【正文】 向連接的傳輸方式，將數(shù)據(jù)分割成固定的信元，通過虛擬連接進(jìn)行交換。而在利用以太網(wǎng)技術(shù)建設(shè)的網(wǎng)絡(luò)中，DSLAM和LAN用戶無法做到標(biāo)識的唯一性，故無法進(jìn)行用戶的定位和識別。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN 邏輯地劃分成不同的廣播域， 每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN 有著相同的屬性。在認(rèn)證時，BRAS就會把用戶的VLAN ID發(fā)送到Radius服務(wù)器上，這樣就完成了用戶的標(biāo)識工作。 (1)根據(jù)IEEE 802．1Q協(xié)議的規(guī)定，VLAN ID在報文中占12bit，最多只能有4096個。這樣，多個用戶只能共用同一個VLAN ID，難以保證用戶標(biāo)識的唯一性。 (2)未來網(wǎng)絡(luò)是多業(yè)務(wù)的網(wǎng)絡(luò)，一方面，隨著IPTV、VOIP大規(guī)模商業(yè)化，家庭網(wǎng)內(nèi)會出現(xiàn)多種智能終端，PUPSPV(每個用戶每種業(yè)務(wù)一個VLAN ID)的組網(wǎng)方案被提出，如果繼續(xù)采用VLAN 標(biāo)識用戶的方案，一個用戶就需要多個VLAN ， VLAN 局限性問題會更加突出。因此，采用VLAN 標(biāo)識用戶的方案已經(jīng)難以解決用戶標(biāo)識唯一性問題了。這樣，用戶的VLAN 直接到達(dá)BRAS，BRAS可以根據(jù)VLAN 信息來標(biāo)識用戶。(2)采用QINQ技術(shù)QINQ技術(shù)簡單的說就是在原有的IEEE 802．1Q報文的基礎(chǔ)上，再增加一層802．1Q標(biāo)簽頭，使ＶＬＡＮ的數(shù)量增加到4K*4K，而實現(xiàn)私網(wǎng)VLAN 在公網(wǎng)中透傳，達(dá)N層VPN的應(yīng)用效果。另一方面它還具有不同私網(wǎng)用戶之間相同VLAN 不透傳，與公網(wǎng)有效分離，最大限度節(jié)省VLAN 等特點(diǎn)。QINQ技術(shù)實現(xiàn)簡單靈活，因此在城域網(wǎng)用戶識別中廣泛使用。對于開放的、面向公眾的可管理網(wǎng)絡(luò)，用戶的識別與定位，業(yè)務(wù)的識別與隔離是最基本的要求。從前瞻性的角度考慮，城域網(wǎng)的發(fā)展目標(biāo)是采用每個用戶一個VLAN 的方式進(jìn)行組網(wǎng)。城域網(wǎng)中部署支持QINQ的設(shè)備，采用PUPSPV(每個用戶的每種業(yè)務(wù)一個VLAN )的組網(wǎng)方式進(jìn)行業(yè)務(wù)綁定，可以實現(xiàn)“三網(wǎng)融合，全業(yè)務(wù)承載”，對寬帶上網(wǎng)數(shù)據(jù)業(yè)務(wù)，VOD(視頻點(diǎn)播)，VOIP等Triple Play業(yè)務(wù)進(jìn)行承載，使得城域網(wǎng)滿足三網(wǎng)融合與精細(xì)化運(yùn)營的建設(shè)目標(biāo)。QINQ完全在運(yùn)營商網(wǎng)絡(luò)上實施，用戶對QINQ并不感知。 研究方案的主要內(nèi)容寬帶遠(yuǎn)程接入服務(wù)器(BRAS)是面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的接入網(wǎng)關(guān)，它位于核心網(wǎng)的邊緣層，是用戶通信流量的匯聚點(diǎn)，它在電信運(yùn)營商的接入網(wǎng)絡(luò)和核心口網(wǎng)絡(luò)之間主要完成兩方面功能：一是網(wǎng)絡(luò)承載功能，負(fù)責(zé)端接用戶的PPPOE連接、匯聚用戶的流量功能；二是與認(rèn)證系統(tǒng)、計費(fèi)系統(tǒng)和客戶管理系統(tǒng)及服務(wù)策略控制系統(tǒng)相配合實現(xiàn)用戶接入的認(rèn)證、授權(quán)和記賬功能。為了適應(yīng)當(dāng)前城域網(wǎng)的發(fā)展要求，本課題主要在BRAS設(shè)備上完成了對QINQ的支持。使BRAS設(shè)備能夠識別帶有兩層VLAN TAG的PPPOE和IP報文。：本文研究了QINQ技術(shù)的原理和在城域網(wǎng)中的應(yīng)用，根據(jù)實際組網(wǎng)中的需求，在BRAS設(shè)備上實現(xiàn)了PPPOE、IP支持QINQ的特性。第2部分介紹了QINQ技術(shù)的原理及在城域網(wǎng)中的應(yīng)用，并給出了幾種常用的組網(wǎng)方案。第4部分結(jié)合現(xiàn)在市區(qū)的網(wǎng)絡(luò)現(xiàn)狀和技術(shù)需求提出最佳的網(wǎng)絡(luò)優(yōu)化方案。2 QINQ技術(shù)雖然QINQ技術(shù)至今還沒有正式的標(biāo)準(zhǔn)，但由于其方便易用的特點(diǎn)，已經(jīng)在運(yùn)營商精細(xì)化的業(yè)務(wù)中得到越來越廣泛的應(yīng)用。 QINQ（ in ）技術(shù)介紹隨著以太網(wǎng)技術(shù)在運(yùn)營商網(wǎng)絡(luò)中的大量部署，利用802．1Q VLAN 對用戶進(jìn)行隔離和標(biāo)識受到很大限制，因為IEEE802．1Q中定義的VLAN ID域只有12個比特，僅能表示4096個VLAN ，這對于城域網(wǎng)中需要標(biāo)識的大量用戶明顯已是捉襟見肘，于是QINQ技術(shù)應(yīng)運(yùn)而生。另外，QINQ報文帶著兩層TAG穿越運(yùn)營商網(wǎng)絡(luò)，內(nèi)層TAG透明傳送，也是一種簡單、實用的VPN技術(shù)，因此它又可以作為核心MPLS VPN在城域網(wǎng)VPN的延伸，最終形成端到端的VPN技術(shù)。圖1．2對普通802．1Q和QINQ幀格式進(jìn)行了比較。ETPID是IEEE定義的以太網(wǎng)編碼標(biāo)記，用于標(biāo)記該幀的類型，目前IEEE規(guī)定802．1Q幀的值為0x8100。CFI占1比特位，主要用于總線型的以太網(wǎng)與FDDI、令牌環(huán)網(wǎng)交換數(shù)據(jù)時的幀格式。圖1．2 802．1Q和QINQ幀格式 根據(jù)現(xiàn)有802．1Q的標(biāo)準(zhǔn)，標(biāo)識一個幀是QINQ幀也要依靠外層標(biāo)簽內(nèi)的ETYPE值。華為公司設(shè)備支持基于端口的QINQ協(xié)議配置，即用戶可以在設(shè)備端口上設(shè)置QINQ protocol 0x9100（該值可以由用戶任意指定），這樣端口就會將報文外層VLAN tag中的ETYPE值替換為0x9100再進(jìn)行發(fā)送，從而使發(fā)送到其他設(shè)備端口的QINQ報文可以被其他設(shè)備識別。 QINQ封裝QINQ封裝是指如何把單層Q報文轉(zhuǎn)換為雙層Q報文，封裝主要發(fā)生在城域網(wǎng)面向用戶的UPE設(shè)備，一般在交換式的端口上進(jìn)行，根據(jù)不同的封裝依據(jù)，QINQ可以分為幾種不同類型，包括基于端口的QINQ和基于流的QINQ兩大類, 另外，還可以在路由子接口上進(jìn)行的特殊QINQ封裝。（2）基于流的QINQ封裝 ：基于流的QINQ封裝可以對進(jìn)入端口的數(shù)據(jù)首先進(jìn)行流分類，然后對于不同的數(shù)據(jù)流選擇是否打外層TAG，打何種外層TAG，因此也叫靈活QINQ，靈活QINQ根據(jù)流分類的方法又可細(xì)分如下:① 根據(jù)報文中的VLAN ID區(qū)間分流 。 ②根據(jù)報文中的VLAN ID＋Priority進(jìn)行分流 。 ③根據(jù)目的IP進(jìn)行QINQ封裝。 ④根據(jù)協(xié)議號ETYPE進(jìn)行QINQ封裝 。 ⑤在路由子接口上進(jìn)行QINQ封裝。這種封裝方式也是基于流的QINQ封裝方式，但QINQ Stacking子接口只能和L2VPN(PWE3VLLVPLS)結(jié)合起來才有意義，不支持三層轉(zhuǎn)發(fā)功能。 在核心網(wǎng)邊緣，QINQ終結(jié)一般在路由子接口上執(zhí)行，即QINQ Termination子接口。允許路由器容納更多的VLAN ，這樣在子接口用于VLAN 間路由時，就可以均衡接口上的流量負(fù)載。配置這樣的虛接口，可以高效和靈活的利用有限的端口資源，給網(wǎng)絡(luò)配置帶來方便。一個父接口下可以存在多個子接口，子接口支持三層轉(zhuǎn)發(fā)。對于支持三層的以太網(wǎng)子接口，必須為子接口指定一個VLAN id值查找對應(yīng)的子接口，根據(jù)子接口的配置信息來處理報文。QINQ終結(jié)子接口和普通的VLAN 子接口類似，普通VLAN 子接口對單層VLAN 進(jìn)行識別和終結(jié)，QINQ終結(jié)子接口對雙層VLAN 進(jìn)行識別和終結(jié)。配置如下：QINQ termination pevid 100 cevid 200另一種兩層VLAN tag為范圍值，即終結(jié)的VLAN tag內(nèi)外層tag都為范圍，我們稱為模糊的QINQ終結(jié)子接口配置如下：QINQ termination pevid 200 cevid 300 to 400QINQ termination pevid 201 cevid 300 to 400 QINQ在IP城域網(wǎng)中的應(yīng)用目前QINQ在寬帶接入網(wǎng)中主要應(yīng)用在用戶端口唯一識別，業(yè)務(wù)隔離和二層VPN業(yè)務(wù)。在基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)中，主要通過BRAS收集端口信息，配合后臺Radius數(shù)據(jù)庫進(jìn)行賬號和端口的綁定來確定。QINQ技術(shù)通過為每個用戶、每種業(yè)務(wù)分配不同的VLAN ID，VLAN 從用戶接入設(shè)備開始標(biāo)記，到BRAS或SR(服務(wù)路由器)終結(jié)，實現(xiàn)用戶唯一標(biāo)識。用戶和業(yè)務(wù)隔離 用戶之間數(shù)據(jù)流量的隔離，以及不同業(yè)務(wù)間的數(shù)據(jù)流量隔離，是保障用戶和業(yè)務(wù)安全的重要手段。QINQ技術(shù)繼承802．10 VLAN 特征，通過細(xì)分廣播域，在寬帶接入網(wǎng)中形成用戶及用戶的具體某項業(yè)務(wù)到IP城域網(wǎng)業(yè)務(wù)接入控制點(diǎn)之間的邏輯星型結(jié)構(gòu)，可以較方便的實現(xiàn)按用戶隔離(PUPV)和按業(yè)務(wù)隔離(PSPV)，達(dá)到不同用戶，不同業(yè)務(wù)之間互不干擾，有利于信息安全和端到端的QOS保障。目前二層VPN業(yè)務(wù)是廣受歡迎的業(yè)務(wù)．用戶希望通過廉價的以太網(wǎng)設(shè)備組成跨區(qū)域的VPN網(wǎng)絡(luò)。運(yùn)營商可通過VPLS技術(shù)實現(xiàn)二層網(wǎng)絡(luò)信息的封裝和透傳。目前城域網(wǎng)上業(yè)務(wù)主要分為寬帶上網(wǎng)、VOIP、視頻點(diǎn)播，企業(yè)專線，NGN及3G等，其中企業(yè)專線、NGN和3G業(yè)務(wù)一般通過專線接入或通過固定的端口接入．如果需要業(yè)務(wù)區(qū)分，使用標(biāo)準(zhǔn)的QINQ即可(如果在同一物理端口接入多個企業(yè)業(yè)務(wù)時，也可使用靈活QINQ進(jìn)行區(qū)分)，寬帶上網(wǎng)，VOIP及視頻點(diǎn)播一般涉及同一用戶的不同業(yè)務(wù)，接入端依靠同一物理介質(zhì)，為了對不同業(yè)務(wù)進(jìn)行區(qū)分及實行不同的QOS標(biāo)準(zhǔn)，必須使用靈活QINQ進(jìn)行操作。設(shè)備流分類原則10012000DSLAM1VOIP200130014000DSLAM2寬帶上網(wǎng)1002VLAN 標(biāo)簽區(qū)間20013000DSLAM230014000同理，在DSLAM2下的乙用戶，其不同的業(yè)務(wù)可以分配不同的VLAN 標(biāo)簽，注意，這里分配的VLAN 標(biāo)簽可以和甲用戶分配的標(biāo)簽相同，在進(jìn)入S85后根據(jù)內(nèi)層標(biāo)簽增加一個外層標(biāo)簽，注意，外層標(biāo)簽和甲用戶分配的不同，主要是為了區(qū)分DLSAM的位置，也是為了最終定位用戶。S85交換機(jī)進(jìn)行業(yè)務(wù)區(qū)分及分流，BAS或SR設(shè)備進(jìn)行業(yè)務(wù)決策和QOS控制。在BAS或SR上進(jìn)行集中的用戶業(yè)務(wù)策略控制，實施HQOS。DSLAM單PVC接入解決方案，：業(yè)務(wù)內(nèi)層VLAN 標(biāo)簽外層VLAN 標(biāo)簽24095協(xié)議號DSLAM12409524095DSLAM224095協(xié)議號如上圖所示，當(dāng)前運(yùn)營商網(wǎng)絡(luò)里有大量老的DSLAM設(shè)備或MODEM僅支持單PVC上行，所有用戶業(yè)務(wù)全部在一個用戶VLAN 上行，s85根據(jù)協(xié)議號進(jìn)行業(yè)務(wù)區(qū)分及分流(根據(jù)協(xié)議號給報文打上相應(yīng)的VLAN )，在這種組網(wǎng)方案中，外層標(biāo)簽標(biāo)識DSLAM位置和業(yè)務(wù)，內(nèi)層標(biāo)簽標(biāo)識用戶在DSLAM上的位置，這種應(yīng)用情況可以解決目前大量的MODEM支持單PVC的情況，這種用戶在運(yùn)營商網(wǎng)絡(luò)里很多，在S85分流后，與BAS或SR結(jié)合實施HQOS，可以很好的滿足不同業(yè)務(wù)的QOS需求。本章介紹了BRAS的產(chǎn)生和它在城域網(wǎng)中的作用。寬帶接入服務(wù)器的推出在很大程度上是由于ADSL的大面積推廣應(yīng)用。以前ADSL要實現(xiàn)寬帶接入網(wǎng)絡(luò)業(yè)務(wù)通常是通過為每一用戶的某一業(yè)務(wù)創(chuàng)建一條相應(yīng)PVC連接，然后將這些數(shù)目眾多的PVC直接終結(jié)在路由器上。而且，這種接入網(wǎng)絡(luò)結(jié)構(gòu)主要以靜態(tài)IP接入方式為主，會造成網(wǎng)絡(luò)IP地址的利用率低下且管理困難，根本無法做到有效地用戶集中授權(quán)、認(rèn)證和相應(yīng)的計費(fèi)管理。圍繞著寬帶接入網(wǎng)絡(luò)的技術(shù)特點(diǎn)和應(yīng)用要求，效仿窄帶撥號接入服務(wù)器的作用，寬帶接入服務(wù)器應(yīng)運(yùn)而生。這種模式經(jīng)過長期使用，非常成熟可靠。寬帶接入服務(wù)器或稱寬帶接入網(wǎng)關(guān) (BRAS)依靠新標(biāo)準(zhǔn)如PPPOA、PPPOE提供與傳統(tǒng)接入解決方案中同樣的用戶認(rèn)證和計費(fèi)能力；此外，提供強(qiáng)制門戶站點(diǎn)、QOS、VPN等增值應(yīng)用。目前城域網(wǎng)中用戶認(rèn)證主流技術(shù)是PPPOE，而BRAS是認(rèn)證過程中終結(jié)用戶PPPOE呼叫的設(shè)備，二者是緊密相連的。下行的以太網(wǎng)幀從IP城域網(wǎng)經(jīng)路由器送到BRAS，被加上PPPOE的頭后送到DSLAM封裝成AAL5幀，發(fā)送到ADSL Modem，由其完成AAL5幀重組并解出以太網(wǎng)幀發(fā)送到客戶端，客戶端從PPPOE包中取出護(hù)數(shù)據(jù)包。 從上面可以看出，PPPOE將PPP承載到以太網(wǎng)之上，實質(zhì)是在共享介質(zhì)的網(wǎng)絡(luò)上提供一條邏輯上的點(diǎn)到點(diǎn)鏈路，對用戶而言，在DSLAM和ADSL Modem之間的ATM傳輸是透明的，如果將中間的DSLAM和ADSL Modem換成有線電視的接入設(shè)備，就是典型的HFC（ 或者無驗證Network階段Terminate階段 關(guān)閉，描述了PPP鏈路建立所經(jīng)歷和涉及的幾個階段。PPP初始狀態(tài)為不活動(Dead)狀態(tài)，當(dāng)滿足以下兩個條件時，PPP會進(jìn)入鏈路建立(Establish)階段；這兩個條件是：PPP的低層報UP(符合什么條件報UP，取決于低層的特點(diǎn)，會由于低層類型的不同而體現(xiàn)出不同的特點(diǎn)，這里可暫時簡單地理解為物理UP)、對應(yīng)接口是OPEN狀態(tài)(即沒有被管理員PPP在Establish階段主要進(jìn)行鏈路控制協(xié)商(LCP)，協(xié)商內(nèi)容包括：MRU (最大接收單元)、魔術(shù)字(magic number)、驗證方式、異步字符映射、工作方式是否是MP等選項。如果驗證失敗則進(jìn)入Terminate階段，拆除鏈路，LCP狀態(tài)轉(zhuǎn)為Down如果驗證成功就進(jìn)入Network協(xié)商階段，進(jìn)行NCP的協(xié)商(如IPCP、IPXCP、BCP的協(xié)商)，此時LCP狀態(tài)是UP的。到此，PPP鏈路將一直保持通信，直至有明確的LCP或NCP幀關(guān)閉這條鏈路，或發(fā)生了某些外部事件(例如，用戶的干預(yù))。如正確則會給對端發(fā)送ACK報文，通告對端已被允許進(jìn)入下一階段協(xié)商；否則發(fā)送NAK報文，通告對端驗證失敗。只有當(dāng)驗證不過次數(shù)達(dá)到一定值時，才會關(guān)閉鏈路，來防止因誤傳、網(wǎng)絡(luò)干擾等造成不必要的LCP重新協(xié)商過程。因此，它只適用于對網(wǎng)絡(luò)安全要求比較低的環(huán)境。驗證方 被驗證方 challenge Response ACK OR NOT ACK 它在網(wǎng)絡(luò)上傳輸用戶名，但不傳輸用戶口令(其實是它不直接傳輸口令，傳輸?shù)氖怯肕D5算法將口令與某隨機(jī)報文ID一起計算的結(jié)果)，因此它的安全性要比PAP高。被驗證方接到對端對本端的驗證請求時．便根據(jù)此報文中驗證方的用戶名和本端的用戶表(注意，這個用戶表可能在本地，也可能在另外一臺服務(wù)器上)查找用戶口令字，如找到用戶表中與驗證方用