宽带IP城域网及其应用

随着世界经济进入数字新经济时代，电信技术和信息网络技术得到了前所未有的迅猛发展。整个电信行业从网络到业务都发生了巨大的变化，而且面临更多的机遇和挑战。因特网上的商业应用和多媒体等服务得到了快速推广，人们已不满足于简单的网上文字通信方式，要求具有可观可感的通信效果。宽带城域网正是为了适应人们日益发展的通信需求，利用先进的高速接入技术，实现用户接入网的数字化、宽带化，提供语音、数据、图像等多种媒体业务的综合平台。

　　宽带网络的建设是一个长期工程，是社会信息化的基础工程，特别是网络的接入层，一定要有良好的稳定性、可扩展性。对驻地网的建设，要满足10～15年的提速需求。因未来新业务的发展而要求增加新功能并更新换代设备是较快的，也比较容易，但基础网络的建设是一次性的，是相对长久稳定的。

　　江苏省电信公司南京分公司的“南京电信公众宽带IP城域网”的建设开始于1999年初，经历了项目确立、试验网建设、商用网建设等阶段，于2000年9月17日在全国率先向社会提供公众电信宽带IP接入业务，目前已成功接入南京市政府、南京市信息中心、南大苏富特软件股份有限公司、南京市教委等多个宽带用户和龙江高教公寓、建邺村小区、白玉兰公寓等多个宽带信息化小区。下面结合南京电信公众宽带IP城域网的建设，对宽带IP城域网的网络结构、用户接入安全、网络管理和认证计费进行具体阐述。

　　1 宽带IP网络的体系结构

　　南京电信公众宽带IP城域网是基于IP的宽带信息网络，目标定位是采用先进成熟的技术，建设一个面向新世纪的、综合承载各类多媒体业务的、安全稳定的电信运营级基础信息网络。

　　其近期目标为：“对商务楼实现千兆到大楼，百兆到层面，十兆到桌面；对住宅小区实现千兆到小区，百兆到楼头，十兆到家庭”。网络主要采用高速IP路由交换技术和千兆以太网光纤传输技术，依托南京电信丰富的光纤资源，实现信息网络“最后一公里”的高速接入。网络内部采用全光纤连接，末端通过五类线延伸到用户端。用户只通过网卡便可以方便地接入宽带网络，不再需要其它昂贵的设备和复杂的连线，宽带IP网络的体系结构如图1所示。

图1 宽带IP网络的体系结构

　　宽带IP网络的建设分为两个部分：网络平台的建设和业务平台的建设。网络平台建设是充分利用现有光纤资源，结合本地的市场需求，采用成熟、简单、低成本的标准技术，建设一个能够支撑多种业务的宽带传输平台；业务平台建设是利用带宽的优势，建设音频、视频为一体的多媒体网站，为用户提供网络电视、视频点播、可视电话、远程教学、虚拟现实等各种形式的信息服务。

　　2 宽带IP网络拓扑结构

　　宽带IP网络以千兆以太网为基础构筑，网络采用汇接层、边缘层和接入层的分层汇接式的网络结构(其拓扑结构如图2所示)。形成核心层以网状为主、接入层以星形为主的网络拓扑结构。

点击放大
图2 宽带IP网络拓扑结构

　　网络汇接层采用3层交换的千兆以太网技术，引入全光口大容量3层线速交换路由器。汇接层又分为MSR(城域汇接)和LSR(区域汇接)两个子层：区域汇接负责处理各汇接区域的数据流，而城域汇接完成各区域汇接节点之间以及出网数据流的交换。在建网初期，区域汇接节点之间可形成环形或网状结构，与城域汇接节点连接。随着网络规模的增大，各区域汇接节点独立与城域汇接节点连接，对数据流量较大的区域汇接节点间可建立直接连接。

　　各汇接区域划分成直径1 km左右的小区域，形成ZAN(小区接入网)，组成边缘层。ZAN也采用3层交换路由器，和区域汇接节点呈星形连接，提供多个快速以太网端口，完成小区内业务的汇聚。

　　接入层建设规模相对较大，建设过程中需尽可能利用现有的资源、保护用户的投资。根据实际情况。可采用多种灵活的接入方式：在条件比较成熟的地区，ZAN依据楼层分布进一步划分成覆盖半径为100 m左右的BAN(楼宇接入网)，BAN直接与用户端设备连接，形成高密度集中覆盖，为减低网络建设成本，BAN采用两层交换设备；对于比较分散的用户，采用ADSL将其快速、有效地接入，因ADSL利用现有的电话线路，为用户提供非对称的传输速率，适合于因特网的接入；对于光纤暂时无法覆盖的地区或布线较为困难的地区，可以采用无线局域网的方式迅速覆盖。

　　3 用户接入安全

　　以太网技术作为宽带接入方式，必须保证用户的接入安全。通过对VLAN(虚拟局域网)技术的研究，在南京电信公众宽带IP城域网中，通过将BAN交换机端口划分VLAN，较好地解决了用户接入安全问题。

　　VLAN是在逻辑上被划分成若干分组，这种划分是在某种结构化的基础上依据功能或者应用目的进行的。可以跨越多个VLAN来创建网络设备的逻辑组，这些逻辑组可以跨越一个或多个第2层交换机，或者是建立在交换机到交换机基础之上，并且一个VLAN就定义一个广播域。

　　目前VLAN中采用的标准有思科 的ISL(交换机内部连接)和IEEE 802.1Q两种标准。其中ISL标准为思科专用，仅该公司产品支持，而被多数厂家所采用的是IEEE 802.1Q标准。为保证宽带城域网中不同厂家设备能够互通，南京电信公众宽带IP城域网选择的是IEEE 802.1Q标准的VLAN。

　　创建VLAN可基于协议、MAC(媒体访问控制)、端口3种类型。由于按端口创建的VLAN易于管理和维护，可划分用户的逻辑分组，具有较大的灵活性，南京电信公众宽带IP城域网采用基于端口方式创建所有VLAN。

　　VLAN系统由边缘层设备、接入层设备和用户终端构成，其系统结构如图3所示。

图3 VLAN系统结构图

　　边缘层设备为一台3层交换机，3层交换机通过两个千兆端口与网络汇接层交换机互连，48个100兆端口用于和接入层交换机相连；接入层交换机为2层交换机，2层交换机有3个上行100兆端口可供选择连接3层交换机，24个10兆端口连接用户终端。

　　当用户数据通过2层交换机送到3层交换机时，3层交换机对数据帧中的VLAN 标识、源IP地址与配置参数进行比较。若有用户使用他人IP地址，则源IP地址与3层交换机中参数不一致，3层交换机将把该用户传送的数据丢弃；反之，则根据路由表继续传送用户数据，这样用户只能使用运营商分配的IP地址(如用户A的IP地址：10.27.1.6，用户B只能用IP地址：10.27.1.10)。

　　由于VLAN间是相互隔离的，用户间通信不能在BAN交换机内完成，必须通过路由器或桥接器。 例如用户A要和用户B通信，用户A的数据不能直接通过2层交换机传送给用户B。必须先由2层交换机的port 25传送给3层交换机，经3层交换机路由回送给2层交换机，2层交换机根据数据帧中的VLAN标识准确地将数据送到用户B所连接的端口。因为用户间的通信不是直接发生在数据链路层，可以避免用户数据被他人截取，保证了宽带网用户的通信安全。

　　每个VLAN就是一个独立的广播域，因此可以遏制广播风暴。在传统LAN中，广播风暴非常浪费网络资源，是影响网络性能的主要因素之一。而在宽带IP城域网中，每个用户可创建各自独立的VLAN，由于VLAN间是相互隔离的，且路由器不传送广播数据，所以用户产生的广播数据将被限制在本VLAN范围之内，其它VLAN不受任何影响，能有效节约网络带宽和设备资源。

　　VLAN作为新的网络技术，它的出现对设备制造商提出了更高的要求。虽然目前大量使用VLAN将使设备效率降低，但这会随着技术的不断发展而得到解决，VLAN技术将在网络建设中得到更加广泛的应用。

　　4 网络管理

　　网络离不开专业、完善的网络管理系统。完善的网络管理系统不仅可为客户提供高效、优质的电信服务，提高已有客户满意度和忠实度，并能降低网络运行成本，吸引新用户。由于IP网络的开放性所带来的不安全因素，使得通用IP网络管理方式下的数据安全不能满足电信运营网络的要求。结合传统电信网管良好的安全可控性和IP网管的易用性及方便性，建设电信级的宽带IP网络管理平台是进一步发展宽带IP网络的基础。由此基础进而确立“带内监视、带外控制”网络管理模式。

　　带内监视指利用网络管理协议建立网络管理系统，实时采集网络数据，产生告警信息，以图形化的方式显示网络拓扑结构，提示各级系统告警，并根据网管要求分析统计各类网络数据，供网管人员了解全网设备运行状态。

　　带外控制指利用DCN(数据通信网)或PSTN拨号，对网络设备进行数据配置。

　　由于BAN交换机位于各个楼道内，如何对设备进行供电和网管，是网络接入层建设的关键。

　　综合信息缆的研制成功并投入应用，很好地解决了设备进行供电和网管问题。综合信息缆是将光纤、电源远供和带外网管用线合而为一。综合信息缆含有4芯光纤、4芯馈电线和8芯网管控制线。

　　综合信息缆中的馈电线用来供电， ZAN机房的电源通过综合信息缆在500 m的范围内对楼道交换机提供-48 V的直流供电。由于供电点可集中供电，而且大部分供电点都在电信自己的机房，因而减少了工作维护量和降低了网络障碍率，同时也提高了用电安全。

　　综合信息缆中的网管控制线是用作带外网管并对网络设备进行数据配置的。

　　每根综合信息缆连接一台BAN交换机，所有用线均采用主备方式。若起用备用线，一根综合信息缆可连接两台BAN交换机。

　　5 认证计费

　　良好的认证计费功能是宽带网运营管理的基础，也可为制定灵活的市场营销策略提供可靠的技术支撑。不同的认证计费模式决定了网络的拓扑结构和建网技术的不同。目前，运营商在提供宽带接入业务时，主要采取包月计费的方式，其原因是当前宽带城域网的认证计费功能尚不完善和成熟。随着宽带网络的普及，用户会对资费分档提出更高的要求，为了满足不同用户的消费需求，江苏省电信公司南京分公司对FTTLAN(光纤到局域网)接入方式的计费进行了研究，在既能准确地按时长、流量和业务种类进行计费，又不影响宽带业务实现的前提下，提出了基于WEB方式的认证计费。用户终端只要有浏览器软件，不需安装专用软件即可接入使用，简化了对用户的要求。南京电信公众宽带IP城域网在建网初期在全网设置了两台WEB服务器作为门户网站，提供用户身份认证的WEB页面，并进行广告宣传和部分用户服务。由于网络将宽带接入服务器的功能下沉到ZAN设备中，避免了在全网配置集中宽带服务器而易产生的“瓶颈”。

　　WEB认证的一般流程如下：上网时，用户通过DHCP协议动态获取IP地址，此时用户的上网权限没有打开；用户通过浏览器访问身份认证网页，输入用户名和密码；WEB 服务器将用户名和密码发送给ZAN设备；ZAN设备根据配置进行异地认证或本地认证；ZAN设备将认证结果发送给WEB 服务器；WEB 服务器将给用户返回认证结果页面，如果认证成功，则用户的上网权限打开，开始对用户进行计费，否则给出不能通过认证的原因说明。下线时，用户可选择下线网页上的“断开”按钮进行下线；对于计算机异常关机、应用程序进程异常等使得用户不能正常下线的情况，可通过计费系统的心跳机制判断用户是否在线来让计费系统得知用户已下线，保证计费的准确性。

　　6 宽带网络应用

　　“南京电信公众宽带IP城域网”目前已实现高速上网、VoD点播、网络电视、互动游戏、远程教育、远程监控、大户炒股业务，还有一些宽带业务正在不断开发，不久将陆续推出。

　　(1)高速上网

　　利用宽带IP网络频带宽、速度快的特点，用户可以快速访问因特网，并享受一切相关的互联网服务。

　　(2)VoD点播

　　通过浏览器随心所欲地点播自己爱看的节目，包括电影精品、流行的电视剧集、新闻、体育节目等。

　　(3)网络电视

　　突破传统的电视模式，跨越时间和空间的约束，在网上实现无线频道的电视收视。

　　(4)互动游戏

　　“互动游戏网”让你感受到因特网上游戏和局域网游戏相结合的全新游戏体验。

　　(5)远程医疗

　　采用先进的数字处理和宽带通信技术，医务人员为异地的病人进行诊断和治疗，目前已随着宽带多媒体通信的兴起而发展成为一种新的医疗方式。

　　(6)远程教育

　　从根本上克服了基于电视技术的单向广播式的缺陷，运用宽带网最新产品和技术，使图、文、声等多媒体教育信息以交互的方式进入普通家庭、学校和企事业单位。

　　(7)远程监控

　　对远程的实物进行监控时，授权用户在WEB方式下自由控制镜头的转动、调焦等操作，实现实时的监控管理功能。监控系统采用数字监控方式与计算机网络结合在一起，充分发挥宽带城域网的优势，将成为未来监控系统的发展趋势。

　　(8)家庭证券大户

　　人们可在家中交互式地进行证券大户形式的网上炒股，实时查询股市行情，获取全面及时的金融信息，进行网上交易，参考专家股评。

　　(9)在家办公

　　随着通信的飞速发展，人们的生活工作方式也随之改变。将来，人们可在家里完成工作任务，即通过高速的接入手段从办公室获取工作所需的信息，并与同事进行交流。

[摘要] 文章结合南京电信公众宽带IP城域网的建设，对宽带IP城域网的网络结构、用户接入安全、网络管理和认证计费作了阐述，并简要介绍了应用于宽带IP城域网上的一些业务。

[关键词] 宽带IP城域网；虚拟局域网；接入安全；网络管理；认证；计费

[Abstract] Referring to the Nanjing Telecom's public broadband IP MAN, the paper describes some characteristics of broadband IP MAN, such as the network architecture, subscriber access security, network management and billing by signal authentication, and in addition, briefly introduces some application services over broadband IP MAN.

[Keywords] Broadband IP MAN; VLAN; Access security; Network management; Authentication; Billing