（通信与信息系统专业论文）大规模接入汇聚路由器用户控制与管理研究.pdf

中文摘要 在大规模用户接入的环境下，可管理、可控制是网络提供高速、稳定、安全、可靠的 端到端承载业务的基础。基于以太网的宽带接入技术凭借成本低、协议简单、技术成熟、 可扩展性强的特点越来越多地应用于宽带i p 接入网，而用户管理和控制成为达到电信级运 营要求的关键因素。本文结合国家十五“8 6 3 ”计划专项重大课题“大规模汇聚路由器系 统( 以下简称a c r ) 性能与关键技术研究”，研究了对用户进行管理与控制的若干关键问 题和采用i n t e li x p 2 8 0 0 网络处理器实现用户管理和控制的技术难点。本文的主要贡献和创 新点如下： 给出了a c r 在多业务环境下对用户进行认证与接入控制、网络电视业务权限与带宽 控制、频道快速切换的解决方案。 提出并实现了一种可用于多维分类的高速低冲突h a s h 分类方案。该分类方案选择 c r c 3 2 算法作为h a s h 函数，采用歼环散列单向链表解决h a s h 冲突。通过理论推导， 给出了一种计算变长目标码c r c 3 2 值的递归方法，克服了i n t e l i x p 2 8 0 0 网络处理器c r c 计算指令仅支持3 2 比特源操作数、不适应多维分类应用的缺点，该方法仅需8 个指令周 期就可以计算出1 2 8 比特关键字的c r c 值。提出了冲突链表节点内存合并的方法加速链 表查找速度，有效减少了查找操作对s r a m 的访问次数。 d r r 算法在出队操作时需要读取队头报文长度和更新亏损计数器，1 0 g b p s 链路速率 条件下，网络处理器实现d r r 算法对存储器资源耗费巨大，难以保证系统线速处理的要 求。本文提出了一种改进的d r r 调度算法一预先拣选低时延d r r 算法。解决了1 0 端 口报文调度输出的问题。该算法在入队探作时预先计算报文出队次序标示( r o u n d ) ，使调 度机只需比较一次标示( r o u n d ) ，就可调度一个报文输出。另外，调度器维护两个活动队 列链表，使得调度器交替访问活动队列，平滑了数据的调度输出。仿真结果表明，改进的 d r r 算法在保持了传统d r r 算法良好公平性的基础上，具有更低的平均时延。 为了实现大规模接入用户多业务分类流量的线速测量，提出了一种基于两级存储结构 的流量测量算法，两级存储结构较好地解决了存储器容量和速度之间的矛盾。与随机抽样 测量相比，基于两级存储结构的流量测量算法具有更小和更平均的测量误差。工程实现中， 将微引擎内部l o c a lm e m o r y 作为一级存储器，s r a m 作为二级存储器，减少了s r a m 的 读写次数，避免了频繁更新s r a m 而造成的系统吞吐率下降。 关键词：宽带接入：以太网；路由器：网络处理器；调度：包分类；流量测量 第1 页 a b s t r a c t c o n t r o l l a b i l i t yi st h ef o u n d a t i o n a lr e q u i r e m e n tf o rn e t w o r kc a r r y i n go u th i 曲- s p e e d i n g ， s t e a d y , s a f ea n dr e l i a b l ee n dt oe n ds e r v i c e su n d e rt h ec o n d i t i o no fl a r g es c a l es u b s c r i b e r s e t h e r n e tt e c h n i q u ei sa p p l i e dt ob r o a d b a n di pa c c e s sn e t w o r kf o ri t sa d v a n t a g e so fl o wc o s t , s i m p l ep r o t o c o l ，m a t u r et e c h n i q u ea n de a s y - u p g r a d i n g u s e rc o n t r o la n da d m i n i s t r a t i o nb e c o m e s t h ek e yf a c t o ro fe t h e m e tb a s e db r o a d b a n da c c e s sn e t w o r ka c h i e v i n gt h eg o a lo ft e l e c o m o p e r a t i o n t h i sp a p e rp r o v i d e sa na n a l y s i so fu s e rc o n t r o la n da d m i n i s t r a t i o na n dp r e s e n t ss o m e m e t h o d st os o l v ek e yt e c h n i q u e so f e q u i p m e n td e v e l o p i n gb a s e do nn e t w o r kp r o c e s s o r t h em a i n c o n t r i b u t i o na n do r i g i n a l i t ya sf o l l o w s ： as o l u t i o nt ou s e r sa c c e s sa d m i n i s t r a t i o n 、i p t vs e r v i c ew a r r a n ta n db a n dc o n t r o l 、i p t v c h a n n e ls w i t c hi sg i v e ni nt h i sp a p e r ah a s h - b a s e dl o wc o l l i s i o np r o b a b i l i t yp a c k e tc l a s s i f i c a t i o ns o l u t i o ni sp r e s e n t e di n t h i s p a p e r c r c - 3 2a l g o r i t h mi sa d o p t e da sh a s hf u n c t i o na n da nr e c u r s i o na l g o r i t h m i cm e t h o di s p r o v i d et oc a l c u l a t ea l t e r a b l el e n g t ht a r g e tc o d e c r cv a l u ec a nb ec a l c u l a t e dw i t h i no n l y8 i n s t r u c t i o nc y c l e sf o r12 8 b i tt a r g e tc o d e c r c 一3 2a l g o r i t h mh a st h eg o o dp e r f o r m a n c eo f r a n d o m i c i t ya n dl o wc o l l i s i o np r o b a b i l i t y h a s hc o l l i s i o nc h a i nn o d ec o n s o l i d a t i o ni sp r o p o s e dt o q u i c k e nu pc h a i ns e a r c h t h i ss o l u t i o nc a nb eu s e di nd o m a i no fm u l t i d i m e n s i o np a c k e t c l a s s i f i c a t i o ne a s i l y am o d i f i e dd r r a l g o r i t h m ( p r e - s o r t e dl o wd e l a yd r r li sp r o p o s e dt os c h e d u l ep a c k e t t h i sa l g o r i t h md o e s n tn e e dr e a ds r a mt og e tp a c k e tl e n g t h sw h i l es c h e d u l eap a c k e to u t a n d t w oa c t i v el i s t sm a k et h es c h e d u l e rs e r v ea c t i v eq u e u e sb yt u r na n ds m o o t ht h ef l o wb u r s t s i m u l a t i o ns h o w st h a tt h ep r e s o r t e dl o wd e l a yd r rh a v et h es r t r l ef a i r n e s sa sd r ra n dl o w e r q u e u ea v e r a g ed e l a y an e wf l o wt r a f f i cm e a s u r e m e n ta l g o r i t h mb a s e do nt w o l a y e rm e m o r yh i e r a r c h yi sg i v e n s u c hm e m o r yh i e r a r c h yi sc o n s t r u c t e db ys m a l lh i g h s p e e dm e m o r yo nt h e1 “l a y e ra n dl a r g e l o w - s p e e dm e m o r yo nt h e2 “4l a y e r t h et w o l a y e rm e m o r yh i e r a r c h ym a k e sab e t t e rt r a d e o f f b e t w e e ns p a c ea n ds p e e d 1 1 1 ea l g o r i t h mp r o p o s e di nt h i sp a p e rh a sas m a l l e ra n df a i r e r e s t i m a t i o ne r r o r t or e d u c es r a mr e a d & w r i t ei n s t r u e t i o na n di m p r o v et h r o u g h p u t 1 0 c a l m e m o r yo fn e t w o r kp r o c e s s o r ( i n t e li x p 2 8 0 0 ) i su s e da sl “l a y e rm e m o r ya n ds r a ma s2 ” l a y e ri ni m p l e m e n t i n g k e yw o r d s ：b r o a d b a n da c c e s s ； e t h e r n e tn e t w o r k ； r o u t e r ； n e t w o r kp r o c e s s o r ； s c h e d u l e ；p a c k e tc l a s s i f i c a t i o n ；f l o wm e a s u r e m e n t 第页 信息1 = 稃大学硕士学何论文 表目录 表1a c r 用户端口标示与认证状态表 表2a c r 用户帐户端口标示与认证状态表1 4 表3a c r 未经认证允许访问的i p 地址列表1 4 表4 网络电视频道组播组地址列表1 7 表5 用户网络电视收看权限表1 7 表6 用户网络电视组播复制表1 7 表7 用户带宽分配表1 8 表8 预先拣选低时延d r r 算法性能统计。4 2 表9d r r 算法性能统计4 2 第v 页 信息工稃大学硕七学付论文 图目录 图1a c r 使用环境2 图2a c r 组成结构3 图3 图4 图5 图6 基于以太网的宽带接入网结构 v l a n 技术 a c r 系统模块示意图 b m g 端口i p 分配流程 图7b m g 认证流程 图81 0 0 0 m 上行链路数据处理逻辑流程与i p 地址分配流程 图9e m d 维护的表与i p t v 业务基本流程 图1 0i g m p m l d 报文的处理流程与频道切换处理流程。 图1 1i x p 2 8 0 0 内部结构模块图 图1 2 图1 3 图1 4 图1 5 图1 6 图1 7 图1 8 图1 9 图2 0 图2 1 图2 2 图2 3 多线程切换 e m d 在系统中的位置 e m d1 0 0 0 m 接口模块顶层结构图2 3 网络处理器功能模块图2 4 分类基本原理2 5 o s i 参考模型各层可用报文分类字段2 6 哈希分类算法h a s h 查找关键字2 8 哈希链表及其节点2 8 x o r _ s h i f t 、i p s x 、c r c 3 2 算法随机性比较2 9 s r a m 访问处理伴随事件3 1 多线程s r a m 访问“延迟隐藏”3 1 线程执行时s t a l l s 的发生3 2 第v i 页 ：2 m 他 侈 信息t 稃大学硕十学伸论文 图2 4s r a m 访问延时3 2 图2 5 冲突链表结点合并3 3 图2 6d r r 原理示意3 5 图2 7d r r 服务队列访问3 9 图2 8f i n a l _ r o u n d 计算示例4 0 图2 9 调度机维护的双活动队列链表一4 0 图3 0 平均时延与端口分组长度的关系4 3 图3 l 抽样算法示意图4 6 图3 2 抽样算法性能比较4 7 图3 3 随机分段抽样和p o i s s o n 抽样的估计误差比较。4 7 图3 4 基于s r a m 访问的逐包计数4 9 图3 5 一级存储结构示意图5 0 图3 6 两级存储结构。5 0 图3 7 两级存储结构流量测量算法流程图5 2 图3 8 两级存储结构流量测量算法仿真结果5 4 第v l l 页 独创性声明 所提交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所 知，除了文中标注和致谢的相关内容外，论文中不包含其他个人或集体已经公开的研究成 果。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文题目：盔规搓撞厶近霾蹬出墨旦应控制曼笪理班究 学位论文作者签名： 习盘么日期：卫“年莎月彤日 学位论文版权使用授权书 本人完全了解信息工程大学有关保留、使用学位论文的规定。本人授权信息工程大学 可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和借 阅；可以将学位论文的全部或部分内容编入有关数掘库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 涉密学位论文在解密后适用本授权书。) 学位论文题目：太埋攫撞厶堑覆蹬由墨旦庄控剑兰篮理盟究 11 学位论文作者签名：! 婴堕 日期：五她锌易月砂舌日 作者指导教师签名： 日期：珈年6 月占日 堕星! 登查兰堡主兰堡垒塞 第一章绪论 1 1 课题背景与来源 “三网融合”中的三网是指以电话网( 包括移动通信网) 为代表的传统电信网、以有线 电视为代表的广播电视网和以互联网为代表的数字通信网。从技术上看，尽管各种网络仍 有自己的特点，但技术特征正逐渐趋向一致，如数字化、光纤化、分组交换化等，特别是 逐渐向i p 协议的汇聚己成为下一步发展的共同趋向。 2 0 0 6 年十六届五中全会通过的中共中央关于制定国民经济和社会发展第十一个五年 规划的建设中明确提出要“加强宽带通信网、数字电视网和下一代互联网等基础设施建 设，推进三网融合”，表明三网融合已是大势所趋。 在光纤到大楼或小区后，采用以太网技术作为接入方式( 即f r r x + l a n ) ，是目前业界 认为前景最为广阔的宽带接入手段，目前全球8 5 的网络采用以太网技术。以太网接入采 用5 类非屏蔽双绞线( u t p ) 作为接入线路，因此需要在楼内进行综合布线。以太网在局域 网中几乎一统天下，将以太网引入到接入网甚至城域网后，从用户桌面、接入网到核心网 就可以完全采用同一技术，避免了协议转换带来的问题。以太网接入有扩展性好、价格便 宜、接入速率高、技术成熟简单等优势，能向用户提供1 0 1 0 0 m 的终端接入速率。尤其是 对于高密度用户群，以太网接入的经济性也非常好，而我国由于城市居民的居住密度大， 正好适合以太网接入的这一特性。 但是，由于以太网技术是为局域网应用开发的，应用到接入网环境中后会出现许多问 题，如需要解决用户控制与管理、用户认证和计费、用户隔离和安全保证、业务管理、服 务等级区分、设备和网络管理、设备供电等诸多问题，为此许多设备商推出了各类专有的 解决方案，适应运营商接入网应用的以太网规范也在逐步制订中。但总的来说，目前非常 理想的、能达到电信级运营要求的以太网接入产品和解决方案还比较欠缺，相关标准也有 待完善。 随着i p t v 、v o d 和流媒体等宽带实时业务的应用普及，正在对网络业务模型和多业 务支持架构带来颠覆性的影响。为了支持宽带流媒体业务，必须认真研究这些业务的特点 以及对网络可能造成影响，提出支持策略，并改进或者提出全新的网络支持架构。 综合考虑现有传统用户终端业务开展的经验和教训，和即将引入的宽带流媒体业务要 求，以及未来新业务拓展的趋势，网络提供的端到端的承载业务特性必须在大规模用户接 入环境下，满足高速、稳定、安全、可靠的要求。 “高速”隐含着两个方面的要求：其一是网络节点处理速度要足够快；其二是节点问 链路层传输带宽要足够宽，即网络的宽带化和高速化问题。但从概念上看，此处宽带化和 高速化特指网络向用户终端提供的端到端的承载业务特性。 端到端承载业务的“稳定”特性不仅要求网络中的交换和传输设备工作稳定，更重要 第1 页 信息下稃大学硕十学何论文 的是，网络在大规模用户接入的环境下能够为终端业务提供所需的端到端的稳定传输带宽 ( 稳定传输带宽指在不影响终端业务时间和语义透明性条件下，带有一定方差抖动的恒定 比特率传输) 。 “安全”的含义是：首先用户终端在网络提供的端到端承载业务上传递的终端业务数 据不会泄漏给非法接收者；其次，用户终端在网络提供的端到端承载业务上传递的终端业 务数据不会被第三方窜改。 “可靠”包含两个层面的内容：一方面，网络提供的端到端承载业务在用户一次通信 接续过程中用户终端业务层面不会产生中断；另一方面，网络提供的端到端承载业务传递 用户数据的误码率不会影响用户终端业务的语义透明度。 综合分析网络端到端承载业务的高速、稳定，安全、可靠特性，网络从核心到边缘赢 至用户终端接口必须满足可管理、可控制和可运营的要求。可管理是可控制的基础，同时 可管理和可控制又是可运营的保证。在大规模用户接入的环境下，网络必须可控制才有可 能提供高速、稳定、安全、可靠的端到端承载业务。 综合考察我国宽带i p 网络的建设现状，骨干核心网络的网络管理系统是完善的，我们 当前迫切需要解决的是构建一种新的可管理、可控制、可运营的宽带网络接入环境边 缘网。让用户在可管理、可运营、可控制的条件下，直接接入i p 骨干传输网，而不是目前 所采用的l a n d s l a m + 三层交换机+ b a s 的接入架构。 针对这一需求，并力求使我国在下一代网络技术的研究中奠定优势，国家科技部在十 五“8 6 3 ”计划信息技术领域“高性能宽带信息网”专项部署了重大课题“大规模汇聚路 由器系统性能与关键技术研究”，( 大规模接入汇聚路由器，a c c e s sc o n v e r g e n c er o u t e r ，以 下简称a c r ) 。a c r 基础平台包括软件和硬件两大系统，完整的a c r 实验系统为a c r 路 由系统性能和关键技术研究提供基础平台。a c r 路由系统使用环境如下图1 所示。 幽1a c r 使用环境 第2 页 信息_ t = 程大学硕士学侍论文 其中i p c a s 是网络电视内容接入服务器，a c r 提供不少于6 个千兆以太网线路接口 与其连接，首期使用3 个千兆以太网接口支持2 0 路高清电视h d t v 和8 0 路标清s d t v ， 提供不少于3 个千兆以太网接口作为扩展备份。m s ( m e d i as e r v e r ) 为视频点播v o d ( v i d e o o nd e m a n d ) 服务器，a c r 可提供不少于9 个千兆以太网线路接口与其连接，首期使用3 个千兆以太网接口支持1 5 0 0 路并发流媒体( 为5 0 0 0 个用户共享) ，提供不少于6 个千兆 以太网接口作为扩展备份。另外a c r 可提供1 个1 0 gp o s 线路接口实现a c r 与i n t e m e t 互通，而且通过该接口与b o s s 系统和其它a c r 系统相连。f e 接口是a c r 连接用户的 接口，a c r 具有扩展提供6 0 0 0 0 个f e 接1 2 1 实现u i 的能力，首期提供1 5 0 0 0 个f e 接口供 用户接入。b m g ( b r o a d - b a n dm e d i ag a t e w a y ，宽带媒体网关) 为用户接入设备，通过它 使家用终端设备如电脑、i p 电话、b t v ( b r o a d b a n d t v ，宽带电视) 等接入a c r 系统。 大规模接入汇聚路由器( a c r ) 由a c r 交换主机( a c r - s ) 、a c r 设备管理服务器 ( a c r - d m s ) 、a c r 门户接入服务器( a c r - p o r t a l ) 、a c r 动态主机配置服务器 ( a c r - d h c p ) 和远端模块( r m ) 组成，其中远端模块包括扩展用分复用单元( e m d ， e t h e r n e tm u l t i p l e x e r - d e m u l t i p l e x e r ) 和远端接口单元( r i u ，r e m o t ei n t e r f a c eu n i t ) ，如图2 所示。 图2a c r 组成结构 a c r - s 是t 比特级i p v 4 v 6 双协议栈路由器，既可实现宽带i p 骨干组网，又可实现大 规模用户的汇聚接入。a c r 设备管理服务器( a c r o d m s ) 负责a c r 系统的设备管理。 a c r p o r t a l 是a c r 大规模汇聚接入门户，通过与b o s s 系统信息交互，完成用户接入认 证、业务参数配置、统计信息上报三项功能。a c r d h c p 是a c r 用户i p 地址管理的服务 器。e m d 是扩展用分复用单元，完成上下行数据的合路与分发、以及用户业务控制功能， 是a c r 实施用户管理与控制的主要设备。r i u 是远端接口单元，提供f e 用户接口实现用 第3 页 信息工程大学硕士学付论文 户接入与控制。由于e m d 和r i u 分别为远置到居民区机房和用户楼道的远端设备，综合 考虑可能的接入方式扩展，将e m d 和r i u 统称为远端模块r a m 。 1 2 本文的主要工作 本文通过分析现有宽带以太网接入技术。研究a c r 路由器在多业务环境下，对用户 进行管理与控制的若干关键问题和采用i m e li x p 2 8 0 0 网络处理器实现用户管理和控制的技 术难点。 网络处理器因其高速的并行包处理和灵活的软件编程两大特性而广泛应用于各种网 络设备中，本课题e m d 采用i n t e li x p 2 8 0 0 网络处理器进行设计与实现。i n t e li x p 2 8 0 0 网 络处理器的s r a m 、d r a m 的访问延迟都在1 0 0 周期以上，而1 0 g b p s 链路上，以6 4 字节 的最小以太网帧计算，每隔5 1 2 n s 就有一个包到达，即线速处理最小帧的所有操作必须在 5 1 2 n s 内完成，在这段时间内，可用的微引擎指令操作周期数仅为7 0 ，因此必须采用硬件 线程的快速切换、多线程并行处理的方式屏蔽内存访问延迟，以获得线速处理能力。由于 s r a m 、d r a m 控制器被网络处理器多个微引擎共享使用，内存访问延迟不可避免的随着 线程数的增加而增加。更为严重的是，当内存控制器访问指令队列满之后，微引擎将停止 运行，造成系统吞吐率下降而不能达到线速处理的要求。 目前，针对i n t e li x p 2 8 0 0 网络处理器微引擎的操作系统尚未发布，程序员( 微引擎微 码编程) 必须统筹考虑网络处理器计算资源和存储器资源的分配，尽可能的在程序设计中 减少s r a m 、d r a m 及外部设备的访问次数，降低访问延迟。在这样的一个硬件平台基础 上，e m d 的功能模块实现有着和以往基于f p g a 开发的系统所不同的资源考量和算法设 计，本文针对e m d 实现的关键技术报文分类、多端口调度输出、流量统计，提出了 相应的解决方案。 提出并实现了可用于多维分类的h a s h 分类算法。该分类算法选择c r c 算法作为 h a s h 函数，采用开环散列单向链表解决h a s h 冲突。i n t e li x p 2 8 0 0 网络处理器c r c 计 算指令支持的源操作数最大仅为3 2 比特，以此长度的目标码作为哈希关键字( 即分类字 段的组合) 进行分类查找，显然不适合多维分类应用的实际情况。本文通过理论推导，给 出了一种计算变长目标码c r c 3 2 值的递归方法，解决了c r c 计算的关键问题。提出了冲 突链表节点内存合并的方法加速链表查找速度、有效减少了查找操作对s r a m 的访问次 数。 d r r 算法在出队操作时需要读取队头报文长度和更新亏损计数器，1 0 g b p s 链路速率 条件下，网络处理器实现d r r 算法对存储器资源耗费巨大，难以保证系统线速处理的要 求。本文提出了一种改进的d r r 调度算法预先拣选低时延d r r 算法，解决了l o 端 口报文调度输出的问题。该算法在入队操作时预先计算报文出队次序标示( r o u n d ) ，使调 度机只需比较一次标示( r o u n d ) ，就可调度一个报文输出。另外，调度器维护两个活动队 列链表，使得调度器交替访问活动队列，平滑了数掘的调度输出。仿真结果表明，改进的 第4 页 信息1 = 稃大学硕士学位论文 d r r 算法在保持了传统d r r 算法良好公平性的基础上，具有更低的平均时延。 提出了一种基于两级存储结构的流量测量算法，用于测量基于不同用户和业务类型的 分类流量统计。两级存储结构较好地解决了存储器容量和速度之间的矛盾，与随机抽样测 量相比，基于两级存储结构的流量测量算法具有更小和更平均的测量误差。工程实现中， 将微引擎内部l o c a lm e m o r y 作为一级存储器，s r a m 作为二级存储器，有效的减少了 s r a m 的读写次数，避免了频繁更新s r a m 而造成的系统吞吐率下降。 1 3 论文组织结构 本文结构安排如下： 第一章绪论，给出了本文的研究背景及主要工作。 第二章研究了目前基于以太网的宽带接入网技术，分析了基于以太网的宽带接入技术 面临的主要问题和已有的解决方案。指出了a c r 针对用户进行控制和管理需要解决的问 题，着重论述了a c r 路由系统及其主要控制设备e m d 对用户的接入、认证和业务进行控 制和管理的实现方案。分析了网络处理器实现a c r 用户管理与控制功能关键技术与开发 第三章提出了一种h a s h 分类算法及其基于i n t e li x p 2 8 0 0 网络处理器的优化实现方 案。通过理论推导，给出了一种计算变长目标码c r c 3 2 值的递归方法。分析了i n t e l i x p 2 8 0 0 网络处理器微引擎多线程并行处理的“延迟隐藏”技术和i n t e li x p 2 8 0 0 网络处理器s r a m 控制器特有的硬件结构和指令特点。提出了对哈希冲突链表查找的优化方法。 第四章分析了传统的d r r 调度算法的特点，提出了预先拣选低时延d r r 算法，解决 了l o 端口报文调度输出问题。 第五章研究了现有的流量测量算法，分析了实现流量测量算法的难点。提出了一种基 于两级存储结构的流量测量算法，用于测量基于不同用户和业务类型的分类流量统计。 最后是结束语，对全文进行了总结，指出了目前在研究中还存在的一些问题和不足， 并给出了下一步可能的研究课题和一些设想。 第5 页 信息t 稗大学硕士学伊论文 第二章a c r 用户控制与管理研究 以太网技术应用于城域网和接入网后，其应用背景发生了巨大的变化，由一种单纯的 局域网内部互联应用转变为运营商进行盈利的商业经营活动。传统的以太网接入是将原有 企业网的模式放大，而企业网与宽带i p 接入网之间存在很大区别，基于局域网的基础假设 发生了动摇【”。因此，面向公众服务的宽带技术应具有较强的可运营及可管理性功能，同 时有用户可管理、用户业务多样性、认证计费灵活性、用户信息及网络安全性等特点。 2 1 基于以太网的宽带接入技术研究 基于以太网技术的宽带接入网【2 1 与传统的用于计算机局域网的以太网技术相比，仅借 用了以太网的帧结构和接口，网络结构和工作原理不同。它具有高度的信息安全性、电信 级的网络可靠性、强大的网管功能，并且能保证用户的接入带宽，这些都是传统以太网技 术欠缺的。因此基于以太网技术的宽带接入网完全可以应用在公网环境中，为用户提供稳 定可靠的宽带接入服务。另外，由于基于以太网技术的宽带接入网给用户提供标准的以太 网接口，能够兼容所有带标准以太网接口的终端，用户不需要另配任何新的接口卡或协议 软件，因而它又是一种十分廉价的宽带接入技术。基于以太网技术的宽带接入网无论是网 络设备还是用户端设备，都比a d s l 、c a b l em o d e m 等便宜很多。基于以上考虑，基于以 太网技术的宽带接入网将在以后的宽带i p 接入中发挥重要作用。 2 1 1 以太网宽带接入网 基于以太网的宽带接入网结构如下图3 所示。 图3 基于以太网的宽带接入网结构 用户侧设备主要完成链路层帧的复用与解复用功能。用户侧设备在下行方向将局侧设 备发送的不同m a c 地址的帧发到对应的用户接口( u n l ) 上，在上行方向将来自不同u n i 端口的m a c 帧汇聚并转发到局侧设备。用户侧设备不同端口的u n i 接口之间在物理层和 m a c 层是相互隔离的，即同一用户侧设备不同u n i 接e l 之间的任何通信都必须经过局侧 第6 页 信息t 稃大学硕士学 市论文 设备的转接。因此，用户侧设备不同于以太网交换机，以太网交换机隔离单播数据帧，不 隔离广播地址的数据帧；而用户侧设备完成的功能仅仅是以太网帧的复用和解复用。这样， 用户的信息安全就得到了保证。用户侧设备的主要功能如下： 1 ) 复用和解复用。 2 ) 端口标示。用户侧设备标记用户接入的端口，将网管统一配置的信息插入到相应 端口接入的用户数据流中并转发给局侧设备。局侧设备根掘用户侧设备标定的端口信息， 检查用户i p 地址和接入端口的绑定关系( 对静态分配i p 地址的用户) 。 3 ) 流量的限制。用户侧设备能够限制用户接入的最高速率。 4 ) 管理。用户侧设备与局侧设备之间应具有管理通道，该管理通道的协议可选。用 户侧设备不要求支持s n m p v l ，但是必须可以远程进行配置管理、故障管理、性能管理、 安全管理，同时应具备本地设置接口。 局侧设备负责汇聚用户设备的流量，实现i p 包的转发、过滤以及各种i p 层协议。局 侧设备应具备对接入用户的管理控制功能，支持基于物理位簧的用户和基于账号用户的接 入，完成对用户使用接入网资源的认证、授权、计费。而局侧设备作为社区接入网关或商 业用户的边缘接入设备，必须能够满足用户信息的安全性要求。局侧设备的主要功能如下： 1 ) 地址的分配。包括动态和静态两种方式。 2 ) 认证、授权、计费。对于静态分配i p 地址的用户，用户使用接入网资源的认证可 以直接通过识别用户数据流的接入端口与i p 地址的绑定关系来完成。局侧设备应该具有识 别其所属用户侧设备的所有端口和分辨数据流接入端口的功能。局侧设备应该维护这种用 户的i p 地址和接入端1 3 的绑定关系。局侧设备检查每一个接入报文的i p 地址和端口的绑 定关系，允许符合绑定关系的报文通过。对于动态分配i p 地址的用户，用户信息的获取可 以通过应用层( d h c p 方式分配i p 地址) 或p p p ( p p p 方式分配i p 地址) 来得到。局侧 设备根据这些信息，配合a a a ( a u t h e n t i c a t i o n 认证、a u t h o r i z a t i o n 授权、a c c o u n t i n g 计费) 服务器完成对用户接入网的认证、授权和计费过程。局侧设备维护这种用户的i p 地址、 m a c 地址和端口地址的对应关系，并且检查每个接入报文的i p 地址、m a c 地址和端口地 址，允许i p 地址、m a c 地址和端口地址处于激活状态的报文通过。 2 1 2 以太网宽带接入技术面临的问题 以太网技术和其它局域网技术一样，主要针对小型的专用网络环境而设计的，当应用 到公用网络环境中时，必然会出现以下问题： 1 ) 用户管理问题。用户管理是指用户到接入网运营商处进行开户登记，运营商在用 户进行通信时对用户进行认证和授权。 2 ) 安全管理问题。以太网的核心技术是载波侦听多路复用冲突检测，它本身是一种 共享总线的技术。交换式以太网出现以后，同一台交换机连接的设备也是共享一个广播域。 因此，携带个人用户信息的广播包( 如a r p 、d h c p ) ，在同一个广播域内的其它计算机都 第7 页 信息t 稃大学硕十学何论文 会收到，那么就很容易受到其他计算机的攻击。因此，接入网要提供信息安全，以太网接 入能够保证用户数据的安全性，不但要从物理上隔离用户数据，还要抑制广播包，保证用 户单播地址帧接收的唯一性，两个用户间的通信由局端设备转接来完成。 3 ) 用户业务管理问题。接入网需要支持多播业务，所以应以多播方式传递多播业务。 另外，为了保证网络的性能，运营商必须有能力对用户使用的带宽进行管理，以保证用户 的最低接入速率，同时限制最高接入速率，并且实现对网络设备的配置，进行故障告警、 性能检测等。 4 ) 计费管理问题。现在智能小区的用户通常都是采用包月制。这种收费制度并不合 理，因为用户支付的费用与使用网络资源的多少没有关系。即使用户在家里开一个网吧， 运营商都无法控制。合理的计费系统应该是根据用户的类别( 是账号还是固定用户) 、用 户使用的时长、用户流量等数据来计费。 5 ) 网络维护与管理问题。电信网必须是可运营、可维护、可管理的网络。因此，电 信部门都非常重视网管，通常要求所有的网元可以由网管中心控制。但是，为了降低接入 网的成本，智能小区使用的楼宇交换机通常都不带网管功能。这样，运营商不便进行故障 排查。同时也不能了解用户对网络的具体需求。 2 1 3 现有的解决方案 虚拟局域网( v l a n ) 技术 v l a n 是一种在局域网上按照功能、工程组或应用等实现逻辑划分，而不是按照实体 或地理位置进行物理划分的技术。在实际应用中，往往把交换机的每个端口配置成一个独 立的v l a n ，使其享有唯一的v l a n 标示( v i d ) ，并且对应到每个用户。根据v l a n 的 特点，各个v l a n 之间不能直接进行数掘通信，必须通过路由器来转发。若没有路由器， 则每个v l a n 是独立的，用户是安全的；若有路由器并通过适当的设置实现了v l a n 之 间网络访问的安全控制，用户也是安全的，从而解决了用户安全管理问题。该解决方案从 物理结构上看是一个局域网，但逻辑上是相互独立的局域网，如下图4 所示。 图4v l a n 技术 第8 页 信息t 稃大学硕1 ：学佗论文 这种解决方案虽然解决了用户数据的安全性问题，但也存在不足，尤其是基于端口的 v l a n ，一个用户单独对应一个v l a n ，其可扩展性有限。由于8 0 2 1 q 协议规定的v i d 表 示的范围为0 - 4 0 9 5 ，所以普通设备难以支持大量的v l a n ，所以v l a n 对以后的网络扩容 和用户急剧增加便显得无能为力。 m a c 地址匹配过滤 当交换机接收到一个需要第二层交换的数据包时，首先检查数据包的内容，然后和事 先定义好的m a c 过滤表相比较，如果该包与m a c 过滤表的项目吻合，则交换机允许该 包通过，否则丢弃。该方案缺点是操作不灵活，维护成本较高。 访问控制 对用户之间的隔离可以结合基于第三层的路由异步连接链路进行控制，保证用户之间 的i p 层无法连通，从而提高用户数掘的安全性。 基于以太网的点对点通信协议( p p p o e ) 技术 p p p o e 通过点对点协议( p p p ) 在以太网上通信来管理和识别用户。对于动态分配i p 地址的用户，只需要通过用户端的虚拟拨号程序向p p p o e 接入服务器发起注册请求，注册 合法后便可上网。对于静态分配i p 地址的用户，用户需要先将自己的i p 地址与其所连接 的端口绑定，之后再由用户数据流的接入端口与i p 地址的绑定关系来确定用户能否进入接 入网。为防止用户的i p 地址被盗用，往往在三层交换设备上采用i p 地址与m a c 地址和 端口绑定技术。虽然有人提出了v l a n + p p p o e 的方案，但是面向未来网络的发展，p p p 并不支持多播业务，因此还有很多地方需要改进。 。p p p o e + 宽带接入服务器( b a s ) ”模式 目前常见的宽带接入计费方式是包月制，但合理的计费系统应该是根据用户类别、使 用时长、流量等计费。“p p p o e + 宽带接入服务器”模式能够提供灵活和完整的计费功能： 宽带接入服务器实现对用户上网时段、带宽、连接方向等多方面的灵活控制，并记录用户 上、下网时间、数据包流量等信息，再由计费软件处理后完成计费。但是，随着网络接入 用户的增加，宽带接入服务器势必成为网络的瓶颈。 w e b p o r t a l 认证 w e b p o r t a l 认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器 就能完成，就用户来说较为方便。w e b 是在认证前就为用户分配了i p 地址，对目前网络珍 贵的i p 地址来说造成了浪费，而且分配i p 地址的d h c p 对用户而言是完全裸露的，容易 造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证：为了解决易受攻击问题，就必须加 装一个防火墙，这样一来又大大增加了建网成本。w e b p o r t a l 认证用户连接性差，不容易 检测用户离线，基于时间的计费较难实现：用户在访问网络前，不管是t e l n e t 、f t p 还是 其他业务，必须使用浏览器进行w e b 认证，易用性不够好；而且认证前后业务流和数据流 无法区分。所以，在以太网中，w e b p o r t a l 认证目前只是限于在酒店等特殊网络环境中使 用。 第9 页 信恳t 稃大学硕十学付论文 基于i e e e8 0 2 1 x 协议的认证技术 i e e e8 0 2 1 x 协议对认证方式和认证体系结构进行了优化，解决了传统p p p o e 和 w e b p o r t a l 认证方式带来的问题，更适合在宽带以太网中的使用。i e e e8 0 2 i