宽带IP接入的相关技术
宽带IP城域网的建设正处于稳步发展时期,从最初的圈地到目前有序的网络建设过程中,宽带IP接入技术也在不断地摸索发展,逐步适应网络的建设、维护、管理以及业务的开展等各种需要。本文主要论述宽带IP城域网接入网的一些较新的关键技术。
1. 增强的组播功能
组播对于Internet的应用而言,是一种非常有用的技术,最终用户可通过组播接收ISP或CSP提供的音频、视频等业务。目前宽带城域网接入层一般采用路由交换机(或称中心接入交换机) 以太网交换机(或称楼道接入交换机)将Internet业务接入到住宅用户、企业、学校等。为了节省组播数据流所占据的带宽,在楼道接入交换机上设计了基于IGMP的探测技术,称为IGMP Snooping,其目的是将上层路由交换机发送过来的单份组播数据流分发给多个用户,如图1所示。
在一般情况下,这种技术能够实现真正的组播,如图1a所示。但是,在宽带接入的应用中,为了安全起见,需要使用VLAN做用户的二层隔离,使得用户之间的通信只能通过VLAN路由发生在中心接入交换机上。我们知道,VLAN路由需要为每个VLAN分配一个子网,这样在中心交换机的一个端口上会存在多个IP interface,根据IGMP本身的定义,即使这些用户点一套节目,也会被认为属于不同的接口而分发多次。因此,在以太网交换机的IGMP Snooping上做了一些改动,将所有IGMP PDU放入一个缺省VLAN中,使得中心交换机认为这些组播流只发生在一个IP interface上,这样,就可以节省带宽,实现真正意义的组播。
2. VLAN聚合
根据IPv4子网划分概念,为了给用户分配一个有效的IP地址,最多可以有30位掩码(255.255.255.252),这样一个子网中共有4个IP地址,其中一个为有限广播地址,一个为保留地址,剩下的两个地址分别为用户主机IP地址和用户网关IP地址。这样计算下来,每个用户实际占用了4个IP地址,造成IP地址空间的严重浪费。
对此,提出了VLAN聚合的概念,即在以太网交换机上仍然为每个用户划分一个VLAN,但不再是每个用户一个子网,而是给挂在同一台交换机上的所有用户划分一个大的子网,且共用同一个网关地址。用户之间的通信也不再使用VLAN路由,而是通过路由交换机上的ARP Server来实现。
ARP Server的工作原理为,路由交换机使用自身的MAC地址应答来自用户A的ARP请求,并转发来自用户A的IP数据包到用户B,具体通信流程如图2所示。对于属于不同VLAN的用户之间仍然采用VLAN路由进行通信。
3. 集群管理
在宽带城域网的接入网中,楼道接入交换机的配置大多相同,为了降低网络管理员的配置、管理、维护的工作量,可以将一组楼道接入交换机看成一个集群管理域,网络管理员只需要在中心机房使用一条命令就可同时配置多台交换机。在这种管理模式下,也不需要为楼道交换机配置IP地址,在一定程度上节省了IP地址资源。
集群管理的实现分两个部分:一个是安装在主机上的图形化管理软件,该软件的设计基于SNMP协议,管理员通过企业MIB操作设置/取消主设备,获取主设备的拓扑图并向主设备发送各种命令,如图3所示;另外一个为集群管理二层协议(Cluster Management L2 Link Protocol),可简称为C.Link协议,主要功能为基于MAC的拓扑发现以及对来自管理主机的命令进行分解与执行。下面介绍一下集群管理的二层协议功能。
(1)基于MAC的拓扑发现
为了获得准确的拓扑结构,仅仅使用三层协议是不够的,目前很多厂家提供的拓扑自动发现功能基本上是基于SNMP、ICMP、Traceroute等三层IP数据包,而以太网交换机对这些包都是透明传输的,因而无法发现以太网交换机之间的物理连接情况。由于三层拓扑发现具有上述的局限性,因此定义了二层拓扑妨碍协议,先由管理员指定主设备,然后由主设备发起拓扑查询消息,从设备标记接收到消息的端口,在该端口发送"正在查询"消息,并向其他端口发拓扑查询消息,如此传递,直到从设备不再接收到查询应答消息,此时,逐级向上传递拓扑消息。该算法递归查询,可设置可查询的最大级数(如5级)。
(2)命令分解
主设备分解来自管理主机的集群管理命令(集群管理由基于CLI的字符串组成),根据存储的从设备信息(主要是设备型号及其软件版本)分解命令,用单播MAC包发送到各个从设备,从设备完成收到的命令后返回确认消息。对于软件升级应先将新软件传到主设备上(可通过TFTP或xMODEM),再进行升级。
4. 用户认证及计费
目前Internet内容繁多,但多为免费业务,运营商还不能根据用户访问的内容进行计费。为了保证运营商的利益,促进Internet内容的发展,在城域网接入层提供用户认证和计费服务。认证及计费的种类比较多,如PPPoE认证、基于应用层的认证、基于IEEE 802.1x的端口认证等。但是PPPoE的接入方式对组播的支持不好,已逐渐被另外两种认证方式所取代。
(1)基于应用层的认证
目前宽带接入使用较多的认证为DHCP Radius方式,即用户在上网前必须登录到某Web门户网站,进行用户名以及口令的认证,认证通过后可访问Internet,并由后台开始计费,计费方式分为包月制、按时长计费和按流量计费等。这种认证方式的优点在于不需要安装客户端软件,用户只要打开IE就开始认证。虽然这种方式简化了客户端,但认证流程变得复杂,并且在客户端也造成了一些限制,如无法检测客户端是否使用了NAT或代理服务器等。因此,在Web认证的基础上做了进一步的工作,简化了认证流程,设计制作了客户端软件,该软件使用方便,类似拨号方式接入,只要运行该客户端程序,就可在网管服务器后台进行用户名、口令的验证。为了保证账号的安全性,对用户信息数据包进行加密,维护了客户的利益。该客户端软件可以检测客户端是否安装了代理服务器或NAT等,如果安装了,则无法进行认证。同时,客户还可以即时查询自己的账号信息,接收来自网管中心的通知等。另外,客户端软件对于探测来说也是非常必要的。
(2)基于IEEE 802.1x的认证EAPOL
EAPOL即IEEE 802.1x协议中定义的EAP en*9鄄capsulation Over LANs,可以用于802.3/Ethernet、Token Ring/FDDI等不同的网络,采用以太网封装格式的EAPOL,实现对交换机端口转发数据包功能的控制。根据IEEE 802.1x中的定义,以太网交换机的每个端口被分为两个逻辑端口,分别是控制口和数据口,在初始状态下,控制口始终是使能的,而数据口被禁止访问。控制口只接收某种特殊的组播MAC包,而EAPOL控制报文就被封装到该组播MAC包中,并送至交换机的CPU。CPU对EAPOL包进行解析,提取用户名、口令等信息并封装为Radius数据包发送到Radius服务器进行认证。所以支持EAPOL认证的以太网交换机必须具备部分三层功能。用户认证通过后,数据端口被开放,用户即可访问外部网络。在实际应用中,一个端口可能连接了若干台主机,在这种情况下,只进行端口认证就无法控制多个用户的访问,因此要采用端口的MAC地址绑定功能,即只允许通过认证的计算机进行正常通信。除此之外,EAPOL客户端程序也支持上面提到的代理、NAT检测、账号信息自查、接收网管通告等功能。