城域網(wǎng)發(fā)展趨勢(shì)心得18January2023城域網(wǎng)網(wǎng)絡(luò)技術(shù)發(fā)展心得城域網(wǎng)接入認(rèn)證淺析議題城域網(wǎng)網(wǎng)絡(luò)技術(shù)發(fā)展心得核心層匯聚層接入層業(yè)務(wù)接入控制層城域骨干網(wǎng)BRASSRDSLAM園區(qū)交換機(jī)寬帶接入網(wǎng)匯聚交換機(jī)/MSTP/RPR(可級(jí)連)匯聚交換機(jī)/MSTP/RPR(可級(jí)連)樓道交換機(jī)IP城域網(wǎng)核心路由器（可級(jí)連）CPE銅纜銅纜五類(lèi)線五類(lèi)線終端骨干網(wǎng)網(wǎng)絡(luò)架構(gòu)1、網(wǎng)絡(luò)層次清晰化（網(wǎng)絡(luò)設(shè)備專(zhuān)一化簡(jiǎn)單化）2、網(wǎng)絡(luò)結(jié)構(gòu)扁平化3、網(wǎng)絡(luò)質(zhì)量差異化4、管理控制集中化（松散的IP網(wǎng)絡(luò)向可管理、可控制、可維護(hù)的電信級(jí)IP網(wǎng)絡(luò)演進(jìn)的關(guān)鍵環(huán)節(jié)）網(wǎng)絡(luò)架構(gòu)趨勢(shì)以IP為平臺(tái)的綜合多業(yè)務(wù)網(wǎng)絡(luò)VideoSource互聯(lián)網(wǎng)話(huà)音網(wǎng)關(guān)CarrierEthernet話(huà)音/視頻電話(huà)HDTVTVoD,VoDVideoSource游戲商業(yè)備份,ERPMobile3G

居民區(qū)Triple-Play商業(yè)寬帶E-Line,E-LAN,

和TDM業(yè)務(wù)FTTx

和DSLAM干線寬帶移動(dòng)數(shù)據(jù)/視頻

QoS和流量工程SONET/SDH的彈性和管理以太網(wǎng)的簡(jiǎn)單和經(jīng)濟(jì)性IP將成為各種通信應(yīng)用統(tǒng)一的網(wǎng)絡(luò)平臺(tái)業(yè)務(wù)類(lèi)型復(fù)雜，滿(mǎn)足不同業(yè)務(wù)的QoS、安全性等要求是構(gòu)建新型城域網(wǎng)的關(guān)鍵；城域網(wǎng)實(shí)現(xiàn)業(yè)務(wù)和用戶(hù)的隔離

以IP為平臺(tái)的綜合多業(yè)務(wù)網(wǎng)絡(luò)采用MPLSVPN方式：實(shí)現(xiàn)用戶(hù)及業(yè)務(wù)的隔離

L3MPLS-VPN

L2MPLS-VPN（IETFDraftKompella和IETFDraftMartini

）

用戶(hù)及業(yè)務(wù)的區(qū)分及隔離城域骨干網(wǎng)MPLS-VPN網(wǎng)絡(luò)架構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPEIETF的L2MPLSVPN技術(shù)

用戶(hù)的二層數(shù)據(jù)MPLS網(wǎng)絡(luò)上透明傳遞可透明傳遞各種三層協(xié)議，比如IPX、SNA等VPN用戶(hù)自己計(jì)算路由運(yùn)營(yíng)商二層MPLSVPN技術(shù)可以提供兩類(lèi)業(yè)務(wù)：虛擬租用專(zhuān)線業(yè)務(wù)（VPWS）虛擬專(zhuān)用局域網(wǎng)業(yè)務(wù)（VPLS）

L2MPLS-VPN虛擬租用專(zhuān)線服務(wù)PEAPECPEBPEDIP/MPLSNetworkLSPFull-MeshVPLSServiceVPLS（虛擬專(zhuān)用局域網(wǎng)服務(wù)）寬帶接入網(wǎng)具備二層接入用戶(hù)隔離；每個(gè)用戶(hù)每種業(yè)務(wù)一個(gè)VLAN用戶(hù)標(biāo)識(shí)唯一性的能力，確保用戶(hù)的可溯源性；用戶(hù)及業(yè)務(wù)的區(qū)分及隔離寬帶接入網(wǎng)靈活QinQ實(shí)現(xiàn)對(duì)用戶(hù)和業(yè)務(wù)的隔離用戶(hù)唯一性的實(shí)現(xiàn)L2MPLS-VPN和QinQ結(jié)合2、城域網(wǎng)接入認(rèn)證淺析PPPOE接入認(rèn)證主流技術(shù)IPOE接入認(rèn)證（DHCP+接入認(rèn)證、802.1x）小區(qū)酒店河南網(wǎng)通寬帶接入認(rèn)證方式PPPoE產(chǎn)生背景寬帶網(wǎng)絡(luò)的迅猛發(fā)展運(yùn)營(yíng)商對(duì)于寬帶接入的管理和收費(fèi)需求ATM網(wǎng)絡(luò)IP城域網(wǎng)ADSLADSLL3/L2BASDSLAM控制流/業(yè)務(wù)流ISPIPDSLAMADSL/VDSLLANLANPPPoE的數(shù)據(jù)報(bào)文被封裝在以太網(wǎng)的Payload中傳送PPPoE協(xié)議包括發(fā)現(xiàn)階段和會(huì)話(huà)階段發(fā)現(xiàn)階段的Type類(lèi)型值是0x8863會(huì)話(huà)階段的Type類(lèi)型值是0x8864DAPayloadSATypeCRCVersionSessionIDTypeCodePayloadLengthEthernetIIPPPoE以太網(wǎng)和PPPoE報(bào)文格式PPPoE的特點(diǎn)相對(duì)成熟、標(biāo)準(zhǔn)化，使用廣泛認(rèn)證可以返回IP地址容易檢測(cè)用戶(hù)離線用戶(hù)的可管理性和計(jì)費(fèi)支持方面優(yōu)點(diǎn)突出可對(duì)用戶(hù)實(shí)現(xiàn)速率限制，接入時(shí)間控制等安全性方面突出，可針對(duì)用戶(hù)使用ACL或者防火墻功能，可防止地址沖突，盜用等現(xiàn)有認(rèn)證計(jì)費(fèi)系統(tǒng)不用改變PPPoE的優(yōu)點(diǎn)認(rèn)證瓶頸，認(rèn)證系統(tǒng)必須對(duì)每個(gè)包進(jìn)行拆解，容易形成網(wǎng)絡(luò)瓶頸。認(rèn)證和業(yè)務(wù)使用兩層封裝，增加了10個(gè)字節(jié)的開(kāi)銷(xiāo)，效率低僅支持點(diǎn)到點(diǎn)的連接，不支持組播連接主機(jī)和BRAS設(shè)備之間不能存在路由器或者三層交換機(jī)。BRAS設(shè)備成本高PPPoE的挑戰(zhàn)IPoE協(xié)議（IPoverEthernet）

IPoE的數(shù)據(jù)報(bào)文被封裝在以太網(wǎng)的Payload中IPOE依靠DHCP分配地址DAIPPacketSATypeCRCIPOEIPoE認(rèn)證方式主要優(yōu)點(diǎn)：－不需要客戶(hù)端軟件－控制流和業(yè)務(wù)流無(wú)需封裝

--認(rèn)證流數(shù)據(jù)流分離

－容易支持多業(yè)務(wù)

--增值業(yè)務(wù)（WEB推送）主要問(wèn)題：－認(rèn)證層次過(guò)高，不合邏輯－不區(qū)分控制流和業(yè)務(wù)流－連接性差，不容易檢測(cè)用戶(hù)離線

－實(shí)現(xiàn)成本高－認(rèn)證效率和轉(zhuǎn)發(fā)性能低－安全性較差－設(shè)備和Portal/web之間是私有協(xié)議DHCP+Web認(rèn)證方式IPOE認(rèn)證方式DHCP+Client/802.1x認(rèn)證方式主要優(yōu)點(diǎn)：

-控制流和業(yè)務(wù)流無(wú)需封裝

-認(rèn)證流數(shù)據(jù)流分離

-計(jì)費(fèi)準(zhǔn)確率高；

-安全性高，具備防偽DHCP、防DOS攻擊等能力；

-對(duì)用戶(hù)控制力度更強(qiáng)，可以制止用戶(hù)私拉盜接行為

主要問(wèn)題：－需要客戶(hù)端軟件－連接性差，不容易檢測(cè)用戶(hù)離線－認(rèn)證效率和轉(zhuǎn)發(fā)性能低GE/FERadiusserver寬帶IP城域網(wǎng)uHammer1016FlexHammer

BigHammer

FEFEDHCPServer802.1x請(qǐng)求○1DHCPRelay○5○3○4Radius返回認(rèn)證結(jié)果○2建立動(dòng)態(tài)ACL帶寬優(yōu)先級(jí)向Radius發(fā)送計(jì)費(fèi)信息○6802.1x發(fā)送logoff請(qǐng)求下線用戶(hù)死機(jī)或異?？稍O(shè)時(shí)間ARP方式握手檢查終止計(jì)費(fèi)○7認(rèn)證通過(guò)，受控端口打開(kāi)客戶(hù)端軟件發(fā)送dhcp請(qǐng)求802.1X認(rèn)證過(guò)程PPPoE和IPOE的比較PPPOE技術(shù)成熟，應(yīng)用廣泛，標(biāo)準(zhǔn)化；IPOE技術(shù)不成熟，應(yīng)用少PPPOE后臺(tái)管理系統(tǒng)不需改變?cè)谟?jì)費(fèi)上，PPPoE既可以計(jì)時(shí)，也可以計(jì)流量。DHCP+只能計(jì)時(shí)(如需計(jì)流量則必須在用戶(hù)接入處配備能計(jì)流量的交換機(jī))PPPoE可以對(duì)用戶(hù)通信進(jìn)行速率限制，且很多設(shè)備可做到上、下行不對(duì)稱(chēng)；DHCP+不能提供此功能PPPoE設(shè)備可針對(duì)特定用戶(hù)設(shè)置ACL(訪問(wèn)列表)過(guò)濾或防火墻功能。DHCP+不能做到PPPoE可以防止地址沖突和地址盜用；DHCP+不能解決這個(gè)問(wèn)題

PPPoE和IPOE的比較PPPoE接入設(shè)備要同Host(主機(jī))在同一個(gè)二層內(nèi)；通過(guò)中繼代理，DHCP可以跨三層PPPoE數(shù)據(jù)和認(rèn)證統(tǒng)一可能成為接入的瓶頸；DHCP+Server數(shù)據(jù)和認(rèn)證分離，不會(huì)成為瓶頸PPPoE的點(diǎn)對(duì)點(diǎn)特性，組播不支持；DHCP+不存在此問(wèn)題PPPOE應(yīng)用中，PPPoE服務(wù)器往往由寬帶接入服務(wù)器擔(dān)當(dāng)，功能較強(qiáng)，但是價(jià)格一般比較昂貴；而DHCP+服務(wù)器一般內(nèi)置于交換機(jī)/路由器中或者由專(zhuān)用的工作站擔(dān)任，價(jià)格