寬帶ＩＰ城域網及其應用

邊延風　尤蘇軍

摘要：

文章結合南京電信公眾寬帶IP城域網的建設，對寬帶IP城域網的網絡結構、用戶接入安全、網絡管理和認證計費作了闡述，并簡要介紹了應用于寬帶IP城域網上的一些業務。

關鍵詞：

寬帶IP城域網；虛擬局域網；接入安全；網絡管理；認證；計費

ABSTRACT:

ReferringtotheNanjingTelecom‘spublicbroadbandIPMAN,thepaperdescribe

ssomecharacteristicsofbroadbandIPMAN,suchasthenetworkarchitecture,s

ubscriberaccesssecurity,networkmanagementandbillingbysignalauthenti

cation,andinaddition,brieflyintroducessomeapplicationservicesoverbr

oadbandIPMAN.

KEYWORDS:BroadbandIPMAN;VLAN;Accesssecurity;Networkmanagement;

Authentication;Billing

隨著世界經濟進入數字新經濟時代，電信技術和信息網絡技術得到了前所未有的迅猛發展。整個電信行業從網絡到業務都發生了巨大的變化，而且面臨更多的機遇和挑戰。因特網上的商業應用和多媒體等服務得到了快速推廣，人們已不滿足于簡單的網上文字通信方式，要求具有可觀可感的通信效果。寬帶城域網正是為了適應人們日益發展的通信需求，利用先進的高速接入技術，實現用戶接入網的數字化、寬帶化，提供語音、數據、圖像等多種媒體業務的綜合平臺。

寬帶網絡的建設是一個長期工程，是社會信息化的基礎工程，特別是網絡的接入層，一定要有良好的穩定性、可擴展性。對駐地網的建設，要滿足10～15年的提速需求。因未來新業務的發展而要求增加新功能并更新換代設備是較快的，也比較容易，但基礎網絡的建設是一次性的，是相對長久穩定的。

江蘇省電信公司南京分公司的“南京電信公眾寬帶IP城域網”的建設開始于1999年初，經歷了項目確立、試驗網建設、商用網建設等階段，于2000年9月17日在全國率先向社會提供公眾電信寬帶IP接入業務，目前已成功接入南京市政府、南京市信息中心、南大蘇富特軟件股份有限公司、南京市教委等多個寬帶用戶和龍江高教公寓、建鄴村小區、白玉蘭公寓等多個寬帶信息化小區。下面結合南京電信公眾寬帶IP城域網的建設，對寬帶IP城域網的網絡結構、用戶接入安全、網絡管理和認證計費進行具體闡述。

1寬帶IP網絡的體系結構

南京電信公眾寬帶IP城域網是基于IP的寬帶信息網絡，目標定位是采用先進成熟的技術，建設一個面向新世紀的、綜合承載各類多媒體業務的、安全穩定的電信運營級基礎信息網絡。

其近期目標為：“對商務樓實現千兆到大樓，百兆到層面，十兆到桌面；對住宅小區實現千兆到小區，百兆到樓頭，十兆到家庭”。網絡主要采用高速IP路由交換技術和千兆以太網光纖傳輸技術，依托南京電信豐富的光纖資源，實現信息網絡“最后一公里”的高速接入。網絡內部采用全光纖連接，末端通過五類線延伸到用戶端。用戶只通過網卡便可以方便地接入寬帶網絡，不再需要其它昂貴的設備和復雜的連線，寬帶IP網絡的體系結構如圖1所示。

寬帶IP網絡的建設分為兩個部分：網絡平臺的建設和業務平臺的建設。網絡平臺建設是充分利用現有光纖資源，結合本地的市場需求，采用成熟、簡單、低成本的標準技術，建設一個能夠支撐多種業務的寬帶傳輸平臺；業務平臺建設是利用帶寬的優勢，建設音頻、視頻為一體的多媒體網站，為用戶提供網絡電視、視頻點播、可視電話、遠程教學、虛擬現實等各種形式的信息服務。

2寬帶IP網絡拓撲結構

寬帶IP網絡以千兆以太網為基礎構筑，網絡采用匯接層、邊緣層和接入層的分層匯接式的網絡結構(其拓撲結構如圖2所示)。形成核心層以網狀為主、接入層以星形為主的網絡拓撲結構。

網絡匯接層采用3層交換的千兆以太網技術，引入全光口大容量3層線速交換路由器。匯接層又分為MSR(城域匯接)和LSR(區域匯接)兩個子層：區域匯接負責處理各匯接區域的數據流，而城域匯接完成各區域匯接節點之間以及出網數據流的交換。在建網初期，區域匯接節點之間可形成環形或網狀結構，與城域匯接節點連接。隨著網絡規模的增大，各區域匯接節點獨立與城域匯接節點連接，對數據流量較大的區域匯接節點間可建立直接連接。

各匯接區域劃分成直徑1km左右的小區域，形成ZAN(小區接入網)，組成邊緣層。ZAN也采用3層交換路由器，和區域匯接節點呈星形連接，提供多個快速以太網端口，完成小區內業務的匯聚。

接入層建設規模相對較大，建設過程中需盡可能利用現有的資源、保護用戶的投資。根據實際情況。可采用多種靈活的接入方式：在條件比較成熟的地區，ZAN依據樓層分布進一步劃分成覆蓋半徑為100m左右的BAN(樓宇接入網)，BAN直接與用戶端設備連接，形成高密度集中覆蓋，為減低網絡建設成本，BAN采用兩層交換設備；對于比較分散的用戶，采用ADSL將其快速、有效地接入，因ADSL利用現有的電話線路，為用戶提供非對稱的傳輸速率，適合于因特網的接入；對于光纖暫時無法覆蓋的地區或布線較為困難的地區，可以采用無線局域網的方式迅速覆蓋。

3用戶接入安全

以太網技術作為寬帶接入方式，必須保證用戶的接入安全。通過對VLAN(虛擬局域網)技術的研究，在南京電信公眾寬帶IP城域網中，通過將BAN交換機端口劃分VLAN，較好地解決了用戶接入安全問題。

VLAN是在邏輯上被劃分成若干分組，這種劃分是在某種結構化的基礎上依據功能或者應用目的進行的。可以跨越多個VLAN來創建網絡設備的邏輯組，這些邏輯組可以跨越一個或多個第2層交換機，或者是建立在交換機到交換機基礎之上，并且一個VLAN就定義一個廣播域。

目前VLAN中采用的標準有思科的ISL(交換機內部連接)和IEEE802.1Q兩種標準。其中ISL標準為思科專用，僅該公司產品支持，而被多數廠家所采用的是IEEE802.1Q標準。為保證寬帶城域網中不同廠家設備能夠互通，南京電信公眾寬帶IP城域網選擇的是IEEE802.1Q標準的VLAN。

創建VLAN可基于協議、MAC(媒體訪問控制)、端口3種類型。由于按端口創建的VLAN易于管理和維護，可劃分用戶的邏輯分組，具有較大的靈活性，南京電信公眾寬帶IP城域網采用基于端口方式創建所有VLAN。

VLAN系統由邊緣層設備、接入層設備和用戶終端構成，其系統結構如圖3所示。

邊緣層設備為一臺3層交換機，3層交換機通過兩個千兆端口與網絡匯接層交換機互連，48個100兆端口用于和接入層交換機相連；接入層交換機為2層交換機，2層交換機有3個上行100兆端口可供選擇連接3層交換機，24個10兆端口連接用戶終端。

當用戶數據通過2層交換機送到3層交換機時，3層交換機對數據幀中的VLAN標識、源IP地址與配置參數進行比較。若有用戶使用他人IP地址，則源IP地址與3層交換機中參數不一致，3層交換機將把該用戶傳送的數據丟棄；反之，則根據路由表繼續傳送用戶數據，這樣用戶只能使用運營商分配的IP地址(如用戶A的IP地址：10.27.1.6，用戶B只能用IP地址：10.27.1.10)。

由于VLAN間是相互隔離的，用戶間通信不能在BAN交換機內完成，必須通過路由器或橋接器。例如用戶A要和用戶B通信，用戶A的數據不能直接通過2層交換機傳送給用戶B。必須先由2層交換機的port25傳送給3層交換機，經3層交換機路由回送給2層交換機，2層交換機根據數據幀中的VLAN標識準確地將數據送到用戶B所連接的端口。因為用戶間的通信不是直接發生在數據鏈路層，可以避免用戶數據被他人截取，保證了寬帶網用戶的通信安全。

每個VLAN就是一個獨立的廣播域，因此可以遏制廣播風暴。在傳統LAN中，廣播風暴非常浪費網絡資源，是影響網絡性能的主要因素之一。而在寬帶IP城域網中，每個用戶可創建各自獨立的VLAN，由于VLAN間是相互隔離的，且路由器不傳送廣播數據，所以用戶產生的廣播數據將被限制在本VLAN范圍之內，其它VLAN不受任何影響，能有效節約網絡帶寬和設備資源。

VLAN作為新的網絡技術，它的出現對設備制造商提出了更高的要求。雖然目前大量使用VLAN將使設備效率降低，但這會隨著技術的不斷發展而得到解決，VLAN技術將在網絡建設中得到更加廣泛的應用。

4網絡管理

網絡離不開專業、完善的網絡管理系統。完善的網絡管理系統不僅可為客戶提供高效、優質的電信服務，提高已有客戶滿意度和忠實度，并能降低網絡運行成本，吸引新用戶。由于IP網絡的開放性所帶來的不安全因素，使得通用IP網絡管理方式下的數據安全不能滿足電信運營網絡的要求。結合傳統電信網管良好的安全可控性和IP網管的易用性及方便性，建設電信級的寬帶IP網絡管理平臺是進一步發展寬帶IP網絡的基礎。由此基礎進而確立“帶內監視、帶外控制”網絡管理模式。

帶內監視指利用網絡管理協議建立網絡管理系統，實時采集網絡數據，產生告警信息，以圖形化的方式顯示網絡拓撲結構，提示各級系統告警，并根據網管要求分析統計各類網絡數據，供網管人員了解全網設備運行狀態。

帶外控制指利用DCN(數據通信網)或PSTN撥號，對網絡設備進行數據配置。

由于BAN交換機位于各個樓道內，如何對設備進行供電和網管，是網絡接入層建設的關鍵。

綜合信息纜的研制成功并投入應用，很好地解決了設備進行供電和網管問題。綜合信息纜是將光纖、電源遠供和帶外網管用線合而為一。綜合信息纜含有4芯光纖、4芯饋電線和8芯網管控制線。

綜合信息纜中的饋電線用來供電，ZAN機房的電源通過綜合信息纜在500m的范圍內對樓道交換機提供-48V的直流供電。由于供電點可集中供電，而且大部分供電點都在電信自己的機房，因而減少了工作維護量和降低了網絡障礙率，同時也提高了用電安全。

綜合信息纜中的網管控制線是用作帶外網管并對網絡設備進行數據配置的。

每根綜合信息纜連接一臺BAN交換機，所有用線均采用主備方式。若起用備用線，一根綜合信息纜可連接兩臺BAN交換機。

5認證計費

良好的認證計費功能是寬帶網運營管理的基礎，也可為制定靈活的市場營銷策略提供可靠的技術支撐。不同的認證計費模式決定了網絡的拓撲結構和建網技術的不同。目前，運營商在提供寬帶接入業務時，主要采取包月計費的方式，其原因是當前寬帶城域網的認證計費功能尚不完善和成熟。隨著寬帶網絡的普及，用戶會對資費分檔提出更高的要求，為了滿足不同用戶的消費需求，江蘇省電信公司南京分公司對FTTLAN(光纖到局域網)接入方式的計費進行了研究，在既能準確地按時長、流量和業務種類進行計費，又不影響寬帶業務實現的前提下，提出了基于WEB方式的認證計費。用戶終端只要有瀏覽器軟件，不需安裝專用軟件即可接入使用，簡化了對用戶的要求。南京電信公眾寬帶IP城域網在建網初期在全網設置了兩臺WEB服務器作為門戶網站，提供用戶身份認證的WEB頁面，并進行廣告宣傳和部分用戶服務。由于網絡將寬帶接入服務器的功能下沉到ZAN設備中，避免了在全網配置集中寬帶服務器而易產生的“瓶頸”。

WEB認證的一般流程如下：上網時，用戶通過DHCP協議動態獲取IP地址，此時用戶的上網權限沒有打開；用戶通過瀏覽器訪問身份認證網頁，輸入用戶名和密碼；WEB服務器將用戶名和密碼發送給ZAN設備；ZAN設備根據配置進行異地認證或本地認證；ZAN設備將認證結果發送給WEB服務器；WEB服務器將給用戶返回認證結果頁面，如果認證成功，則用戶的上網權限打開，開始對用戶進行計費，否則給出不能通過認證的原因說明。下線時，用戶可選擇下線網頁上的“斷開”按鈕進行下線；對于計算機異常關機、應用程序進程異常等使得用戶不能正常下線的情況，可通過計費系統的心跳機制判斷用戶是否在線來讓計費系統得知用戶已下線，保證計費的準確性。

6寬帶網絡應用

“南京電信公眾寬帶IP城域網”目前已實現高速上網、VoD點播、網絡電視、互動游戲、遠程教育、遠程監控、大戶炒股業務，還有一些寬帶業務正在不斷開發，不久將陸續推出。

(1)高速上網

利用寬帶IP網絡頻帶寬、速度快的特點，用戶可以快速訪問因特網，并享受一切相關的互聯網服務。

(2)VoD點播

通過瀏覽器隨心所欲地點播自己愛看的節目，包括電影精品、流行的電視劇集、新聞、體育節目等。

(3)網絡電視

突破傳統的電視模式，跨越時間和空間的約束，在網上實現無線頻道的電視收視。

(4)互動游戲

“互動游戲網”讓你感受到因特網上游戲和局域網游戲相結合的全新游戲體驗。

(5)遠程醫療

采用先進的數字處理和寬帶通信技術，醫務人員為異地的病人進行診斷和治療，目前已隨著寬帶多媒體通信的興起而發展成為一種新的醫療方式。

(6)遠程教育

從根本上克服了基于電視技術的單向廣播式的缺陷，運用寬帶網最新產品和技術，使圖、文、聲等多媒體教育信息以交互的方式進入普通家庭、學校和企事業單位。

(7)遠程監控

對遠程的實物進行監控時，授權用戶在WEB方式下自由控制鏡頭的轉動、調焦等操作，實現實時的監控管理功能。監控系統采用數字監控方式與計算機網絡結合在一起，充分發揮寬帶城域網的優勢，將成為未來監控系統的發展趨勢。

(8)家庭證券大戶

人們可在家中交互式地進行證券大戶形式的網上炒股，實時查詢股市行情，獲取全面及時的金融信息，進行網上交易，參考專家股評。

(9)在家辦公

隨著通信的飛速發展，人們的生活工作方式也隨之改變。將來，人們可在家里完成工作任務，即通過高速的接入手段從辦公室獲取工作所需的信息，并與同事進行交流。□

(收稿日期：2002-02-01)

作者簡介

邊延風，東南大學畢業，碩士。江蘇省電信公司南京分公司副總工程師兼通信建設部主任，負責寬帶多媒體網絡建設。

尤蘇軍，南京大學畢業。現工作于江蘇省電信公司南京分公司通信建設部，從事寬帶多媒體網絡建設工作。