初级通信工程师考试IP城域网的关键技术[1]

7.5.1 IP城域网的关键技术

IP城域网的关键技术涉及的因素很多，但网络技术、接入技术等在相关章节已作过介绍，这里不作赘述。本小节主要介绍用户认证与接入、用户管理、接入带宽控制、IP地址分配与网络地址转换、用户信息安全、网络管理等城域网的关键技术。

1.用户认证与接入

运营商建设M络的根本目的在于能够通过网络运营为用户提供服务而获取利润。因此，必须对使用网络的用户按照一定的原则进行计费。简单的计费方式是采用包月制，但由于用户的需求不一（如高速上网可能范要1Mbit/s带宽，看MPEG-1节目可能需要2Mbit/s带宽，看MPEG-2节目可能需要6Mbit/s带宽），随着竞争的加剧，这种包月制计费方式将难以适应市场需求，因此网络必须能够支持按照用户使用W络资源的情况进行计费。要做到这一点，必须首先能够对使用网络的用户进行身份认证，以防止非法用户的盗用。

窄带接入方式下利用PPP技术通过AAA服务器实现用户的身份认证并分配1P地址，使得用户能够通过接入服务器接入网络，进行信息的交互。而宽带接入方式下，通过以太网交换机或路由器实现的网络，并不提供相应的功能对用户进行身份认证。因此，要做到这一点，必须引入有关技术与相应的设备，如客户管理系统。冃前与此有关的技术可以归为两类，即+需要严格认证的方法和需要严格认证的方法。

　　（1）不需要严格认证的方法

不需要严格认证的方法是将用户静态配置的IP地址或者采用DHCP自动获取的端U地址与用户终端设备的MAC地址和基于端口的VLANID捆绑在一起，用户一开机就自动接入。到网络中，不需耍对用户的身份进行认证。上述IP地址、MAC地址与VLANID的捆绑能够有效地保证合法的终端才能接入M络中。能够确保用户信息的安全性。不过，这种方法存在着一个严重的缺陷，只是保证合法终端接入M络，而不是保证合法用户接入网络，不管是集团用户还是家庭用户，对此都几乎难以容忍，这直接导致了DHCP+的出现。而且，这种方式目前还不能做到按用户进行计费。因此，这种方式只能在网络建设初期包月制情况下使用。

（2）需要严格认证的方法

需要严格认证的方法能够保证每一个使用者都是合法的用户，一个终端可以有多个不同的用户，如果与客户管理系统一起使用，不同用户还可以拥有访问网络资源的不同权限。目前，需要严格认证的方法又分为两种，即PPPoE/A技术和DHCP+技术。

①PPPoE/A技术。PPPoE/A技术既能够实现一个客户端与多个远程主机连接的功能，又能够提供类似于PPP的访问控制和计费功能=使用PPPoE/A技术，类似使用点对点协议的拨号服务方式，每个主机使用只己的点对点协议栈，用户使用他们所熟悉的拨号网络用户接口进行拨号。通过PPPoE/A技术，每个用户可以有他自己的接入管理、计费和业务类型。

PPPoE/A技术有IETF的RFC,技术与设备比较成熟，可以防止地址冲突与地址盗用，既可以按时长计费也可以按流量计费，能够对特定用户设置访问列表过滤或防火墙功能，能够对具体用户访问网络的速率进行控制，能够利用现有的用户认证、管理和计费系统实现宽窄带用户的统一管理认证和计费，能够方便地提供动态业务选择特性，而这些都是DHCP+所不具备的。因此，目前应该使用这种万法建设宽带IP城域网。

②DHCP+技术。DHCP+技术是为了适应网络发展的需要而对传统的DHCP进行了改进，主要增加了认证功能，即DHCP服务器在将配置参数发给客户端之前必须将客户端提供的用户名和密码送往RADIUS服务器进行认证，通过后才将配置信息发给客户端。与PPPoE/A技术一样，DHCP+技术也需要在客户端上安装客户端软件。但不同的是，DHCP+客户端与服务器可以通过在每个子网内增加中继代理而跨越三层，不一定要在同一个二层内。而且，服务器只是在获得丨P配置信息阶段起作用，以后的通信完全不经过它，而PPPoE/A技术由于服务器与客户端之间存在PPP连接。因此服务器是所有通信的必经之路。

DHCP+技术的主要优点是使用DHCP+服务器只在用户接入网络前为用户提供配置与管理信息，一般不会成为瓶颈，并能够很容易地实现组播的应用。但是，DHCP+技术还没有正式的标准，产品和应用很少；不能防止地址冲突和地址盗用；不能按流量进行计费：不能对用户的数据流量进行控制；并且，应用DHCP+需要改变现有的后台管理系统。因此，这种方式目前还不具备实际应用的能力，需要等待进一步成熟后才能考虑使用。

2.用户管理

宽带IP城域网的用户主要有两类，即集团用户和家庭用户，集团用户一般采用包月制方式，不需要认证，而家庭用户一般希望网络能够根据其实际需要提供业务和计费。因此，用户管理主要是对需要进行严格认证的用户的管理。

相对于分散认证分散管理方式（即将用户信息放置在靠近用户的汇集层上，用户接入网络时客户管理系统不需要到远端去就能获取有关用户的信息而完成对用户的认证），采用集中认证集中管理方式（城域网中的用户集中在一起进行管理，用户接入网络时，客户管理系统利用RADIUS技术到用户管理中心获取有关用户的信息，完成对用户的认证），管理起来非常方便，特别是在这种情况下，能够将宽带RADIUS服务器与窄带的RADIUS服务器集中放在一起，甚至将两者合二为一，实现宽窄带用户统一管理。因此，将成为必然的选择。但需要注意的是，在这种方式下客户管理系统可以根据网络业务量的大小放置在不同的位置上。

　　（1）分布式放置

分布式放置就是在靠近用户的汇接层（如接入汇接层）上设置客户管理系统，为该汇接层之下的用户提供认证、流量控制等功能。这样做，可以不需要大容量的客户管理系统，并使网络的可扩展性非常好。由于可以根据网络规模的大小和业务需要选择不同等级的、具有极好性能价格比的客户管理系统，因此不会出现因为分布式设置而像使用其他宽带接入服务器那样使造价过高的情况，同时为业务的进一步快速增长留下足够的空间。

（2）集中式放置

集中式放置就是在核心层上集中设置客户管理系统，对一个片区的大量小区和集团用户进行集中认证。这种方式的优势在于可以对用户进行集中管理，但对设备的要求比较高，很有可能成为网络进一步发展的瓶颈。因此建议在网络建设初期每个片区内用户比较少时，可以考虑采用这种方法。随着网络建设的不断发展和用户的不断增多，还是应该过渡到分布式设置：但集中式设置的系统并不是不用了，事实上它可以用来为分布式设置的系统提供业务汇集功能，如对于VPN业务，利用集中式设置的系统可以简化全网配置。

3.接入带宽控制

用户如果以以太网方式接入，则城域网提供给用户的一般是10/100Mbit/S以太网接口。用户对这样的速率并不满意，主要原因有两个：一是城域网目前能够提供的、需要较高带宽的、能够吸引用户的宽带业务并不多，大部分用户目前还不需要如此高的速率，他们希望运营商能够将带宽根据他们的实际需要分成多个等级，每个等级采用不同的收费标准；二是目前用户上网大部分是为了访问城域网之外的业务，而由于汇集层/骨干层/业务层设备的限制，在城域网之外速率并不高，因此用户希望运营商能够提供与汇集层/骨干层/业务层相适应的接入速率，以降低资费。从竞争角度和业务发展趋势来看，用户的这种合理要求应该予以满足。目前，这种要求可以采用两种不同方法实现。一种是在分散放置的客户管理系统上对每个用户的接入带宽进行控制，另一种是在用户接入点上对用户接入带宽进行控制。

[1]  [2]