【文章內(nèi)容簡介】 夠得到保證。如果BRAS/路由器能夠根據(jù)報文的轉(zhuǎn)發(fā)路徑和從BRAS/路由器到終端的所有鏈路的承載能力，對報文在接入網(wǎng)中的轉(zhuǎn)發(fā)過程中是否會出現(xiàn)擁塞進(jìn)行“預(yù)知”，并采取相應(yīng)的QOS處理，例如：流量整形，將可以避免接入網(wǎng)出現(xiàn)擁塞。由于從BRAS/路由器到終端要經(jīng)過BRAS/路由器、LAN Switch、GPON OLT、ONU和終端等設(shè)備，并且鏈路速率逐步遞減， POS、10GE/GE、GPON LINK，F(xiàn)E，因此這里需要一個分層的QOS處理過程。在GPON系統(tǒng)中，業(yè)務(wù)承載層主要分為三層：GTC、GEM、ETH/TDM，針對每一個承載層具備相應(yīng)的QoS處理機(jī)制。如圖29所示。圖29 業(yè)務(wù)承載層和QoSl GTCPON系統(tǒng)架構(gòu)是下行方向?yàn)閺V播方式，上行方向?yàn)門DMA方式，所以只對上行方向的業(yè)務(wù)流提供QoS處理。QoS處理的最小單元是TCONT，TCONT可以看作是ONU業(yè)務(wù)流的承載容器，調(diào)度機(jī)制是DBA（動態(tài)帶寬分配）。DBA的算法是GTC的QoS處理性能的關(guān)鍵。l GEM在GEM層主要是針對每個GEM Port進(jìn)行業(yè)務(wù)流分類，類似于DSLAM的單PVC多業(yè)務(wù)的處理方式。針對流分類后的業(yè)務(wù)分別進(jìn)行優(yōu)先級修改、流量監(jiān)管和轉(zhuǎn)發(fā)處理。l ETH/TDMTDM業(yè)務(wù)（非電路仿真方式）為面向連接，系統(tǒng)可以通過靜態(tài)配置帶寬嚴(yán)格保證面向連接的QoS。ETH業(yè)務(wù)（包括電路仿真方式的TDM業(yè)務(wù)）主要是基于二層VLAN、COS等標(biāo)識進(jìn)行業(yè)務(wù)的QoS處理，QoS主要處理機(jī)制分為流分類、監(jiān)管、隊列調(diào)度、擁塞處理、整形，它們的實(shí)現(xiàn)復(fù)雜度是影響QoS處理性能的關(guān)鍵。 TDMoGEM技術(shù)針對GPON的定長幀傳輸特點(diǎn)，TDM在GPON線路上承載具有天然優(yōu)勢。TDMoGEM的實(shí)現(xiàn)是將TDM幀直接封裝到GEM幀中進(jìn)行傳輸。在GPON線路上給封裝有TDM幀的GEM給與最高的優(yōu)先級，保證TDM的傳輸質(zhì)量。在同步方面，系統(tǒng)采用統(tǒng)一的8K時鐘進(jìn)行全網(wǎng)同步。 GPON安全技術(shù)l 線路加密技術(shù)GPON系統(tǒng)中下行數(shù)據(jù)采用廣播的方式發(fā)送到所有的ONU上，這樣無疑會給非法的用戶提供竊聽其他ONU的下行數(shù)據(jù)的機(jī)會，甚至可以竊聽到所有用戶的數(shù)據(jù)。同時，對于GPON系統(tǒng)而言，它又具有獨(dú)特的高數(shù)據(jù)方向性特點(diǎn)，幾乎所有的ONU都不能監(jiān)聽到其他ONU的上行數(shù)據(jù)，這就允許一些私有的信息（如密鑰等）能夠在上行方向上安全的傳送。GPON系統(tǒng)采用AES128加密機(jī)制對線路安全進(jìn)行控制，有效地防止了數(shù)據(jù)盜用等安全問題。在AES128加密系統(tǒng)中，OLT支持密鑰更換和切換功能。密鑰更換由OLT發(fā)起密鑰更換請求，ONU響應(yīng)并將生成的新的密鑰，由于PLAOM消息的長度有限，密鑰分兩部分發(fā)給OLT，并重復(fù)發(fā)送三次。如果OLT沒有收到三次傳送中的任意一次，OLT將重新發(fā)送密鑰更換請求，直到三次收到相同的密鑰為止。當(dāng)OLT收到了新的密鑰后，就要開始進(jìn)行密鑰切換。OLT將使用新的密鑰的幀號通過相關(guān)的命令通知ONU，這個命令一般會發(fā)送三次，只要ONU成功收到一次就在相應(yīng)的數(shù)據(jù)幀上切換校驗(yàn)密鑰。l 終端SN+PSW注冊 ONU在上電進(jìn)入序列碼狀態(tài)后，OLT會發(fā)序列碼請求消息，ONU會將唯一的序列碼發(fā)送給OLT進(jìn)行認(rèn)證。這個序列碼是唯一的，類似設(shè)備的MAC地址。如果序列碼合法，OLT將分配一個ONUID給ONU并要求進(jìn)行密碼認(rèn)證，如果ONU反饋的密碼正確，這個ONU才會進(jìn)入下一個測距狀態(tài)。否則就會停在這個狀態(tài)，超時后返回原始狀態(tài)，重新開始注冊。SN+PSW過程如圖210所示：圖210 ONU 注冊流程l 用戶安全認(rèn)證技術(shù)GPON系統(tǒng)給用戶提供了高帶寬接入，在多種業(yè)務(wù)開展時，需要對用戶進(jìn)行控制，同時又要考慮用戶接入的安全。如在在組播業(yè)務(wù)中，要保證業(yè)務(wù)的可運(yùn)營、可管理，就要通過一些必要的策略來達(dá)到業(yè)務(wù)可控的目的。組播的控制策略有很多種，其中對組播用戶的控制，其重要的一個技術(shù)手段就是對用戶的認(rèn)證、授權(quán)。在GPON系統(tǒng)中，用戶通過物理端口實(shí)現(xiàn)用戶惟一標(biāo)識、定位和認(rèn)證主要有VBAS、PPPoE+和DHCP Option60/82三種方案： 　　VBAS方案定義了一種協(xié)議，即VBAS協(xié)議，規(guī)定BRAS設(shè)備和OLT設(shè)備之間交換寬帶用戶接入端口信息的方法，其核心思想是在認(rèn)證工作流程中，增加一個BRAS與OLT之間交互用戶物理端口信息的過程。VBAS適用于各種認(rèn)證方式。該方案的優(yōu)點(diǎn)在于較易實(shí)現(xiàn)，只需對OLT、BRAS和Radius Server進(jìn)行軟件升級，可以保護(hù)現(xiàn)網(wǎng)投資?！　PPoE+是DSL論壇針對PPPoE認(rèn)證方式，推薦的用于解決寬帶用戶惟一標(biāo)識的方案，其核心思想是對PPPoE協(xié)議進(jìn)行擴(kuò)展，將PPPoE協(xié)議中被忽略的“TAG Type”屬性用于標(biāo)識用戶的物理端口信息。PPPoE＋解決方案同VBAS方案的基本思路一致，容易實(shí)現(xiàn)，只需對OLT、BRAS和Radius Server 進(jìn)行軟件升級即可，可以很好地保護(hù)現(xiàn)網(wǎng)投資。 DHCP Option82也是DSL論壇針對DHCP+WEB認(rèn)證方式，推薦的用于解決寬帶用戶惟一標(biāo)識的方案，其核心思想是在DHCP 連接建立階段，OLT設(shè)備將用戶物理端口信息插入DHCP Discovery消息中，傳給BRAS設(shè)備。對于DHCP認(rèn)證方式，其主要問題是保證DHCP接入的安全性和真實(shí)性，這就需要在DHCP包文中引入OPTION82選項(xiàng)；對于存在多個終端同時使用DHCP的場合，為了區(qū)分這些終端，還需引入OPTION60選項(xiàng)。DHCP OPTION82選項(xiàng)通常由OLT設(shè)備將用戶的端口信息和設(shè)備信息插入到用戶的DHCP報文，DHCP服務(wù)器通過識別OPTION82來執(zhí)行IP地址分配策略或其它策略。OPTION60選項(xiàng)通常由終端自帶，不同類型的終端可以通過設(shè)置不同的OPTION60來識別。通過OPTION60選項(xiàng)，可以實(shí)現(xiàn)對不同的終端分配不同的地址空間。l 系統(tǒng)安全防護(hù)技術(shù)（1）防IP SpoofingIP spoofing就是偷竊對方的IP地址。攻擊者通過改變自己的IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文（如發(fā)送ICMP的特定報文）來更改路由信息，以竊取信息。在計算機(jī)網(wǎng)絡(luò)中，IP地址欺騙主要是指一臺想發(fā)動攻擊的主機(jī)找到想要攻擊的對象主機(jī)A后，先想辦法找到A的信任主機(jī)B，然后再利用flood（洪水）軟件將主機(jī)B攻擊癱瘓，然后截取B與A之間的報文，并猜測SYN號等參數(shù)，達(dá)到模仿B的目的，進(jìn)而完成了IP地址欺騙。在接入網(wǎng)產(chǎn)品中，為了防止用戶之間的IP地址欺騙，OLT設(shè)備一般會采用IP地址和業(yè)務(wù)流綁定的方法，使得其他用戶無法用其他非法獲取的IP地址在OLT上完成業(yè)務(wù)認(rèn)證，從而達(dá)到了防止IP地址欺騙的目的。（2）防MAC SpoofingMacspoofing的處理是從捕獲的上行報文中提取出MAC地址、VLAN ID和用戶的流信息進(jìn)行MAC地址的動態(tài)綁定，然后再轉(zhuǎn)發(fā)出去，作用在于防止非法用戶偽造合法用戶的MAC截獲和監(jiān)聽合法用戶的業(yè)務(wù)信息。同時，PITP的PPPOE+方式是在捕獲的上行PPPOE報文中填寫描述端口信息的vender tag，然后再轉(zhuǎn)發(fā)出去，實(shí)現(xiàn)用戶的用戶名密碼加端口的驗(yàn)證。這樣就有效的防止了MAC欺騙攻擊。（3）防ARP Spoofing以太網(wǎng)內(nèi)主機(jī)通信是靠MAC地址來確定目標(biāo)的。ARP協(xié)議又稱地址解析協(xié)議,它負(fù)責(zé)通知主機(jī)要連接的目標(biāo)的MAC地址,簡單說來就是通過IP地址來查詢目標(biāo)主機(jī)的MAC地址。一旦這個環(huán)節(jié)出錯,主機(jī)就不能正常和目標(biāo)主機(jī)進(jìn)行通信,甚至使整個網(wǎng)絡(luò)癱瘓。（4）MAC + IP綁定一般情況下，一些心懷惡意的人，想辦法盜用有較高權(quán)限的人的IP地址，然后根據(jù)這個IP地址實(shí)施網(wǎng)絡(luò)攻擊；有些為了逃避網(wǎng)絡(luò)計費(fèi)，用IP地址盜用的辦法，將網(wǎng)絡(luò)流量計費(fèi)轉(zhuǎn)嫁到他人身上。為了防止用戶的IP地址被盜用，對網(wǎng)絡(luò)的正常使用造成極大影響，OLT支持MAC和IP地址綁定的功能可以很好的解決這個問題。那么，GPON系統(tǒng)如何實(shí)現(xiàn)MAC+IP綁定呢？OLT會在主控板上生成一個IP地址和MAC地址的對應(yīng)表，只有“IP+MAC”地址相對應(yīng)的合法用戶才能得到正確的ARP應(yīng)答，來控制IPMAC不匹配的主機(jī)與外界通訊，達(dá)到防止IP地址的盜用。（5）管理用戶的RADIUS認(rèn)證遠(yuǎn)程驗(yàn)證用戶撥入服務(wù)（RADIUS）協(xié)議是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。RADIUS是一種基于UDP協(xié)議的超輕便（lightweight）協(xié)議。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗(yàn)證（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服務(wù)器可以提供代理服務(wù)將驗(yàn)證請求轉(zhuǎn)發(fā)到遠(yuǎn)端的RADIUS服務(wù)器。例如，ISP之間相互合作，通過使用RADIUS代理服務(wù)實(shí)現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號服務(wù)連接Internet和VPN。如果ISP發(fā)現(xiàn)用戶名不是本地注冊用戶，就會使用RADIUS代理將接入請求轉(zhuǎn)發(fā)給用戶的注冊網(wǎng)絡(luò)。這樣企業(yè)在掌握授權(quán)權(quán)利的前提下，有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使企業(yè)的網(wǎng)絡(luò)費(fèi)用開支實(shí)現(xiàn)最小化。OLT支持管理用戶的RADIUS認(rèn)證，這樣就可以保證網(wǎng)絡(luò)管理的安全，免受非法管理員進(jìn)入系統(tǒng)修改數(shù)據(jù)。（6）訪問控制（ACL）技術(shù) ACL是存在于計算機(jī)中的一張表，它使操作系統(tǒng)明白每個用戶對特定系統(tǒng)對象，例如文件目錄或單個文件的存取權(quán)限。每個對象擁有一個在訪問控制表中定義的安全屬性。這張表對于每個系統(tǒng)用戶有擁有一個訪問權(quán)限?；驹恚篈CL使用包過濾技術(shù)，在OLT上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。 功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。l 網(wǎng)絡(luò)管理安全技術(shù)SNMP V3的安全特性極大的提高了網(wǎng)絡(luò)管理的可靠性，SNMP V3需要用戶名和密碼才能通過SNMP進(jìn)行網(wǎng)絡(luò)管理，同時這樣的過程都是加密進(jìn)行的，保證了整個SNMP訪問過程的安全性和可靠性。SNMP v3 建議的安全模型是基于用戶的安全模型， 業(yè)務(wù)能力 Ethernet/IP數(shù)據(jù)業(yè)務(wù)l 普通IP數(shù)據(jù)業(yè)務(wù)GPON設(shè)備可支持接入普通IP數(shù)據(jù)業(yè)務(wù)，包括普通上網(wǎng)業(yè)務(wù)等。l TLS（Transparent LAN Service）業(yè)務(wù)當(dāng)為商業(yè)用戶提供Layer2 VPN業(yè)務(wù)時，MDU/MTU可支持透明LAN業(yè)務(wù)（TLS）方式，即“隱藏”用戶的VLAN標(biāo)記（ctag）但添加服務(wù)商VLAN 標(biāo)記（stag）。支持TLS 業(yè)務(wù)的端口應(yīng)能同時承載TLS業(yè)務(wù)和非TLS業(yè)務(wù)，并在該端口上建立非TLS VLAN成員表，如果業(yè)務(wù)流攜帶的VLAN ID屬于該成員表則應(yīng)作為非TLS業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)，否則應(yīng)和untag一起作為TLS業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)TLS業(yè)務(wù)時，報文原始幀頭和凈荷應(yīng)不做修改。 IP電話業(yè)務(wù)MDU/。MDU/MTU設(shè)備提供語音業(yè)務(wù)時可支持處理基本呼叫、異常呼叫和補(bǔ)充業(yè)務(wù)等，可支持主叫號碼顯示、呼叫等待、三方通話、熱線等補(bǔ)充業(yè)務(wù)功能。MDU/，可支持傳真信號音檢測，并能正確上報軟交換。MDU/MTU設(shè)備可支持MODEM業(yè)務(wù)，支持MODEM信號音檢測，并能正確上報軟交換，支持透傳方式MODEM業(yè)務(wù)；MTU設(shè)備在提供IP 電話業(yè)務(wù)時還可支持Centrex 功能。MDU/MTU設(shè)備應(yīng)支持如下幾種編解碼方式：（1)，編碼率= 64kbps；（2)，編碼率（）12kbps，編碼率（）15kbps；（3)，編碼率18kbps。 IP視頻業(yè)務(wù)GPON設(shè)備可支持接入VoD業(yè)務(wù)和IPTV業(yè)務(wù)等IP視頻業(yè)務(wù)。當(dāng)支持接入IPTV業(yè)務(wù)時，可支持標(biāo)準(zhǔn)規(guī)定的組播功能。 TDM專線業(yè)務(wù)GPON設(shè)備可支持接入TDM專線業(yè)務(wù)，TDM專線業(yè)務(wù)包含2048kbit/s或n64kibt/s數(shù)據(jù)業(yè)務(wù)；當(dāng)支持接入TDM專線業(yè)務(wù)時，能實(shí)現(xiàn)時鐘的透明傳輸和業(yè)務(wù)的透明傳輸，并采用自適應(yīng)時鐘恢復(fù)方式。 CATV業(yè)務(wù)GPON設(shè)備可支持接入CATV業(yè)務(wù)，ONU可支持RF接口。北京郵電大學(xué)工程碩士學(xué)位論文 正 文第三章 EPCN技術(shù)研究綜述 EOC技術(shù) 有線網(wǎng)雙向改造技術(shù)簡介目前有線電視雙向改造主要有三種技術(shù)方案：一是采用CMTS方案；二是采用五類線直接入戶方案（PON+LAN 方案）；三是采用同軸線纜入戶方案（PON+EoC方案）。CMTS方案在原有的HFC線路上傳輸上/下行數(shù)據(jù)，需要對原有的HFC線路進(jìn)行改造。主要牽涉到放大器、光節(jié)點(diǎn)、分前端的設(shè)備更換及增加，部分需要更換電纜、接頭等無源設(shè)備。對于未進(jìn)行HFC網(wǎng)絡(luò)改造的情況下，改造環(huán)節(jié)多、成本較高。對于已完成HFC網(wǎng)絡(luò)改造， CMTS存在帶寬低，上下行帶寬不對稱的缺點(diǎn)；導(dǎo)致單位帶寬成本高，無法支撐后續(xù)寬帶業(yè)務(wù)等多業(yè)務(wù)的提供。反向回傳噪聲問題，導(dǎo)致后期維護(hù)成本高、定位困難。從全球范圍看，只有很少幾家設(shè)備供應(yīng)商，是逐漸邊緣化的技術(shù)，這些問題導(dǎo)致了CMTS技術(shù)在雙向網(wǎng)改造中競爭力不及PON。從目前的情況來看，在小區(qū)光節(jié)點(diǎn)以上部分充分利用原有光纖資源，采用PON技術(shù)來組建最后1公里接入網(wǎng)絡(luò)基本上是主流的選擇方案，而對于最后100米的接入方案則存在較多爭議。五類線入戶方案，即采用PON+LAN方式。單從方案上看是最理想的方式，并且國內(nèi)已經(jīng)有部分城市實(shí)施了這一方案；但是由于五類線資源問題，這個方案只能是在局部有條件的地方獲得突破，很多地區(qū)無法克隆這套方案。該方案可用于解決新建小區(qū)或者能比較簡單布署五類線入戶的地區(qū)。對于大多數(shù)廣電來說，從小區(qū)光節(jié)點(diǎn)到用戶端的同軸線資源是我們可以直接借用的，采用基于同軸線纜的入戶方案是廣電雙向改造的較好選擇。采用EoC技術(shù)可以很好的保護(hù)原有的同軸接入網(wǎng)資源，有效