翟正光

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司安達市分公司，黑龍江 安達 151400）

目前，比較成熟的寬帶接入網(wǎng)主流技術(shù)包括xDS技術(shù)、光纖接人技術(shù)、Cable技術(shù)、無線寬帶技術(shù)等?；谝蕴W(wǎng)技術(shù)的寬帶接入網(wǎng)提供標準的以太網(wǎng)接口，能夠兼容所有帶標準以太網(wǎng)接口的終端，用戶不需要增加任何新的接口卡或協(xié)議軟件，而且無論是局端網(wǎng)絡(luò)設(shè)備還是用戶端設(shè)備都比ADSL、Cable－Modem等便宜很多。所以寬帶接入局域網(wǎng)成本相當?shù)土畢s發(fā)揮著巨大的作用，為IP接入鋪平道路，社會價值和企業(yè)經(jīng)濟價值都很可觀。

以太網(wǎng)(Ethernet)是指基帶局域網(wǎng)。它的接人采用了異步工作方式，很適于處理IP突發(fā)數(shù)據(jù)流，其技術(shù)也已有了重要的變化和突破(LAN交換、星形布線、大容量MAC地址存儲以及管理性等)。與以前的局域網(wǎng)相比僅僅保留了原來一樣的結(jié)構(gòu)，方便容易的特性還有姓名未做更改。除此之外已經(jīng)有了翻天覆地的變化。

寬帶網(wǎng)是繼局域網(wǎng)之后出現(xiàn)的。它的出現(xiàn)拓寬了網(wǎng)絡(luò)傳送的數(shù)據(jù)的范圍，使其成為一種大眾享有的資源，這帶來了多種管理方面的新要求。鑒于從前的網(wǎng)絡(luò)管理的使用者，發(fā)行者和受益者大都有固定的群體，管理上較容易。而這些規(guī)章對于寬帶網(wǎng)來說需要重新規(guī)劃。它需要對客戶，業(yè)務(wù)流程，權(quán)限等綜合業(yè)務(wù)進行全面考慮。

1 安全管理

對于網(wǎng)絡(luò)的安全保護方面。以太網(wǎng)，即局域網(wǎng)屬于封閉式，主要針對對抗外界無權(quán)限人員和黑客等的攻擊。主要方式就是防火墻。界限也比較明顯。與以太網(wǎng)不同的是寬帶網(wǎng)原則上來講沒有特定局部區(qū)域，威脅安全的因素和非威脅混合在一起，無法有效預(yù)防，而且較分散。管理難度更大，這需要維護人員重新制定方案，機制需要更加健全來實現(xiàn)有效的保護。

廣播是局域網(wǎng)最廣泛最通常的一項使用方法。雖然現(xiàn)在已經(jīng)發(fā)展出了更新更多樣的傳播方法，但并不影響廣播的使用，一個原因是因為廣播是一種發(fā)散性的設(shè)備，在一定的區(qū)域內(nèi)，無論接受者有多少都不影響其傳播狀況。另外它作為一項傳統(tǒng)設(shè)備的地位暫時還無法動搖。在這種情況下更強調(diào)保護用戶信息，這是很難并且很必要的一項提議。

1.1 虛擬局域網(wǎng)(VLAN)的安全措施。傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，到了第二階段顧客與顧客之間就會被隔離保護，預(yù)防不安全因素發(fā)生。破壞性行為和非法監(jiān)聽都會被拒之門外。

然而，這種給每個客戶分配單一的VLAN和IP子網(wǎng)的模式造成了擴展方面的局限。有下面幾點：

①各個用戶端口針對各個VLAN，每一個端口都要進行專門性的操作，作為聯(lián)網(wǎng)管護者工作量巨大，且密集程度高，自動化差。

②VLAN的限制：隨著接入用戶的急劇增加，社區(qū)接入網(wǎng)絡(luò)的VLAN資源存在上限?；?02.1Q的VLAN標記在理論上其用戶不能超過4095，實際使用中的接入級交換機和匯聚層級交換機所能支持的實際VLAN數(shù)目以及能在核心實現(xiàn)的三層路由接口數(shù)量都會大大低于理論值。

③IP地址緊缺：每個VLAN對應(yīng)一個IP子網(wǎng)。IP子網(wǎng)的劃分勢必造成較大的地址浪費。所以針對每一個小范圍安排一個固定的VLAN，至于當中的廣播問題，VLAN無法解決。這種情況可以通過比它高一級的PVLAN工藝來處理，效果很好。

1.2 PVLAN技術(shù)。專用VLAN是第二層機制，在同一個VLAN中有兩類不同安全級別的訪問端口。與用戶連接的端口可定義為專用端口(Privateport)，它與匯聚層交換機接口相連的上連端口為混雜端口(Promioseuousport)。用戶端口只能發(fā)送流量到上連端口，也只能檢測從上連端口來的流量，用戶端口之間在默認情況下由硬件進行安全隔離，不能進行通信。

為了保證每一個VLAN的專用用戶擁有相對獨立互不侵犯的信息處理系統(tǒng)，需要進行用戶之間進行隔斷處理，而每一個用戶對上一級可以相互流通，這樣以來保證了兩個同級用戶之間相互影響減少，安全性增加，免受集體廣播的干擾。

2 用戶管理

用戶管理的目的就是清除不穩(wěn)定因素，預(yù)防不合法的侵入性因素破壞數(shù)據(jù)，或盜竊數(shù)據(jù)。并保證正常用戶使用的安全性。所以要通過一項認證來確定使用者或操作者的身份，并對其處以不同的對待方式，主要有下列技術(shù)：

2.1 端口與MAC地址綁定。交換機的端口連接到用戶的網(wǎng)卡，每一個網(wǎng)卡都有一個全球唯一的MAC地址，任何用戶申請開通上網(wǎng)時都需登記MAC地址，網(wǎng)絡(luò)管理員可注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。每個端口都可靜態(tài)設(shè)置多個MAC地址，如果有非法MAC地址入侵，交換機就會告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。

2.2 限定端口同時連接的MAC數(shù)量。此種方法不需要進行MAC地址和端口的靜態(tài)綁定，而只限制每個端口同時連接的MAC地址的數(shù)量。

3 業(yè)務(wù)管理

3.1 服務(wù)質(zhì)量(QoS)保證。由于話音、視頻等實時業(yè)務(wù)是未來Interne網(wǎng)的重要業(yè)務(wù)，因此，接入網(wǎng)必須為保證QoS提供一定手段，并支持流量優(yōu)先等級，以減少時延、抖動和丟包等。目前，城域網(wǎng)很難實現(xiàn)統(tǒng)一管理，同時，這種方式的擴展性不好，不能很好地適應(yīng)城域網(wǎng)的規(guī)模。較好的方法是采用互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的區(qū)分服務(wù)：接入交換機必須支持802，1Q的流量優(yōu)先級設(shè)置，對于匯聚層、骨干層的交換機，還需要支持服務(wù)類型(ToS)或區(qū)分服務(wù)體系結(jié)構(gòu)(DiffServ)設(shè)置，支持利用訪問控制列表來設(shè)置基于端口或流量類型的流量優(yōu)先等級。

3.2 帶寬控制。QoS業(yè)務(wù)的保證需要通過操控用戶接入的最高速度和最低速度來保證順利實施。速度太快和太慢都無法得到預(yù)期的結(jié)果。如果太慢的話影響用戶使用的需求量。

3.3 計費管理?，F(xiàn)在有三種計費方式來獲得收入。第一個按照使用強度。就是流量1G收多少費用的方式來收取。第二種按照使用時間，用得久則交得多。第三種每個月固定繳費。第三種從計算上最為簡易方便，前二種則較繁瑣。三種收費方式都要考慮對設(shè)備的選用。另外三種計費方式都能分別計算。

由上述各項分析得出結(jié)論可知，寬帶接入?yún)^(qū)域網(wǎng)是一種利大于弊，前景廣闊的寬帶發(fā)展方向。從各個方面來說都是有前途的，對其不足和不成熟的地方還要集中人力、物力來使其更加完整豐滿。

[1]David L.Mills，“Internet Time Synchronization：The Network Time Protocol”，IEEE TRANSACTIONSON COMMUNICATIONS,VOL.39，NO.10，OCTOBER 1991.pp.1482-1493.

[2]唐惠玲，劉學(xué)軍，“基于以太網(wǎng)控制系統(tǒng)的實時性分析”[J].鐵道通信信號，第40卷第8期，2004，8（40）：13-14.