綜合接入網(wǎng)實驗室建設

彭美娥，馬立香，吳 凡

(電子科技大學 通信與信息工程學院，四川 成都 610054)

接入網(wǎng)已經(jīng)發(fā)展成與核心網(wǎng)并列的現(xiàn)代通信網(wǎng)絡兩大基本構件之一，并且是當前技術發(fā)展最快、應用最廣的網(wǎng)絡[1]。電子科技大學于2002年率先在全國高校開出了接入網(wǎng)技術課程。作為網(wǎng)絡工程專業(yè)的一門核心專業(yè)課，接入網(wǎng)技術具有很強的綜合性和實踐性[2]。因此，在培養(yǎng)接入網(wǎng)專業(yè)技術人才時，除了需要注重理論知識的傳授，更需要注重工程實踐能力的培養(yǎng)[3]。為此，建設綜合接入網(wǎng)實驗室，并以此為平臺開展多層次的實驗教學和工程實訓，對培養(yǎng)接入網(wǎng)專業(yè)技術人才的工程實踐能力意義重大，十分必要[4]。

綜合接入網(wǎng)實驗室依托電子科技大學國家級實驗教學示范中心——“通信與信息系統(tǒng)實驗中心”已有的骨干傳輸系統(tǒng)建設[5]，實現(xiàn)了多接入、多業(yè)務、統(tǒng)一接入控制管理，為接入網(wǎng)原理實驗、組網(wǎng)實驗、接入網(wǎng)綜合課程設計、網(wǎng)絡工程實訓等提供了良好的實驗環(huán)境[6]。本文主要對綜合接入網(wǎng)實驗室的建設理念、總體架構、具體設計和實現(xiàn)等內(nèi)容進行了詳細闡述。

1 建設理念

建設綜合接入網(wǎng)實驗室的目的是為了提供與主流接入系統(tǒng)相似的實驗環(huán)境，使學生得到實戰(zhàn)的體驗和鍛煉，培養(yǎng)接入網(wǎng)工程實踐應用能力。目前接入網(wǎng)市場多種接入技術并存，接入用戶可以根據(jù)需求選擇不同的接入技術，使用各種不同的業(yè)務；而運營商為了控制接入用戶，普遍采用統(tǒng)一的接入控制管理系統(tǒng)，只允許授權用戶接入，拒絕非法用戶接入。我校綜合接入網(wǎng)實驗室的建設從一開始就堅持3個基本理念：全真、統(tǒng)一、全業(yè)務。

(1) 全真。整個綜合接入網(wǎng)實驗室與當前商用接入系統(tǒng)應一致。在設備上，從用戶端到局端，所有設備全部采用國內(nèi)外知名廠商生產(chǎn)的商用設備。利用這些設備搭建各種真實的接入場景，實現(xiàn)現(xiàn)有的各種先進網(wǎng)絡技術，包括目前各種主流的接入技術、接入控制管理技術以及核心網(wǎng)技術，帶給學生從網(wǎng)絡技術到各種業(yè)務的全方位的真實體驗。

(2) 統(tǒng)一。為了便于管理，把目前多種主流接入技術納入到同一實驗平臺中，采用統(tǒng)一的接入控制管理系統(tǒng)對各種接入用戶進行接入控制管理。這種接入控制管理與具體的接入技術無關，為新的接入技術提供開放接口，具有可擴展性。

(3) 全業(yè)務。綜合接入網(wǎng)實驗室必須支持語音、數(shù)據(jù)、圖像等全業(yè)務接入。

2 總體架構

綜合接入網(wǎng)實驗室涵蓋了多種主流接入技術，可實現(xiàn)多接入、多業(yè)務、統(tǒng)一用戶接入控制管理，是一個全真的、可擴展的綜合接入網(wǎng)實驗室(見圖1)。

圖1 綜合接入網(wǎng)實驗室總體架構

2.1 網(wǎng)絡架構

緊隨現(xiàn)代網(wǎng)絡發(fā)展的趨勢，綜合接入網(wǎng)實驗室網(wǎng)絡架構采用了與現(xiàn)代網(wǎng)絡架構一致的扁平化結構，構建了接入網(wǎng)和核心網(wǎng)2個層次。其中，接入網(wǎng)的主要作用是在核心網(wǎng)與接入用戶之間提供各種業(yè)務的透明的承載和傳送功能，為用戶提供接入服務；核心網(wǎng)則提供業(yè)務的高速傳輸和交換。這種扁平化的網(wǎng)絡架構具有結構簡單、易于擴容、方便快速提供新業(yè)務、故障影響率低、故障解決時間短、維護成本低等諸多優(yōu)點。

接入網(wǎng)由多種接入系統(tǒng)組成，分別采用不同的接入技術。每種接入系統(tǒng)有各自獨立的用戶端、局端接入設備及接入介質，它們彼此獨立，互不影響，與真實的接入系統(tǒng)接近。各種接入系統(tǒng)通過匯聚交換機匯聚后上聯(lián)到IP核心網(wǎng)，最終實現(xiàn)各種接入用戶接入校園網(wǎng)、因特網(wǎng)。

IP核心網(wǎng)集傳輸網(wǎng)、IP網(wǎng)絡于一體，依托學校內(nèi)國家級“通信與信息系統(tǒng)實驗中心”已有的骨干傳輸系統(tǒng)構建。該骨干傳輸系統(tǒng)相當于中心城市綜合業(yè)務運營環(huán)境，能提供很好的傳輸能力。IP核心網(wǎng)上連校園網(wǎng)，通過校園網(wǎng)最終與因特網(wǎng)連接。

2.2 接入控制管理架構

現(xiàn)實的接入網(wǎng)是一種獨立的運營網(wǎng)絡，由運營商建設、管理和維護，所以實現(xiàn)用戶的接入控制管理是接入網(wǎng)的首要任務。接入控制管理的核心是認證(Authentication)、授權(Authorization)和記賬(Accounting)，簡稱為“AAA”功能。目前運營商廣泛采用由三實體組成的RSA模型實現(xiàn)AAA功能(見圖2)。

圖2 RSA接入控制管理系統(tǒng)模型

在RSA接入控制管理模型中，三實體分別是網(wǎng)絡接入申請者(Network Access Requestor，NAR)、網(wǎng)絡接入服務器(Network Access Server，NAS)和網(wǎng)絡接入授權者(Network Access Authority，NAA)。本質上，NAR是接入用戶，NAS是接入服務器，NAA是認證服務器。NAR和NAS之間是各種接入網(wǎng)，NAS和NAA之間通常是IP網(wǎng)絡。

各種接入用戶在接入網(wǎng)絡之前，必須向接入服務器發(fā)出接入認證信息，得到授權后，才能訪問網(wǎng)絡。接入服務器既是接入用戶的服務器端，又是認證服務器的客戶端，負責向認證服務器轉發(fā)用戶認證信息，根據(jù)授權信息實施對用戶的接入控制。認證服務器負責驗證接入用戶的信息，根據(jù)認證結果發(fā)送授權信息給接入服務器，實現(xiàn)對所有接入用戶的認證、授權和記賬。

RSA接入控制管理模型實現(xiàn)的接入控制管理都是針對接入用戶的，與具體的接入技術無關。用戶可以是通過各種接入系統(tǒng)接入的用戶，適用于大型、多接入控制系統(tǒng)，是接入控制管理系統(tǒng)的發(fā)展方向。

我校綜合接入網(wǎng)實驗室的接入控制管理系統(tǒng)采用了這種三實體模型，如圖1所示。其中的各種接入終端都是接入用戶，如：有線PC、無線PC、IP視頻電話機等。接入用戶共享接入服務器和認證服務器。接入服務器根據(jù)授權信息對接入用戶進行接入控制，認證服務器對接入用戶進行統(tǒng)一管理。各種接入用戶只要通過認證獲得授權后就可訪問校園網(wǎng)、因特網(wǎng)。

2.3 總體布局

綜合接入網(wǎng)實驗室配置了大量設備，有些設備對環(huán)境要求高，需要上架；而有些設備需要經(jīng)常提供給學生進行實驗操作。因此，根據(jù)設備的特點、要求不同，將實驗室的設備劃分為用戶區(qū)和機房區(qū)分開放置。

用戶區(qū)設有多個實驗桌，且預布放線纜到桌，可提供以太網(wǎng)接口、電話接口等多種信息接口，每個實驗桌上常規(guī)配備多臺PC、一臺以太網(wǎng)交換機，供不同實驗共同使用。根據(jù)實驗不同，再配備其他數(shù)據(jù)終端、小型接入終端，如電話機、ADSL modem等設備，搭建實驗拓撲，就可進行不同實驗，實現(xiàn)用戶區(qū)的共享。

機房區(qū)主要放置局端大型接入設備、接入控制管理設備及IP核心網(wǎng)設備，所有設備上架，按機房要求設計，滿足設備的要求[7]。

3 設計與實現(xiàn)

為了融合多種主流接入技術，實現(xiàn)多業(yè)務、多用戶接入，統(tǒng)一用戶接入控制管理，提供與主流接入系統(tǒng)接近的實驗環(huán)境，方便開設各種接入實驗，在接入網(wǎng)實驗室的具體設計中，主要解決以下關鍵問題：網(wǎng)絡設備的選擇、接入系統(tǒng)的隔離與并存、用戶的統(tǒng)一接入控制與管理、設備的共享與并行操作。

3.1 網(wǎng)絡設備的選擇

提供電信級全真的運行環(huán)境，需要高性能的軟硬件設備來保障。因此，實驗室所有的網(wǎng)絡設備都選用了國內(nèi)外知名廠商生產(chǎn)的商用設備，如CISCO的交換機和路由器，華為公司的程控交換機、接入認證服務器、ADSL接入設備、EPON接入設備等，利用這些設備構建了ADSL、EPON、LAN/WLAN等多種全真的接入系統(tǒng)以及接入控制管理系統(tǒng)，從設備上保證了實驗室與主流接入系統(tǒng)的環(huán)境接近。

3.2 接入系統(tǒng)的隔離與并存

綜合接入網(wǎng)實驗室集成了多種接入系統(tǒng)。盡管各種接入系統(tǒng)在接入層有各自獨立的物理設備和線路，但是上連到IP核心網(wǎng)前，則要共享匯聚交換機、共享介質。如果多個接入系統(tǒng)同時為用戶提供接入，則可能形成環(huán)路，造成通信錯誤。因此必須對接入系統(tǒng)進行隔離，使各接入系統(tǒng)能并行為用戶提供接入。

隔離的方法是采用VLAN技術[8]，把不同的接入系統(tǒng)劃分到不同的VLAN中。當然，也可以將一個接入系統(tǒng)劃分成多個VLAN。實驗室主要劃分了以下不同的VLAN：ADSL接入系統(tǒng)為VLAN2；LAN接入系統(tǒng)為VLAN 3；WLAN接入系統(tǒng)為VLAN 4；EPON接入系統(tǒng)劃分成了多個VLAN，這是考慮到EPON接入系統(tǒng)是點到多點的結構，一個OLT下有多個ONU/ONT，每個ONU/ONT下可以接多個用戶[9]。

通過這樣劃分VLAN后，各接入系統(tǒng)在邏輯上彼此完全獨立，解決了多個接入系統(tǒng)同時接入可能形成的環(huán)路問題，使各接入系統(tǒng)能并行接入，為靈活開展接入網(wǎng)實驗提供了條件。實驗室可以開設多種不同類型的接入實驗，各實驗既可以同時進行并且互不干擾，也可以單獨進行。實驗可組合、可分離，方便靈活。

實驗室還為后續(xù)新接入技術的加入提供了開放接口。對于新加入的接入技術，只要增加一個新的VLAN，就可以納入到同一實驗平臺中，具有很好的可擴展性。此外，從網(wǎng)絡管理的角度看，VLAN的劃分可以方便感知用戶的物理上下線路，給網(wǎng)絡管理帶來方便[10]。

3.3 用戶的統(tǒng)一接入控制與管理

綜合接入網(wǎng)實驗室的接入控制管理系統(tǒng)采用目前商用的兩種主要方式實現(xiàn)：PPPoE和802.1X，如圖3所示。PPPoE服務器和802.1X接入交換機實現(xiàn)接入控制功能，RADIUS服務器實現(xiàn)AAA功能。所有接入用戶的用戶名、口令等用戶認證信息都保存在RADIUS服務器上。

圖3 PPPoE和802.1X接入控制

PPPoE接入控制方式適用于對所有類型接入用戶的控制，ADSL接入用戶、EPON接入用戶、LAN接入用戶和WLAN接入用戶都可以通過PPPoE虛擬撥號與PPPoE服務器建立虛擬連接，并通過RADIUS服務器對其接入身份進行認證。用戶的身份認證通過后，由PPPoE服務器為用戶分配IP地址，用戶得到授權就可以訪問核心網(wǎng)及相關資源[11]。

實驗室中PPPoE方式的實現(xiàn)采用了華為公司的寬帶IP接入服務器MA5200F。由于該設備集成了PPPoE服務器、RADIUS服務器等功能，因此，利用MA5200F這一個設備就實現(xiàn)了對用戶的接入控制和管理。在接入前，MA5200F對接入用戶進行身份認證，認證通過后，MA5200F對該用戶分配IP地址，允許其接入。

另外，在MA5200F上還實現(xiàn)了多個域的配置[12]。每個域與一個IP地址池及認證策略、計費策略等其他一些信息綁定。當屬于某個域的用戶通過認證后，MA5200F就從與其綁定的IP地址池中分配一個IP地址給該用戶。利用域、IP地址、用戶名等信息，可以快速查找在線用戶、查看用戶下線的原因，或實現(xiàn)其他一些實用的業(yè)務功能，方便網(wǎng)絡管理。

802.1X接入控制方式是基于端口的接入控制方式，適用于對LAN和WLAN接入用戶的控制。采用802.1X方式時，接入用戶由支持802.1X的接入交換機在接入端口上進行分布式控制，由RADIUS服務器集中認證管理。認證沒有通過前，接入用戶只能通過接入端口傳送認證信息，不能傳送數(shù)據(jù)信息；認證通過后，由DHCP服務器為用戶分配IP地址，用戶就能傳送數(shù)據(jù)信息、訪問核心網(wǎng)及相關資源[13]。

3.4 設備的共享與并行操作

綜合接入網(wǎng)實驗室采用的硬件設備都是商用設備，通常只允許一個或極少數(shù)幾個用戶同時對設備進行配置，顯然這不利于學生多人同時訪問，限制了實驗的開設。為此，實驗室設計了配置管理服務器，該服務器可以放置在IP網(wǎng)或以太網(wǎng)上。在對實際設備操作前，多組實驗用戶可以先在配置管理服務器上進行模擬操作，調(diào)試通過后，再把各組的配置數(shù)據(jù)通過控制分時加載到實際的設備中，從而實現(xiàn)多組用戶同時實驗，實現(xiàn)了設備的共享與并行操作。

目前，接入網(wǎng)實驗室中的配置管理服務器主要用于EPON設備配置的前端處理。隨著新設備的加入、新實驗的開發(fā)，通過對配置管理服務器進行升級，該服務器還可以用于其他設備配置的控制處理。

4 結束語

電子科技大學建設的綜合接入網(wǎng)實驗室融合了多種主流接入技術，采用統(tǒng)一的用戶接入控制管理模式，提供開放的接口，是一個多接入、全業(yè)務、接近真實網(wǎng)絡的實驗室。到目前為止，綜合接入網(wǎng)實驗室已運行了近5年。它不僅為我校網(wǎng)絡工程專業(yè)的學生提供了良好的實驗實踐環(huán)境，也為綜合課程設計、跨專業(yè)選修的學生提供了良好的實踐環(huán)境，為培養(yǎng)學生的工程實踐能力和設計分析能力起到了重要作用。

[1] 雷維禮，馬立香.接入網(wǎng)技術[M].北京：清華大學出版社，2006.

[2] 唐泉.淺談“接入網(wǎng)技術”課程教學[J].科技創(chuàng)新導報，2011(9)：151-152.

[3] 張科，馬立香，雷維禮，等.《接入網(wǎng)技術》實驗教學研究與探索[J].實驗科學與技術，2011，9(5)：227-229，284.

[4] 杜月林.構建多層次全方位實驗平臺體系培養(yǎng)高素質創(chuàng)新型人才[J].實驗室研究與探索，2013，32(3)：202-204.

[5] 段景山，毛玉明.綜合通信系統(tǒng)實驗平臺建設[J].實驗科學與技術，2005(增刊)：187-189，193.

[6] 陳兆夏，閻燕，吉東風，等.共享實驗平臺建設的實踐與思考[J].實驗室研究與探索，2012，31(10)：408-410，425.

[7] 尹智宏.如何設計全新的現(xiàn)代“開放共享”實驗室[J].實驗技術與管理，2012，29(9)：171-179.

[8] 雷維禮，馬立香，彭美娥.局域網(wǎng)與城域網(wǎng)[M].北京：人民郵電出版社，2008.

[9] 劉文杰，林樂春，李鳳岐，等.VLAN技術在校園網(wǎng)實驗中的應用[J].實驗技術與管理，2009，26(3)：85-87，90.

[10] 李郁峰，陳念年.拓展實驗室開放的內(nèi)涵和形式，營造實踐創(chuàng)新氛圍[J].實驗技術與管理，2009，26(12)：22-24,28.

[11] 王軍號，陸奎.RADIUS協(xié)議在AAA系統(tǒng)中的應用研究[J].計算機技術與發(fā)展，2009，19(7)：199-202.

[12] 蔣岱，王晗.接入服務器設備(MA5200F)配置與維護[J].中國有線電視，2011(1):88-90.

[13] 朱新芬，孟利民.寬帶接入認證方式的分析與比較[J].浙江工業(yè)大學學報，2009，37(2)：190-195.