范忠礼 南京邮电学院
随着Internet的业务的爆炸式增长,现有的电信网越来越多地采用IP接入。基于IP的新业务--虚拟专用网(VPN)、视频点播业务(VOD)、电子商务、IP电话等的应用和发展,使IP业务的安全性、可靠性备受关注。Internet的安全不仅涉及到如何保护企业和商家的商业秘密,而且还涉及到个人上网、收发电子邮件以及使用IP电话时如何保护个人的隐私的问题,这些都是IP网络急需解决的。IP网络是无连接的网络,是以路由器转发为中心,相对于传统的接入网,IP接入出现了许多新的概念,包含了许多新的内涵,增加了许多新的功能。
ITU-T SG13对IP接入网的定义、位置、功能模型及其接入方式的分类都做了定义,并在为起草IP接入网的新建议Y.ipan作准备。现行的IP接入网与ITU-T 1995年 G.902定义的接入网有很大的不同。 IP接入网是指在"IP用户和IP业务提供者(ISP)之间为提供所需的、接入到IP业务的能力的、网络实体的实现",如图 1所示。
IP网是用IP作为第三层协议的网络。IP网络业务是通过用户与业务提供者之间的接口,以IP包的开工传送数据的一种服务。从图1可以看出,IP接入网的功能包括接入功能、端功能、网络终端功能,与住地网、ISP的接口是RP参考点。
根据G.902的定义,接入网是由业务接点接口(SNI)和用户网络接口(UNI)之间的一系列传送实体(诸如线路设施和传输设施),所组成的为传送电信业务提供所需传送承载能力的实施系统,其主要功能是复用、交叉连接和传输,不含交换功能,独立于交换机。与交换机的接口为开放的V5接口,可以兼容任何种类的交换机。因此交换机和接入网的技术和业务演进可以完全独立开来,从而使接入网的发展不受交换机的限制。这样接入网市场可以完全开放,形成竞争。运营商可以任意选用交换机和接入网设备。接入网的发展,宽带业务的引入不受交换机的限制(不依附于交换机),可以独立发展,这是对远端模块接入功能的突破。
从IP接入网的定义来看,IP接入网与G.902定义的接入网有很多不同。从图2 IP接入网的位置与参考模型也可看出,IP接入网位于IP核心网与住地网(CPN)之间,IP接入网与住地网和IP核心网之间的接口是参考点RP,而不是传统的用户网络接口(UNI)和业务接点接口(SNI)。参考点RP是指逻辑上的参考连接,在某种特定的网络中,其物理接口不是一一对应的。
IP核心网即提供IP业务的网络,可包含一个或多个ISP。在图2某些网络中,网络终端NT、IP接入网、IP核心网可以是分离开来的。图中各方框和圆框的连线代表双向连接,两个方向的比特流可以是不对称的,也可以采用不同的传输媒质。
我们知道远端模块(RSM)含有交换功能(主要是本地交换功能),但是G.902接入网只有复用、交叉连接和传输,一般不含交换功能和记费功能。而IP接入网包含有交换或选路功能,也需要记费功能。
从开放和竞争程度上看,C.902接入网与交换机的接口为开放的V5标准接口,可以兼容任何的交换机。交换机与接入网的技术和业务演进可以完全独立开来,从而使接入网的发展不受交换机的限制,这样接入网市场可以完全开放。运营商采用的接入网升级和演进不依附于交换机厂商,促进了接入网向数字化和宽带化发展。
而IP接入网是在千万个IP用户与众多IP业务提供商之间的选择。据统计,目前我国的ISP有520家远远多于交换机厂商,并且IP用户希望有动态选择ISP和网络提供商(NSP)的权利。因此要求IP接入网增加新的功能,如多个ISP的动态选择、使用PPP动态分配IP地址、地址翻译(NAT)、授权接入(如加密授权协议PAP和PPP询问握手授权协议HAP)、加密、计费和RADIUS(远程授权拨入用户业务)、服务器的交互等。
IP接入按其传输媒介和传输技术呈多样性,主要表现为ISP在网中的几何位置的多样性。接入方式也呈多样性,同时与接入方式无关,支持各种形式的接入,如ISDN-基本速率接入B/2B/D channel、一次群速率接入1.5/2M;B-ISDN接入1.5M600M;铜缆接入xDSL;无线接入、卫星接入 和移动接入;PON、APON、SDV、HFC 和其它的光系数接入;Cable TV 接入;各种LAN技术如802.4 Token Bus令牌总线网、802.5 Token Ring令牌环网FDDI、802.6 MANs DQDB和交换式以太网、快速以太网、千兆以太网接入等。从IP接入网的功能参考模型的角度出发对IP接入方式可分为五类。即直接接入方式、PPP隧道方式(L2TP)、IP隧道方式(Ipsec)、路由方式、多协议标记交换(MPLS)方式。
1.直接接入方式。是用户直接接入IP,此时IP接入网仅有二层,即IP接入网中仅有一些级联的传送系统,而没有IP和PPP等处理功能。此方式简单,是目前广泛采用的IP接入方式。
2.PPP隧道方式。从该节点至ISP使用第二层隧道协议(L2TP)构成用户到ISP的一个PPP会晤的隧道,即一个PPP会话在隧道间传输,第二层既可采用包交换形式,也可以采用电路交换形式,但无论如何要传送的数据都从一个物理实体定址到另一个,并不存在路由跨越的概念,可以认为是以"点到点"形式进行的,是一种仿真连接技术。用户可以通过PPP层选择ISP,如图3 所示。
所谓IP隧道是在TCP/IP协议中传输其他协议的数据包时,通过在源协议数据包上套上IP协议头,对源协议来说,就如同被IP带着过了一条隧道。L2TP(IETF)是由PPTP(3COM,Microsoft)和L2F(Cisco)综合发展而来的。目前,主要是基于ADSL的快速接入方案,安装在ISP和用户的数据中心。由客户管理模块、业务管理模块和计费模块组成,目前已在163/169网上应用。
过去人们不愿意将因特网与自己公司的LAN相连,主要考虑源的安全与性能,VPN的出现打破了用户的顾虑。虚拟专用网(VPN)就是在公用网的基础上,使用专用的安全通路即隧道来支持特定用户的使用,所以VPN又戏称为"公网私用"。VPN采用L2TP协议,网络的安全性、保密性、可管理性容易解决,企业网络想连接到哪里都可以,成本低、易维护。随着Internet的发展,在家办公,处理一些复杂事务,只需要与企业或公司网连接,得到公司或企业主体网络的确认,就可以进入公司或企业内部网,完成工作。企业不仅是接入网号码的一部分,也是IP地址码的一部分。L2TP的缺点也很明显,如在QoS、安全性、可扩展性、记帐系统和非对称性上都还存在一定的问题。
3.IP隧道方式(Ipsec)。由于L2TP本身并不提供任何安全保障,仅提供较弱的安全机制,并不能对隧道协议的控制报文和数据报文提供分组级的保护,采用IPsec来保护通道安全,同时也能实现非IP数据的保护。L2TP对第二层包进行通道处理。它们对第三层协议(IPX或APPLETALK)来说,就可以用通道处理来实现,如果事实上一个第二层的VPN已经建立起来了,两个异种网通过外部网络从逻辑上连接到目的地,然后可用IPsec来保护这个第二层的VPN,并提供必要的机密性保证。这就是第三种接入方式Ipsec,它可有效地保护数据包的安全。它采用的具体形式包括:根据起源地验证;无连接数据的完整性验证;数据内容的机密性(是否被别人看过);抗重播保护;有限的数据流机密性保证等。
具体对IP数据包进行保护的方法是"封装安全载荷"(ESP Encapsulating Security Payload)或者"验证头"(AH Authentication)。如图4所示,AH可以证明数据起源地,保证数据的完整性以及防止相同数据包的不断重播,有力地防止黑客截断数据包或向网络插入伪造的数据包。ESP将需要保护的用户数据进行加密后再封装到IP包去,ESP除了具有AH的功能外,还可选择保证数据的机密性以及数据流提供有限的机密性保障。从而保证数据的完整性、真实性。
AH或ESP所提供的安全保障,完全依赖于采用的非对称加密算法或共享密钥的对称加密算法以及密钥交换技术,所以第三类接入方式为IP隧道安全方式。从用户终端至接入节点使用了PPP协议,而接入点至ISP使用IPsec,从而在用户至ISP间构成一个IP层隧道。由于IPsec是从上层向下层扩展来实现IP接入的,其缺点是实现复杂,严密性差等。
4.路由方式。接入点可以是一个第三层路由器或虚拟路由器。该路由器负责选择IP包的路径和转发下一跳。路由方式包括基于ISDN的连接和基于FR及租用专线的连接,支持FR、IP/IPX、PIP/RIP2、OSPF、IGRP等协议。
5.多协议标签交换(MPLS)方式。接入点是一个MPLS的ATM交换机或具有MPLS功能的路由器。1999年9月,在TIU-T SG13 的IP专家组会议上,已经确定MPLS为IP Over ATM的标准对许多MPLS的控制选项作了明确的规定,对于公用的ATM网络引入MPLS的技术方案给出了指导性的建议并准备在今年通过。许多厂商已经开发了用于现有ATM交换机上实现MPLS的实验性软件补丁。
由于近年来Internet固定接入业务(如电子邮件、Wbe、IP电话、电子商务等)的爆炸式增加,移动IP的接入引起人们的关注,手机移动上网灵活、方便,成为一种新的时尚,被称为"口袋里的互连网"。ITU-T SG-13组对移动IP的研究已经启动,确定了Mobil IP的研究内容,主要强调移动接入即终端的移动性、IP移动性(主要是控制选路和业务)和个人移动性等领域的研究。移动IP主要定义了三个主要功能实体:(1)移动节点,是一台主机或路由器,它在切换链路时从一条链路到另一条链路不改变它的IP地址,也不中断正在进行的通信。(2)住地代理(Home Agent),它是一台路由器,有一个端口连接在移动节点的住地链路上,这个端口截获所有发往移动节点住地地址的数据包,并通过隧道将它们送到移动节点最新报告的转交地址上。(3)外地代理(Foreign Agent)。这是一台有一个端口在移动节点的外地链路上的路由器,它帮助移动节点完成移动检测,并向移动节点提供路由服务,例如在移动节点使用外地代理转交地址时对通过隧道到达的IP包进行拆封。
目前,随着以IP为主的数据业务在传统的电信网环境接入的迅猛增长,以电路交换机为主的传统PSTN网络,对于Internet的接入,因网上占用时间较长,使得PSTN网数据负荷量很重(占用大量的中继线及交换机资源),造成网络的拥塞。又由于Internet网IP数据大多为突发业务,平均负荷小,瞬时高,因此带宽利用率低。在传统的电信网上,解决IP业务接入的分流十分重要和迫切,目前国内不少公司的接入网设备具有分流IP数据的能力,这是向IP接入网演进的重要的一步。虽然在我国数据业务在电信业务中所占比例仍然很低,但是,IP数据业务发展迅速,不需几年IP数据业务将超过传统的电话业务,电信网的IP化是必然趋势。因此,对IP接入网的研究,应引起有关设备开发厂商、运营商的高度重视--如同IP在电信网上进行环境演进那样的重视。
作者简历: 范忠礼,南京邮电学院光信息技术系、光纤通信研究所教授,硕士生导师;主要研究方向为信息网络技术,包括核心网、接入网、IP接入网、宽带IP网、光网络等。