7.5.1 IP城域網的關鍵技術

IP城域網的關鍵技術涉及的因素很多，但網絡技術、接入技術等在相關章節已作過介紹，這里不作贅述。本小節主要介紹用戶認證與接入、用戶管理、接入帶寬控制、IP地址分配與網絡地址轉換、用戶信息安全、網絡管理等城域網的關鍵技術。

1.用戶認證與接入

運營商建設M絡的根本目的在于能夠通過網絡運營為用戶提供服務而獲取利潤。因此，必須對使用網絡的用戶按照一定的原則進行計費。簡單的計費方式是采用包月制，但由于用戶的需求不一（如高速上網可能范要1Mbit/s帶寬，看MPEG-1節目可能需要2Mbit/s帶寬，看MPEG-2節目可能需要6Mbit/s帶寬），隨著競爭的加劇，這種包月制計費方式將難以適應市場需求，因此網絡必須能夠支持按照用戶使用W絡資源的情況進行計費。要做到這一點，必須首先能夠對使用網絡的用戶進行身份認證，以防止非法用戶的盜用。

窄帶接入方式下利用PPP技術通過AAA服務器實現用戶的身份認證并分配1P地址，使得用戶能夠通過接入服務器接入網絡，進行信息的交互。而寬帶接入方式下，通過以太網交換機或路由器實現的網絡，并不提供相應的功能對用戶進行身份認證。因此，要做到這一點，必須引入有關技術與相應的設備，如客戶管理系統。冃前與此有關的技術可以歸為兩類，即+需要嚴格認證的方法和需要嚴格認證的方法。

　　（1）不需要嚴格認證的方法

不需要嚴格認證的方法是將用戶靜態配置的IP地址或者采用DHCP自動獲取的端U地址與用戶終端設備的MAC地址和基于端口的VLANID捆綁在一起，用戶一開機就自動接入。到網絡中，不需耍對用戶的身份進行認證。上述IP地址、MAC地址與VLANID的捆綁能夠有效地保證合法的終端才能接入M絡中。能夠確保用戶信息的安全性。不過，這種方法存在著一個嚴重的缺陷，只是保證合法終端接入M絡，而不是保證合法用戶接入網絡，不管是集團用戶還是家庭用戶，對此都幾乎難以容忍，這直接導致了DHCP+的出現。而且，這種方式目前還不能做到按用戶進行計費。因此，這種方式只能在網絡建設初期包月制情況下使用。

（2）需要嚴格認證的方法

需要嚴格認證的方法能夠保證每一個使用者都是合法的用戶，一個終端可以有多個不同的用戶，如果與客戶管理系統一起使用，不同用戶還可以擁有訪問網絡資源的不同權限。目前，需要嚴格認證的方法又分為兩種，即PPPoE/A技術和DHCP+技術。

①PPPoE/A技術。PPPoE/A技術既能夠實現一個客戶端與多個遠程主機連接的功能，又能夠提供類似于PPP的訪問控制和計費功能=使用PPPoE/A技術，類似使用點對點協議的撥號服務方式，每個主機使用只己的點對點協議棧，用戶使用他們所熟悉的撥號網絡用戶接口進行撥號。通過PPPoE/A技術，每個用戶可以有他自己的接入管理、計費和業務類型。

PPPoE/A技術有IETF的RFC,技術與設備比較成熟，可以防止地址沖突與地址盜用，既可以按時長計費也可以按流量計費，能夠對特定用戶設置訪問列表過濾或防火墻功能，能夠對具體用戶訪問網絡的速率進行控制，能夠利用現有的用戶認證、管理和計費系統實現寬窄帶用戶的統一管理認證和計費，能夠方便地提供動態業務選擇特性，而這些都是DHCP+所不具備的。因此，目前應該使用這種萬法建設寬帶IP城域網。

②DHCP+技術。DHCP+技術是為了適應網絡發展的需要而對傳統的DHCP進行了改進，主要增加了認證功能，即DHCP服務器在將配置參數發給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務器進行認證，通過后才將配置信息發給客戶端。與PPPoE/A技術一樣，DHCP+技術也需要在客戶端上安裝客戶端軟件。但不同的是，DHCP+客戶端與服務器可以通過在每個子網內增加中繼代理而跨越三層，不一定要在同一個二層內。而且，服務器只是在獲得丨P配置信息階段起作用，以后的通信完全不經過它，而PPPoE/A技術由于服務器與客戶端之間存在PPP連接。因此服務器是所有通信的必經之路。

DHCP+技術的主要優點是使用DHCP+服務器只在用戶接入網絡前為用戶提供配置與管理信息，一般不會成為瓶頸，并能夠很容易地實現組播的應用。但是，DHCP+技術還沒有正式的標準，產品和應用很少；不能防止地址沖突和地址盜用；不能按流量進行計費：不能對用戶的數據流量進行控制；并且，應用DHCP+需要改變現有的后臺管理系統。因此，這種方式目前還不具備實際應用的能力，需要等待進一步成熟后才能考慮使用。

2.用戶管理

寬帶IP城域網的用戶主要有兩類，即集團用戶和家庭用戶，集團用戶一般采用包月制方式，不需要認證，而家庭用戶一般希望網絡能夠根據其實際需要提供業務和計費。因此，用戶管理主要是對需要進行嚴格認證的用戶的管理。

相對于分散認證分散管理方式（即將用戶信息放置在靠近用戶的匯集層上，用戶接入網絡時客戶管理系統不需要到遠端去就能獲取有關用戶的信息而完成對用戶的認證），采用集中認證集中管理方式（城域網中的用戶集中在一起進行管理，用戶接入網絡時，客戶管理系統利用RADIUS技術到用戶管理中心獲取有關用戶的信息，完成對用戶的認證），管理起來非常方便，特別是在這種情況下，能夠將寬帶RADIUS服務器與窄帶的RADIUS服務器集中放在一起，甚至將兩者合二為一，實現寬窄帶用戶統一管理。因此，將成為必然的選擇。但需要注意的是，在這種方式下客戶管理系統可以根據網絡業務量的大小放置在不同的位置上。

　　（1）分布式放置

分布式放置就是在靠近用戶的匯接層（如接入匯接層）上設置客戶管理系統，為該匯接層之下的用戶提供認證、流量控制等功能。這樣做，可以不需要大容量的客戶管理系統，并使網絡的可擴展性非常好。由于可以根據網絡規模的大小和業務需要選擇不同等級的、具有極好性能價格比的客戶管理系統，因此不會出現因為分布式設置而像使用其他寬帶接入服務器那樣使造價過高的情況，同時為業務的進一步快速增長留下足夠的空間。

（2）集中式放置

集中式放置就是在核心層上集中設置客戶管理系統，對一個片區的大量小區和集團用戶進行集中認證。這種方式的優勢在于可以對用戶進行集中管理，但對設備的要求比較高，很有可能成為網絡進一步發展的瓶頸。因此建議在網絡建設初期每個片區內用戶比較少時，可以考慮采用這種方法。隨著網絡建設的不斷發展和用戶的不斷增多，還是應該過渡到分布式設置：但集中式設置的系統并不是不用了，事實上它可以用來為分布式設置的系統提供業務匯集功能，如對于VPN業務，利用集中式設置的系統可以簡化全網配置。

3.接入帶寬控制

用戶如果以以太網方式接入，則城域網提供給用戶的一般是10/100Mbit/S以太網接口。用戶對這樣的速率并不滿意，主要原因有兩個：一是城域網目前能夠提供的、需要較高帶寬的、能夠吸引用戶的寬帶業務并不多，大部分用戶目前還不需要如此高的速率，他們希望運營商能夠將帶寬根據他們的實際需要分成多個等級，每個等級采用不同的收費標準；二是目前用戶上網大部分是為了訪問城域網之外的業務，而由于匯集層/骨干層/業務層設備的限制，在城域網之外速率并不高，因此用戶希望運營商能夠提供與匯集層/骨干層/業務層相適應的接入速率，以降低資費。從競爭角度和業務發展趨勢來看，用戶的這種合理要求應該予以滿足。目前，這種要求可以采用兩種不同方法實現。一種是在分散放置的客戶管理系統上對每個用戶的接入帶寬進行控制，另一種是在用戶接入點上對用戶接入帶寬進行控制。

[1]  [2]