客户端模块负责收集认证者实体需要与认证服务器交互的消息，转换为RADIUS协议帧后与认证服务器通信。OLT强大的软件处理能力和实时嵌入式操作系统为支持PON系统多用户并发认证和在线用户的维护提供了保障。

　　运营商一般会建自己的认证服务器和计费平台，只要是基于RADIUS协议，EPON系统就可以无缝接入，构成完整的AAA系统。

　　4.2 认证

EAP可以允许认证者和申请者之间采用灵活的方案进行认证，并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的"EAP类型"域实现，"EAP类型"域中定义的认证类型可以满足不