摘 要 本文全面分析了寬帶IP城域網建設中需要考慮的主要技術問題，并針對這些問題提出了自己的觀點，為我國城域網的建設提供了有益的參考。

關鍵詞 城域網 用戶管理 信息安全 網絡管理

1 引言

――隨著因特網用戶數量的劇增、多媒體業務的不斷普及和信息流量的持續高速增長，利用PSTN網絡的傳統接入方式的缺陷越來越明顯，主要體現在，一方面對用刪網絡造成了巨大的壓力；另一方面由于提供的帶寬大低，限制了多媒體應用的進一步發展，降低了競爭力，因此，建設寬帶IP城域網，為用戶提供寬帶接入方式，已成為必然的發展趨勢，針對這種情況，本文全面分析了寬帶IP城域網建設過程中需要考慮的主要技術問題。

2 網絡分層

――寬帶IP城域網是根據業務發展和競爭的需要而建設的城市范圍內（可能包括所轄的縣區等）的寬帶多媒體通信網絡，是寬帶骨干網絡（如中國電信IP骨干網絡、聯通骨干ATM網絡、網通寬帶IP網絡等）在城市范圍內的延伸，并作為本地的公共信息服務平http://www.49028c.com臺組成部分，負責承載各種多媒體業務，為用戶提供各種接入方式，滿足政府部門、企事業單位、個人用戶對基于IP的各種多媒體業務的需求，因此，寬帶IP城域網必須是可管理和可擴展的電信運營網絡。

――眾所周知，可管理和可擴展的電信運營網絡肯定是分層網絡。目前一般是將城域網劃分為核心層、匯接層和接入層，對于規模不大的城域網，核心層與匯接層可以合在一起，以簡化網絡體系。但是，城域網的建設是一個漸進過程，網絡的不同層次可能由不同的投資者分別建設，同一個層次也可能由多個投資者分別建設，如果采用這種劃分方法，本文認為過于簡單，不能充分反映網絡建設的具體情況。因此，建議將城域網劃分為城域網城域部分和城域網城域接入部分。

――城域網城域部分為運營商網絡，由運營商統一規劃與建設，又可分為城域核心層和城域匯接層，城域核心層主要完成城域網內部信息的高速傳送與交換，實現與其它網絡的互聯互通，而城域匯接層主要完成信息的匯聚與分發。

――城域接入部分可能由運營商、ISP、企業、建筑商以及物業管理部門建設，不僅僅是傳統意義上提供接入的部分，而且還可能需要向用戶提供本地業務。城域接入部分又分為接入匯接層和
用戶接入層，接入匯接層完成信息的匯接與分發，實現用戶管理，城域接入部分的業務提供、計費等功能，而用戶接入層為用戶提供具體的接入手段。

――可以看出，城域網建設最困難的地方在于城域接入部分，而電信運營商競爭的焦點也在于此，所以，要在競爭中占據優勢，電信運營商需要詳細分析城域接入部分的各種需求。

3 技術體制

――根據網絡的發展水平http://www.49028c.com和網絡業務的不同，目前建設寬帶IP城域網主要有三種方式，即路由器方式（IP網絡），ATM交換機方式（AIM網絡）和多業務路由交換機方式（多業務網絡）。

――第一種方式面向目前網絡上占80％以上而且還將不斷劇增的數據流量，利用吉比特以太網技術、IP over SDH技術、IP over DWDM技術組建純IP技術的城域網，為用戶提供基于最好努力（Best effort）、不保證服務質量的服務。

――第二種方式是面向數據通信主要收入來源的專線與話音業務，采用統一的網絡支持DDN、FR、話音等傳統業務以及IP業務，為用戶提供按需分配網絡帶寬、保證服務質量的服務，其中，
支持IP業務可以采用IPOA、LANE、MPOA或VLAN技術實現。

――第三種方式采用路由器廠商與ATM交換機廠商都普遍看好的下一代因特網骨干網絡主流技術――MPLS技術，在網絡邊緣實現第三層靈活路由，在網絡核心實現第二層快速交換。目前實際應用中，主要是第二種方式的進一步演進，即將IP業務與ATM網絡無縫地結合在一起，使ATM網絡全網不再需要兩（電腦沒聲音）套地址，既能很好地支持DDN、FR、話音等傳統業務，也能夠很好地支持IP業務，按用戶需要的服務質量提供相應的各種服務。

――本文認為，在實際網絡建設中，目前可以考慮采用的主要是第一種方式與第三種方式，但采用哪一種應該根據網絡建設的目的、網絡上各種業務流量發展趨勢、經濟投資等因素來決定。總體來說，可以從兩（電腦沒聲音）個方面來進行考慮，一個方面是，如果網絡模型的業務流量就是以IP為核心的應用，則應該選擇第一種方式，而如果希望建設一個通用的傳送平http://www.49028c.com臺支持包括IP業務在內的各種業務，特別是數據業務主要收入來源的傳統數據業務，則應該首先考慮采用第三種方式。另一個方面是，在有條件的、IP業務量比較大的地區應該同時采用第一種方式和第三種方式，分別建設IP網絡和多業務網絡，以適應不同業務特點和業務發展需求，而在數據業務類型多而總量不大的地方，應采用第三種方式以滿足基本的業務需求，將來條件成熟后可以進一步考慮采用第一種方式將IP業務分離開來。另外，這兩（電腦沒聲音）種方式并不是要求完全獨立的，事實上，多業務網絡能夠為IP網絡提供接入功能和匯接功能，為用戶提供更加靈活的接入方式。

4 接入技術

――建設寬帶IP城域網的主要目的之一是為了能快速方便地為用戶提供寬帶接入服務，因此，為了盡快地擴大網絡覆蓋面，方便用戶的接入，每個電信運營商都根據自己的特點提出了自己的解決方案，如電信和聯通提出了利用FTTx＋xDSL，FTTx+LAN、無線接入等方式，廣電提出了利用FTTx+HFC、FTTx＋LAN等方式，其它新運營商提出了FTTx＋LAN、無線接入等方式。其中，FTTx+LAN方式為每個電信運營商所看好，本文認為，這是因為，一方面，以太網技術是非常成熟的技術，應用非常普及和方便，價格也比較便宜；另一方面，伴隨著高速網絡建設浪潮，對信息化小區，商住大樓、學校以及大型企業單位、政府機構等高速網絡的建設和接入需求會急速增加，而這些用戶相對集中且接入端口很密集，可以通過LAN交換機為用戶提供高密度的網絡連接方案，從而能夠以最少的投資，最低的資費為用戶提供10 Mbit／100Mbit／s甚至1000 Mbit／s的寬帶接入，讓用戶享受到真正的寬帶網絡服務。這并不是說，這種方式就完美無缺了，要真的是這樣的話，也不錯，其它的方式也就不必發展了。事實上，可以想象，對于樓字和新建小區，布設五類線或超五類線是容易實現的，只要能夠與樓字的擁有者或小區的投資商合作，就能夠做到。而對于已建小區，是非常困難的，因為淮也不愿已裝修好的房于再有所動作，此時，其它接入方式就可以各顯神通了。

5 用戶認證與接入

――運營商建設網絡的根本目的在于能夠通過網絡運營為用戶提供服務而獲取高額利潤，因此，必須對使用網絡的用戶按照一定的原則進行計費，而最簡單的計費方式莫過于采用包月制方式，但由于用戶的需求不一（如高速上網可能需要1Mbit／s帶寬，看MPEG II節目可能需要2Mbit／s帶寬，看MPEG II節目可能需要6Mbit／s帶寬），隨著競爭的加劇，這種方式將難以適應市場需求，因此網絡必須能夠按照用戶使用網絡資源的情況進行計費，要做到這一點，就必須首先能夠對使用網絡的用戶進行身份認證，以防止非法用戶的盜用。

――窄帶接入方式下利用PPP技術通過AAA服務器實現用戶的身份認證并分配IP地址，使得用戶能夠通過接入服務器接入網絡，進行信息的交互，而寬帶接入方式下，通過以太網交換機或路由器實現的網絡，并不提供相應的功能對用戶進行身份認證，因此，要做到這一點，必須引入有關技
術與相應的設備，如中興通訊公司的客戶管理系統，目前，與此有關的技術可以歸為兩（電腦沒聲音）類，本文稱為不需要嚴格認證的方法和需要嚴格認證的方法。

――5.1 不需要嚴格認證的方法

――不需要嚴格認證的方法是將用戶靜態配置的IP地址或者采用DHCP自動獲取的IP地址與用戶終端設備的MAC地址和基于端口的VLAN ID捆綁在一起，用戶一開機就自動接入到網絡中，不需要對用戶的身份進行認證，上述IP地址、MAC地址與VLAN ID的捆綁能夠有效地保證合法的終端才能接入網絡中，能夠確保用戶信息的安全性。不過，這種方法存在著一個嚴重的缺陷，即只是保證合法終端接入網絡，而不是保證合法用戶接入網絡，不管是集團用戶還是家庭用戶，對此都幾乎難以容忍，這直接導致了DHCP＋的出現。而且，這種方式目前還不能做到按用戶進行計費，因此，本文認為，這種方式只能在網絡建設初期包月制情況下使用。

――5.2 需要嚴格認證的方法

――需要嚴格認證的方法解決了不需要嚴格認證的方法的缺點，能夠保證每一個網絡使用者都是合法的用戶，一個終端可以有多個不同的用戶，如果與中興通訊公司客戶管理系統一起使用，不同用戶還可以擁有訪問網絡資源的不同權限。目前，需要嚴格認證的方法又分為兩（電腦沒聲音）種，即PPPoE／A技術和DHCP+技術。

――（1）PPPoE／A技術

――PPPoE／A技術既能夠實現一個客戶端與多個遠程主機連接的功能，又能夠提供類似于PPP的訪問控制和計費功能。使用PPPoE／A技術，類似于使用點對點協議的撥號服務方式，每個主機使用自己的點對點協議棧，用戶使用他們所熟悉的撥號網絡用戶接口進行拔號，通過PPPoE／A技術，每個用戶可以有他自己的接入管理、計費和業務類型。

――PPPoE／A技術有IETF的RFC，技術與設備比較成熟，可以防止地址沖突與地址盜用，既可以按時長計費也可以按流量計費，能夠對特定用戶設置訪問列表過濾或防火墻功能，能夠對具體用戶訪問網絡的速率進行控制，能夠利用現有的用戶認證、管理和計費系統實現寬窄帶用戶的統一管理認證和計費，能夠方便地提供動態業務選擇特性，而這些都是DHCP＋所不具備的，因此，本文認為，目前應該使用這種方法建設寬帶IP城域網。

――（2）DHCP＋

――DHCP＋是為了適應網絡發展的需要而對傳統的DHCP協議進行了改進，主要增加了認證功能，即DHCP服務器在將配置參數發給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務器進行認證，通過后才將配置信息發給客戶端，與PPPoE從技術一樣，DHCP＋也需要在客戶端上安裝客戶端軟件，但不同的是，DHCP＋客戶端與服務器可以通過在每個子網內增加中繼代理而跨越三層，不一定要在同一個二層內。而且，服務器只是在獲得IP配置信息階段起作用，以后的通信完全不經過它，而PPPoE／A技術由于服務器與客戶端之間存在PPP連接，因此服務器是所有通信的必經之路。

――DHCP＋的主要優點是使用DHCP＋服務器只在用戶接入網絡前為用戶提供配置與管理信息，一般不會成為瓶頸，并能夠很容易地實現組播的應用。但是，DHCP＋還沒有正式的標準，產品和應用很少；不能防止地址沖突和地址盜用；不能按流量進行計費；不能對用戶的數據流量進行控制；并且，應用DHCP＋需要改變現有的后臺管理系統，因此，本文認為，這種方式目前還不具備實際應用的能力，需要等到進一步成熟后才能考慮使用。

6 用戶管理

――寬帶IP城域網的用戶主要有兩（電腦沒聲音）類，即集團用戶和家庭用戶，集團用戶一般采用包月制方式，不需要認證，而家庭用戶一般希望網絡能夠根據其實際需要提供業務和計費，因此，用戶管理主要是對需要進行嚴格認證的用戶的管理。

――本文認為，相對于分散認證分散管理方式（即將用戶信息放置在靠近用戶的匯集層上，用戶接入網絡時客戶管理系統不需要到遠端去就能獲取有關用戶的信息而完成對用戶的認證），采用集中認證集中管理方式門1城域網中的用戶集中在一起進行管理，用戶接入網絡時，客戶管理系統利用Radius技術到用戶管理中心獲取有關用戶的信息，完成對用戶的認證），管理起來非常方便，特別是在這種情況下，能夠將寬帶RADIUS服務器與窄帶的RADIUS服務器集中放在一起，甚至將兩（電腦沒聲音）者合二為一，實現寬窄帶用戶統一管理，因此，將成為必然的選擇，但是，要注意的是，在這種方式下客戶管理系統可以根據網絡業務量的大小放置在不同的位置上。

――（1）分布式放置

――分布式放置就是在靠近用戶的匯接層（如接入匯接層）上設置客戶管理系統，為該匯接層之下的用戶提供認證、流量控制等功能。這樣做，可以不需要大容量的客戶管理系統，并使網絡的
可擴展性非常好，特別是，由于可以根據網絡規模的大小和業務需要選擇不同等級的、具有極好性能價格比的客戶管理系統，因此不會出現因為分布式設置而像使用其它寬帶接入服務器那樣使造價過高的情況，同時為業務的進一步快速增長留下足夠的空間。

――（2）集中式放置

――集中式放置就是在核心層上集中設置客戶管理系統，對一個片區的大量小區和集團用戶進行集中認證，這種方式的優勢在于可以對用戶進行集中管理，但是對設備的要求比較高，很有可能成為網絡進一步發展的瓶頸。因此，本文建議在網絡建設初期每個片區內用戶比較少時可以考慮采用這種方法，隨著網絡建設的不斷發展和用戶的不斷增多，還是應該過渡到分布式設置，但是，集中式設置的系統并不是不用了，事實上，它可以用來為分布式設置的系統提供業務匯聚功能，如對于VPN業務，利用集中式設置的系統可以簡化全網配置。

7 接入帶寬控制

――用戶如果以以太網方式接入，則城域網提供給用戶的一般是10／100 Mbit／s以太網接口。而從實際情況來看，用戶對這樣的速率并不滿意，主要原因有兩（電腦沒聲音）個：一是城域網目前能夠提供
的，需要較高帶寬的，能夠吸引用戶的寬帶業務并不多，大部分用戶目前還不需要如此高的速率，他們希望運營商能夠將帶寬根據他們的實際需要分成多個等級，每個等級采用不同的收費標準；二是目前用戶上網大部分是為了訪問城域網之外的業務，而由于匯集層／骨干層／業務層設備的限制，在城域網之外速率并不高，因此用戶希望運營商能夠提供與匯集層／骨干層／業務層相適應的接入速率，以降低資費。從競爭角度和業務發展趨勢來看，用戶的這種合理要求應該予以滿足，目前，這種要求可以采用兩（電腦沒聲音）種不同方法實現。一種是在分散放置的客戶管理系統上對每個用戶的接入帶寬進行控制，另一種是在用戶接入點上對用戶接入帶寬進行控制。

――在分散放置的客戶管理系統上進行控制的優點在于網絡中對客戶管理系統以下的設備沒有任何要求，普通的L2以太網交換機就可以了，缺點在于所有設備處于一個共享LAN中，在客戶管理系統以下的設備沒有嚴格的帶寬高低思想，使得資源不能充分利用，為了說明問題，舉一個簡單的例子，在一臺上行速率為100Mbit／s的24端口普通以太網交換機上有1Mbit／，帶寬的用戶10個（主要為上網），2Mbit／s帶寬的用戶10個（可以看MPEG I視頻點播），6Mbit／s帶寬的用戶4個（可以看MPEG II視頻點播節目），一共接入用戶24個，接入帶寬54 Mbit／s，上行帶寬還有46Mbit／s剩余。但是，當所有用戶都在網絡上時，如果沒有任何控制手段，這24個用戶得到的帶寬應該基本上是一樣的，也就是說，在不存在收斂比的情況下每個用戶使用的帶寬都不到5Mbit／s，盡管客戶管理系統對這些用戶的帶寬進行了再分配，但是有4個用戶的業務已經受到了影響。而要保證所有用戶的業務質量，接入的用戶最多不能超過16個，以防出現最壞情況。

――在用戶接入節點上進行控制的優點是能夠充分利用接入層的網絡資源，保證每個用戶都能夠得到其所需要的服務質量，缺點是需要接入層的設備支持，中興通訊公司以太網交換機ZXB10-S300是目前業界唯一具有這種功能的設備。

8 IP地址分配與網絡地址轉換

――IP地址資源問題一直是Internet建設中的難題之一。隨著寬帶城域網的建設，這個問題可能會變得更加嚴重，因為寬帶網絡的用戶可能是永遠在線的，特別是包月制情況下，所以在寬帶IP城域網中，除了建設初期用戶IP地址可以采用公有IP地址之外，一般都采用私有IP地址，但即使如此，也應該考慮到IP地址資源是非常有限的，隨著網絡規模的不斷擴大與用戶數的急劇增長，很快會耗盡，因此，本文建議用戶IP地址通過動態分配方式進行分配（IP地址既可以是私有1P地址也可以是公有IP地址）。用戶訪問網絡資源時，從IP地址池中臨時申請到一個IP地址，使用完后再歸還到IP地址池中。而1P地址池，可以位于客戶管理系統上，也可以集中放置在Radius服務器上。

――由于高速接入Internet是寬帶城域網的主要業務，而進行Internet訪問時，用戶必須使用全球唯一的IP地址，因此，在寬帶IP城域網建設中如果采用了私有IP地址，運營商應該保證其用戶在使用私有IP地址時同樣可以接入Internet，解決辦法就是采用專門的IP地址轉換設備或采用帶NAT插卡的客戶管理系統，將私有IP地址轉換成運營商自己的公有IP地址，從而可以進行統一的Internet尋址，在網絡轉換設備中，私有IP地址轉換為公有IP地址可以有三種實現方式，即靜態方式，動態方式和復用動態方式，其中，靜態方式是通過配置將一個私有用戶地址與一個公有IP地址對應，用于接入外部網絡的用戶數比較少時；動態方式是用戶接入外部網絡時網絡設備從公有IP地址池中選擇一個空閑的IP地址與其私有IP地址對應；復用動態方式利用公有IP地址和TCP端口號來標識私有IP地址和TCP端口號，協議規定使用16位的端口號，除去一些保留的端口外，一個公有IP地址可以區分多達6萬個采用私有IP地址的用戶端口號，由于一般運營商申請到的公有IP地址比較少，而用戶數卻可能很多，因此一般都采用復用動態方式。

――寬帶IP城域網是一個整體，在這個整體中，網絡建設與IP地址分配應該統一規劃，因此，除了在網絡建設初期，由于覆蓋范圍比較小，用戶數量比較少，可以采用分布式設置NAT之外，最好采用集中式放置NAT，以進一步減少公有IP地址的使用，節省投資，便于管理，特別是，集中放置的高端NAT設備保證了全網的網絡性能幾乎不受其影響。

9 用戶信息安全

――用戶信息安全問題一直是IP網絡中的討論熱點。在寬帶IP城域網建設中，也肯定會成為人們關注的焦點之一，事實上，在網絡建設初期，用戶對安全性可能要求不高，但是，隨著用戶數的不斷上升和用戶使用的業務種類不斷增多，特別是電子商務的逐漸普及，用戶將會越來越多地考慮到信息的安全性。

――用戶信息的不安全性主要是由用戶處于以太網環境中引起的，因此要保證用戶信息的安全性，就必須實現以太網環境下的用戶隔離，目前主要采用的技術為VLAN技術，VLAN技術是由IEEE802.3q和IEEE802.1q定義的，基本思想是在傳統的以太網的幀結構中加入VLAN標識，劃分在一個VLAN中的用戶才能互相通信，不同VLAN中的用戶互相隔離，一個設備支持的最大VLAN數量為4095。在寬帶IP城域網中，在接入設備上基于設備的端口、用戶MAC地址、用戶IP地址或其它策略將一個用戶劃分成一個VLAN，客戶管理系統終結所有VLAN比實現三層交換功能，并實現IP地址與用戶MAC地址和VLAN ID的綁定，防止IP地址的盜用，如果不采用動態分配IP地址，則每個用戶至少需要占用4個IP地址，對IP地址的消耗很大。為此，中興客戶管理系統支持稱為overlap功能的VLAN，比其基本思想是：對每一層上的設備，下行端口分別處于一個VLAN中，上行端口分別與每個端口處于一個VLAN中，傳輸的以太網幀為傳統的以太網幀，不含VLAN ID，一方面可以使網絡支持的用戶數不受VLAN個數的限制，另一方面靜態分配IP地址時只需要給用戶分配一個IP地址。

――本文認為，采用VLAN實現用戶之間的隔離，采用嚴格論證的方法對需要進行認證的用戶進行認證和計費，應該是城域網建設的發展趨勢。

10 網絡管理

――寬帶IP城域網網絡管理的要求與因特網網絡管理的要求是一樣的，如支持基于WEB、TELNET、GUI和CLI的網絡管理方式，支持SNMP、RMON等網絡管理協議，支持帶內和帶外網絡管
理信息通道，等等。但也有其特殊性，主要體現在寬帶IP城域網中集中了多個廠商的設備，并直接面向各種不同類型的用戶，因此其網絡管理系統也應該支持這種特殊性，即支持與其它網絡管理系統的集成，以方便地實現多個廠商設備的統一管理；支持按時長、按流量、包月制等多種計費方式或者針對不同的策略進行計費的功能，以滿足城域網不同用戶的需求。

――對于如何管理寬帶r城域網，目前有四種方式，即采用帶內網絡管理，帶外網絡管理，兩（電腦沒聲音）種方式同時使用或者兩（電腦沒聲音）種方式混合使用（即城域匯接層及其以上層次的設備采用帶外網絡管理，城域匯接層以下設備采用帶內網絡管理）。本文認為，從網絡層次劃分來看，城域網城域部分應該采用統一的管理方式，而城域網城域接入部分，應該根據具體情況來實現，具體他說，就是如果為運營商自己建設的網絡，則由于混合方式投資少，實現快，能夠滿足全部管理要求，因此建議采用，如果為其它投資者建設的網絡，則應該采用帶內網絡管理比較符合實際情況。(C114)

上面的這個就是IP城域網的資料，5M的資費要28000/月，比我現在用的這個ADSL還要貴8000。本來說今天來裝的，結果又沒來人，TNND！中國DX！