【正文】 ort在認(rèn)證通過前是disable的。uncontrolled port做為authentication PAE(port access entity)，與后臺認(rèn)證服務(wù)器進行EAPOL認(rèn)證協(xié)議的通信。（4）SSG+SESMSSG＋SESM方式是SESM服務(wù)器在將配置參數(shù)發(fā)給客戶端之前必須將客戶端提供的用戶名和密碼送往認(rèn)證服務(wù)器進行認(rèn)證，認(rèn)證通過后，SESM服務(wù)器為用戶分配合法的目的IP地址，允許用戶接入城域網(wǎng)進行訪問。上述這幾種接入方式比較見表：各種接入方式比較匯總表具體比較分析如下：1） PPPoE方式：因為支持大容量和具有良好的穩(wěn)定性，可以提供LAN接入非VLAN環(huán)境下用戶的隔離，而在現(xiàn)網(wǎng)使用較多。但是其存在以下主要不足：* 必須部署在二層可通的地方而影響其部署的靈活性；* 需要投資建設(shè)昂貴的PPPoE終結(jié)設(shè)備。2） ：在WLAN接入方式下被廣泛采用，是目前WLAN接入的主流認(rèn)證鑒權(quán)技術(shù)。存在以下主要不足，而不適合在寬帶固定接入中使用。* 必須部署在二層可通的地方而影響其靈活的部署；* 不支持帶寬控制和服務(wù)選擇。3） DHCP ＋ Web方式由于DHCP ＋ Web Login接入方式簡單，對客戶上網(wǎng)習(xí)慣影響最小，設(shè)備價格較便宜，部署靈活、支持帶寬控制、服務(wù)選擇和NAT等，隨著業(yè)務(wù)的發(fā)展采用的越來越多。但是其受用戶端WEB瀏覽器軟件的影響，這種方式的容量和穩(wěn)定性均較差，不適宜公網(wǎng)的大容量情況下使用。4） DHCP ＋ 統(tǒng)一客戶端方式DHCP ＋ 統(tǒng)一客戶端方式，因為通過駐留用戶端的統(tǒng)一客戶端程序與相應(yīng)的服務(wù)器進行信息交互，其繼承了DHCP ＋WEB方式的優(yōu)點，同時具備了大容量和良好的穩(wěn)定性。也正因為用戶端駐留了運營商可控制的程序，在用戶接入安全、防止非授權(quán)接入、帶寬控制、業(yè)務(wù)選擇等諸多方面均可能提供更優(yōu)異的特性。5) SSG ＋ SESM方式由于SSG ＋ SESM接入方式簡單，部署靈活、支持帶寬控制、服務(wù)選擇和NAT等。特別是同服務(wù)選擇的密切結(jié)合，其具備用戶業(yè)務(wù)進入不同VPN業(yè)務(wù)子網(wǎng)或連接不同業(yè)務(wù)服務(wù)器的能力。該方式可以為不同用戶不同終端制定不同的腳本文件，極大地滿足了寬帶多媒體應(yīng)用的個性化需求。但是其受用戶端WEB瀏覽器軟件的影響，這種方式的容量和穩(wěn)定性存在不足。本規(guī)劃明確建議接入認(rèn)證鑒權(quán)方式選擇DHCP＋統(tǒng)一客戶端方式。其詳細(xì)理由和論述見“技術(shù)發(fā)展路標(biāo)”章節(jié)。 應(yīng)用認(rèn)證用戶在接入過程中，如果要訪問某些收費的應(yīng)用時，也要首先通過認(rèn)證，然后根據(jù)認(rèn)證的結(jié)果，應(yīng)用服務(wù)器按照用戶的權(quán)限為用戶返回相應(yīng)的信息，同時采集和記錄必要的計費信息，如用戶標(biāo)識、所訪問的信息內(nèi)容、訪問時間、流量等用于計費。應(yīng)用認(rèn)證本身由應(yīng)用服務(wù)器發(fā)起，作用是保護應(yīng)用系統(tǒng)不被非法侵入。但在應(yīng)用較多的情況下，要求用戶每使用一種應(yīng)用，就要用戶輸入一次user name和password，會使用戶不厭其煩，不利于增值業(yè)務(wù)的開展。因此，必須在用戶認(rèn)證系統(tǒng)中考慮單點登錄，支持“一次認(rèn)證，無限使用”（Single Sign On）功能。IP地址規(guī)劃策略目前我國內(nèi)地IP地址總數(shù)為：29,002,240個，香港特區(qū)IP地址總數(shù)為：3,420,672個，澳門特區(qū)IP地址總數(shù)為：36,864個。負(fù)責(zé)亞太地區(qū)IP地址的分配與管理的機構(gòu)是亞太互聯(lián)網(wǎng)絡(luò)信息中心（簡稱APNIC），它在亞太地區(qū)許多國家擁有成員單位。其中APNIC分配給我國大陸的成員的IP地址情況如表所示：中國大陸地區(qū)IP地址分配表注1：表中CNNIC的地址是CNNIC申請到的IP地址數(shù)，但并非歸CNNIC所有，而是將之再分配給CNNIC 的IP地址分配聯(lián)盟成員；注2：此處中國網(wǎng)絡(luò)通信集團公司的IP地址數(shù)不包括中國網(wǎng)絡(luò)通信(控股)有限公司和吉通網(wǎng)絡(luò)通信股份有限公司的IP地址數(shù)；注3：此處中國移動通信集團公司的IP地址數(shù)未包括由CNNIC分配給中國移動通信集團公司的IP地址32768個，故中國移動通信集團公司擁有的IP地址總數(shù)為922624個；注4：此處吉通網(wǎng)絡(luò)通信股份有限公司的IP地址數(shù)未包括由CNNIC分配給吉通網(wǎng)絡(luò)通信股份有限公司的IP地址98304個，故吉通網(wǎng)絡(luò)通信股份有限公司擁有的IP地址總數(shù)為368640個；注5：表中的“其它”是指注冊日期比較早，無法判斷其歸屬單位的IP地址數(shù)。 全球IP地址分析 IP地址現(xiàn)狀全球IP地址資源現(xiàn)狀如表所示。各機構(gòu)分配比例見圖所示。負(fù)責(zé)全球IP地址分配的三大組織ARIN、RIPE NCC、APNIC負(fù)責(zé)管理的IP地址只占大約13％，而在IANA手中未分配的IP地址占38％。三大組織手中的IP地址也沒有全部分配下去，下表是全球可分配的IPv4地址數(shù)統(tǒng)計表，由于沒有找到ARIN的IPv4地址的使用率數(shù)據(jù)，表中ARIN的利用率數(shù)據(jù)是一個保守的估計，實際情況應(yīng)該是小于這個數(shù)字。 IP地址消耗趨勢分析下圖是前幾年每年IPv4地址分配量的統(tǒng)計和未來3年趨勢的預(yù)測。圖中的數(shù)據(jù)表明，1999年和2000年IPv4地址的申請量有較大的增長，而2001年這個增長速度開始減緩。預(yù)測計算方法如下：計算方法一：如果按現(xiàn)有IP網(wǎng)絡(luò)的定位及業(yè)務(wù)需求對IP地址的需求來看，粗略的估算，未來10年的平均年申請量應(yīng)該在150,000,000（）以下，則剩余的IPv4地址可滿足未來11－12年的申請需求：也就是說，剩下的IPv4地址要到2012才會耗盡，與IANA預(yù)測的結(jié)果吻合。計算方法二：如果按IP網(wǎng)絡(luò)滿足NGN和3G全業(yè)務(wù)承載來看，粗略的估算，2004－2005年處于IPv6的初步應(yīng)用階段，IP地址平均年申請量應(yīng)該在150,000,000左右，2006－2008處于IPv6的大規(guī)模部署及遷移階段，如果IP地址平均年申請量應(yīng)該增加3倍以上，即每年達到平均年申請量450,000,000左右，2008年將消耗完等量的現(xiàn)有IPv4剩余地址空間：1,744,794,291＝150,000,0002＋450,000,0003。針對這個問題，IANA采取了很多措施來延緩，包括：* 采取嚴(yán)格的審查措施，減少IP地址的浪費；* 鼓勵企業(yè)采用私有地址加NAT的方式；* 從一些公司和組織的手中收回A類地址。通過這些措施，將有效降低IPv4地址消耗的速度，IPv4耗盡的時間將有所推遲。 我國電信運營商的IP地址資源策略根據(jù)RIR(Regional Internet Registry，區(qū)域性互聯(lián)網(wǎng)注冊機構(gòu))公布的IP地址分配策略和從CNNIC（中國互聯(lián)網(wǎng)信息中心）了解的情況，RIR對于合理的IP地址申請是不拒絕的，只要申請者能夠提供相關(guān)的材料，如網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備數(shù)量等。當(dāng)IP地址空間的使用量超過80％時，還可以繼續(xù)申請。IP地址緊張是相對的，主要是現(xiàn)在審批比較嚴(yán)格，需要非常充分的材料。我國目前現(xiàn)有的IPv4地址遠不能滿足數(shù)據(jù)業(yè)務(wù)發(fā)展的需要。隨著數(shù)據(jù)網(wǎng)絡(luò)的大發(fā)展，網(wǎng)民人數(shù)將大幅增加，對IP地址有極其迫切的需求。在這種情況下，我國電信運營商應(yīng)采取的IP地址策略如下：1) 基本上使用公有地址資源。但是需積極申請公有地址資源，電信運營商應(yīng)根據(jù)自己的業(yè)務(wù)需要，應(yīng)及時迅速向APNIC等組織申請網(wǎng)絡(luò)發(fā)展所需要的IP地址資源。2) 采用嚴(yán)格的措施，提高對公有地址資源的有效使用。3) 接入網(wǎng)部分，適當(dāng)使用代理服務(wù)器，減少公有地址需要，同時可提供一定的安全增值服務(wù)。 IP地址規(guī)劃的建議策略依據(jù)IP地址分配策略和IP地址資源現(xiàn)狀， IP地址詳細(xì)規(guī)劃建議采用公有IP地址＋保留地址混合的方式。除家庭用戶外，全部需要IP地址的地方均分配公有地址，家庭用戶通過DHCP或其它地址分配方法分配全省網(wǎng)唯一的私有保留地址。該方案僅家庭用戶訪問出省流量的情況需要地址翻譯（地址轉(zhuǎn)換比取定20：1），其它任何情況均不需要進行地址翻譯。該方式優(yōu)點如下：* 將地址需求量最大部分的家庭用戶采用全省唯一的保留地址，較大地節(jié)省了公有IP地址需求量；* 地址轉(zhuǎn)換的簡潔性。具體分配策略如下：* 公有地址分配對象：路由器（包括用戶端）、交換機、控制應(yīng)用層服務(wù)器以及大企業(yè)客戶的WEB服務(wù)器、郵件服務(wù)器、網(wǎng)絡(luò)設(shè)備互聯(lián)端口等；* 保留地址分配對象：僅家庭用戶設(shè)備和終端；* 公有地址的范圍：從省網(wǎng)的預(yù)留地址中分配；* 保留地址的范圍：雖然在理論上可以任意使用建議使用10網(wǎng)段。1網(wǎng)絡(luò)QoS基礎(chǔ)架構(gòu)寬帶網(wǎng)絡(luò)按照電信網(wǎng)商業(yè)模型進行建設(shè)提供全業(yè)務(wù)解決方案，其關(guān)鍵特性要求為提供全業(yè)務(wù)的基本的QoS保證。業(yè)務(wù)的質(zhì)量要求本質(zhì)上為如下基本參數(shù)：誤碼、時延、抖動和漂移。在目前的網(wǎng)絡(luò)技術(shù)條件下，這些參數(shù)指標(biāo)的達到主要取決于業(yè)務(wù)端到端帶寬的保證；換句話來講，只要保證了業(yè)務(wù)需要的端到端帶寬，業(yè)務(wù)的質(zhì)量自然得到全面的保證。依據(jù)業(yè)務(wù)模型（帶寬、帶寬匯聚比、業(yè)務(wù)分布和流向），通過全網(wǎng)接入層、媒體層、支撐平臺層和控制應(yīng)用層按需進行嚴(yán)格的帶寬規(guī)劃和監(jiān)控，來實現(xiàn)每種業(yè)務(wù)端到端的帶寬保證。接入層采用專線/準(zhǔn)專線接入，保證每個用戶的相互完全隔離、帶寬監(jiān)測和控制。依據(jù)業(yè)務(wù)模型，每等效寬帶終端需要帶寬256kb/s,接入層帶寬極限比模型取定1:10。接入層業(yè)務(wù)流向為純匯聚流向，接入層中的節(jié)點按照其匯聚的接入用戶數(shù)，按照業(yè)務(wù)模型進行相應(yīng)的節(jié)點帶寬規(guī)劃。接入層正因為業(yè)務(wù)流向的純星型匯聚流向，用戶的帶寬監(jiān)測和控制可以在接入層星型結(jié)構(gòu)任一層節(jié)點設(shè)備處進行監(jiān)測和控制一次即可。接入層用戶的帶寬監(jiān)測和控制點有三處可以選擇：1)匯聚節(jié)點PE設(shè)備處；2)PE設(shè)備遠端模塊設(shè)備或BRAS設(shè)備處；3)用戶終端處。如匯聚層建設(shè)策略分析，需要PE設(shè)備支持龐大的用戶接入帶寬的監(jiān)測和控制功能。這是目前大部分PE設(shè)備所不支持的。采用遠端模塊設(shè)備或BRAS設(shè)備進行用戶的接入帶寬以及心跳連接的監(jiān)測和控制，是目前的主流方式。但是這種方式存在需要較大的增加接入層設(shè)備投資、改進或增加業(yè)務(wù)特性較慢和遠端模塊設(shè)備或BRAS設(shè)備處成為網(wǎng)絡(luò)瓶頸等不足。采用統(tǒng)一客戶端方式，在用戶終端處進行用戶接入帶寬以及心跳連接的監(jiān)測和控制。這種方式將不需要增加接入層設(shè)備投資和改進或增加業(yè)務(wù)特性快速的優(yōu)點。媒體層采用MPLS VPN業(yè)務(wù)子網(wǎng)來保證各種業(yè)務(wù)的帶寬保證。依據(jù)每種業(yè)務(wù)的業(yè)務(wù)模型、業(yè)務(wù)流向和布局，進行相應(yīng)的MPLS VPN業(yè)務(wù)子網(wǎng)搭建。 在網(wǎng)絡(luò)建設(shè)初期，媒體層采用MPLS L3 VPN+diffserv 模型。媒體層為MPLS VPN業(yè)務(wù)子網(wǎng)提供分類服務(wù)和基于分類的資源預(yù)留。這種方式僅支持分類服務(wù)，僅可支持68個業(yè)務(wù)子網(wǎng)。在相同業(yè)務(wù)質(zhì)量級別下的不同業(yè)務(wù)擁有不同的業(yè)務(wù)模型、流向、分布和突發(fā)特性等關(guān)鍵的業(yè)務(wù)特性時，這種方式是沒有辦法進一步進行這兩個業(yè)務(wù)需要的媒體層資源的隔離和合理分配。但是，因為業(yè)務(wù)子網(wǎng)的建設(shè)和增加是逐步的，這種方式在網(wǎng)絡(luò)初期，是可以滿足需求的。最終目標(biāo)是提供MPLS VPN+MPLS TE模型。媒體層為MPLS VPN業(yè)務(wù)子網(wǎng)提供基于LSP的資源預(yù)留、資源管理和控制。MPLS技術(shù)在保證QoS方面的重要戰(zhàn)略意義，見《研究報告的詮釋》中的第九節(jié)?？刂茟?yīng)用層不同的應(yīng)用服務(wù)器通過控制應(yīng)用層內(nèi)的PE設(shè)備歸屬于不同的VPN業(yè)務(wù)子網(wǎng)。依靠支撐平臺層的內(nèi)部網(wǎng)絡(luò)平臺保證從該PE設(shè)備到具體應(yīng)用服務(wù)器的帶寬保證、監(jiān)測和控制。具體的業(yè)務(wù)應(yīng)用服務(wù)器進行其內(nèi)部相應(yīng)的接入用戶數(shù)量和資源的監(jiān)測和控制。1網(wǎng)絡(luò)安全的基本措施網(wǎng)絡(luò)安全問題是基于IP技術(shù)構(gòu)建網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一，為系統(tǒng)解決好這些問題，電信級的寬帶網(wǎng)絡(luò)應(yīng)該有全面深入的網(wǎng)絡(luò)安全規(guī)劃。從建設(shè)角度，目前宜采用的基本措施如下：1) 網(wǎng)絡(luò)應(yīng)端到端進行全面隔離、帶寬規(guī)劃、監(jiān)測和控制接入層應(yīng)基于用戶進行嚴(yán)格隔離，媒體層應(yīng)基于業(yè)務(wù)子網(wǎng)以MPLS VPN進行嚴(yán)格隔離，控制應(yīng)用層應(yīng)基于服務(wù)器進行嚴(yán)格隔離； 在全面隔離的基礎(chǔ)上，應(yīng)采用各種技術(shù)端到端按需進行帶寬的規(guī)劃、監(jiān)測和控制。這是網(wǎng)絡(luò)整體安全的一個重要基礎(chǔ)。目前的互聯(lián)網(wǎng)正因為沒有進行端到端全面隔離、帶寬規(guī)劃、監(jiān)測和控制，而具有極大的網(wǎng)絡(luò)安全隱患。2)應(yīng)建設(shè)完善的認(rèn)證鑒權(quán)系統(tǒng)認(rèn)證鑒權(quán)作為網(wǎng)絡(luò)實現(xiàn)可運營可管理的核心技術(shù)措施之一，其方式/方案的完善性具有戰(zhàn)略性的重要意義。從業(yè)務(wù)需求角度分析，完善的認(rèn)證鑒權(quán)方式應(yīng)具備如下特征： 認(rèn)證鑒權(quán)和地址分配（包括NAT轉(zhuǎn)換）的緊密結(jié)合；認(rèn)證鑒權(quán)和業(yè)務(wù)選擇的緊密結(jié)合；認(rèn)證鑒權(quán)和資源控制的緊密結(jié)合； 滿足用戶業(yè)務(wù)多樣化和個性化的需要；較完善的用戶接入控制和用戶安全；部署靈活，大容量和穩(wěn)定。目前的認(rèn)證鑒權(quán)遠遠不能滿足這些要求，電信網(wǎng)絡(luò)建設(shè)迫切需要完善的認(rèn)證鑒權(quán)方案。在這方面，應(yīng)盡快完善認(rèn)證鑒權(quán)的研究和實現(xiàn)。3) 應(yīng)建立全網(wǎng)的多層次安全防護體系應(yīng)從接入、網(wǎng)絡(luò)、操作系統(tǒng)、用戶管理、應(yīng)用層和數(shù)據(jù)層多層次縱深來保護資源不受外部和內(nèi)部的威脅，減少威脅和薄弱點，從而提供全網(wǎng)安全性。4)應(yīng)采用統(tǒng)一客戶端方式基于統(tǒng)一的客戶端程序進行用戶接入的認(rèn)證鑒權(quán)、帶寬監(jiān)測和控制、業(yè)務(wù)選擇、非法用戶限制、流量統(tǒng)計和必要的歷史記錄收集。其中的業(yè)務(wù)選擇控制、非法用戶控制、流量統(tǒng)計和必要的歷史記錄收集將對網(wǎng)絡(luò)安全具有至關(guān)重要的意義。5) 應(yīng)建設(shè)業(yè)務(wù)應(yīng)用監(jiān)控系統(tǒng)網(wǎng)絡(luò)提供的多媒體綜合業(yè)務(wù)，有著各種各樣的質(zhì)量要求及其行為特征，全面監(jiān)測這些不同業(yè)務(wù)應(yīng)用在網(wǎng)絡(luò)上的真實表現(xiàn)及其特征是一切維護管理改進的“根本依據(jù)所在”。缺乏這些業(yè)務(wù)應(yīng)用的第一手資料，再強有力的技術(shù)控制手段都將無用武之地。業(yè)務(wù)應(yīng)用和SLA的監(jiān)控平臺將系統(tǒng)監(jiān)測全網(wǎng)的業(yè)務(wù)類型、流量、流向以及其它業(yè)務(wù)特征，設(shè)置必要的告警門限，對異常事件進行快速告警、跟蹤和鎖定。在此基礎(chǔ)上展開相應(yīng)的控制工作。六、技術(shù)發(fā)展路標(biāo)和關(guān)鍵技術(shù)問題分析統(tǒng)一客戶端 統(tǒng)一客戶端的本質(zhì)和重要意義統(tǒng)一客戶端的本質(zhì)是將網(wǎng)絡(luò)的接入控制功能、資源控制功能和安全防護等功能從傳統(tǒng)的網(wǎng)絡(luò)設(shè)備處解脫出來，分布式放置于用戶端。其相對原有的在網(wǎng)絡(luò)設(shè)備處控制，重要意義在于：1) 將極大地降低網(wǎng)絡(luò)設(shè)備對接入控制功能、帶寬控制功能、安全防護功能的要求，有效節(jié)約網(wǎng)絡(luò)投資，提高網(wǎng)絡(luò)性價比；2) 純軟件的解決方案，新的業(yè)務(wù)