1. 引言

近年來，隨著Internet的普及和寬帶應用的發展，特別是一些“帶寬殺手”應用的不斷涌現，使得接入網帶寬資源日益“捉襟見肘”，為了徹底解決接入網的帶寬瓶頸，光纖到戶（FTTH）這個一直以來作為接入網發展的最終理想，已經具有了提前實現的迫切需求和可能。 

EPON是基于千兆以太網的無源光網絡技術，繼承了以太網的低成本和易用性以及光網絡的高帶寬，是實現FTTH眾多技術中“性價比”最高的一種。隨著EPON國際標準——IEEE802.3ah在2004年的正式發布，EPON的產業聯盟已經吸引了眾多廠商的積極參與，從EPON的核心芯片、光模塊到系統，EPON的產業鏈已經日趨成熟。

2. 面向FTTH的EPON系統

首先，面向FTTH的EPON系統中用戶側設備的用戶接口種類要豐富和帶寬要大。在光纖到戶的情況下，用戶的業務需求已經不再滿足于簡單的上網，而是變成了集數據、語音和視頻業務于一體的綜合業務接入需求。這也正是推動“三網融合”最重要的驅動力。用戶需求多樣化帶來的最主要變化之一就是對帶寬需要量的大大增加。以目前IPTV需要帶寬為2Mbit/s，一路高清電視的帶寬為6-8Mbit/s來計算，每個用戶（ONU）如果要同時支持2-3個視頻流（對應2-3個電視終端），再加上常規的上網帶寬，則需要帶寬至少要在20Mbit/s以上。這是現在的ADSL所無法滿足的，即使采用ADSL+或VDSL技術也只能在短距條件下達到這樣的下行帶寬水平，還要付出線路改造的成本。因此，ONU側的基本用戶接口是10/100M兼容的以太網接口，對于帶寬有更高需求的用戶，這個用戶接口也可以方便的升級到10/100/1000M兼容的以太網接口。這個接口即可完成IPTV業務、IP電話機和PC的接入。除了基本接口，對于使用普通話機的用戶，ONU應提供一個POTS口。而對于采用“視頻覆蓋”技術傳輸有限電視信號的解決方案，ONU再增加一個有線電視信號的接口即可�？傊�，ONU的下面將是一個透過智能網關連接的家庭網絡，用戶通過EPON系統帶來的高帶寬，就可以享受到家庭網絡信息化帶來的各種生活上的便利。

其次，局端設備的單個PON接口可支持的遠端用戶側設備數量要多。目前，我國FTTH主要用戶是城市住宅小區的住戶，其突出特點是：住戶密度高，單一住宅小區一般有500—3000住戶。從技術上，EPON系統的分路比完全可以做到1:128，即一個PON端口帶128個ONU。EPON的控制協議完全可以支持更多的ONU。目前傳輸距離和分路比主要是受光模塊性能指標的限制，隨著光模塊技術的進步，這一目標是能夠實現的。相對于目前1:32的分路比（可支持10-20公里的傳輸距離），面向FTTH的EPON設備將是支持高分路比的設備，每線成本也隨之降低。那時，如果要完全覆蓋一個3000戶左右的住宅小區，在局端就只需要不到30個PON接口堆疊在一起，大大降低了工程開通和維護的復雜度。

最后，在面向FTTH應用的EPON系統中，局端設備（OLT）的集成度要高。表現為PON端口的密度增大，OLT通過增加PON端口的數量來靈活地擴容以支持更多用戶。PON端口為單纖雙向，一個PON接口盤出2個PON端口將是很容易實現的，因此，一個PON接口盤的用戶數將可以達到256個。相對于目前一個ADSL用戶盤的容納32個用戶的水平，面向FTTH的EPON系統在用戶接入的密度上也具有優勢。

3. 安全管理

在復雜的接入網環境中，有效保證系統和用戶數據安全，是運營商和用戶越來越關心的問題。EasyPathEPON在設計上也進行了充分的考慮。

首先，對用戶數據安全的保護。用戶數據安全的威脅主要來自PON內部用戶之間，包括內容監聽和主動攻擊等形式。由于EPON下行方向的數據采取廣播形式，每個ONU能接收到所有的下行數據，802.3ah標準中為每個連接設定LLID邏輯鏈路標識，每個ONU只能接收帶有屬于自己的LLID的數據包，其余的數據包丟棄不再轉發。但是，LLID主要是為了區分不同連接而設定的，ONU側如果只是簡單根據LLID進行過濾很顯然還是不夠的，因為傳送的是標準的以太網幀，所以某個ONU用戶技術上完全可以不區分LLID，而獲取非本ONU的信息，用戶信息的私密性受到威脅，這顯然是用戶所不愿看到的。為了隔離用戶信息，保證每個ONU數據的私密性，就需要在下行方向對每個ONU的數據進行加密。802.3ah標準中建議采用高級加密標準（AES）算法在物理層實現用戶信息的加密。經過AES算法加密的用戶數據有效地降低了信息泄露的可能性，但是如果EPON是一個簡單的二層交換系統，用戶的關鍵信息，如MAC地址、IP地址等，仍然可以通過監聽鏈路層的廣播消息而獲得，這些信息都可能被網絡黑客用于實施各種攻擊。因此，要更好地保障用戶信息的安全，還要考慮鏈路層的隔離措施，基于PrivateVLAN的二層隔離方案就是一個很好的選擇。至于來自于EPON系統外的安全威脅，就需要用戶采取其他措施進行防范了。

其次，對EPON系統自身安全的保護。因為，一旦EPON網絡本身的安全受到威脅，那么受到影響的就將是系統內的全體用戶�？紤]EPON設備的特點，在以下方面需要做出防范：

MAC地址表溢出。MAC地址表是實現以太網幀正確轉發的基礎，如果惡意用戶通過大量使用假冒的地址使MAC地址表溢出，將造成正常數據業務的中斷。因此，在FTTH的應用中，要限制用戶端口的MAC地址數量，或者干脆直接將用戶的一個MAC地址和端口綁定。這兩種辦法都可以防止MAC地址表的溢出，但從便于維護的角度來說，使用第一種方式會更好一些。

上行系統控制幀假冒。如果用戶能夠從用戶接口發送系統的控制幀，如多點控制協議（MPCP）幀或維護管理（OAM）幀進入系統，就會干擾系統的正常運行，所以一般需要在系統的用戶接口處對系統控制幀進行過濾，濾除侵入系統的“假冒”控制幀。

通過對EPON系統面臨的安全威脅的分析，并對比已有的解決方案，我們認為EPON系統和ADSL接入在安全性方面是等價的。由于采用了AES加密算法，甚至在安全方面還要優于FTTx+LAN的接入方式。

4. 用戶管理

面向住宅小區的寬帶接入系統，由于大量用戶的接入需要管理和計費，因此支持認證、授權、計費（AAA）功能也是EPON系統必須考慮的，具體為：

認證(Authentication)：驗證用戶的身份與可使用的網絡服務。

授權(Authorization)：依據認證結果向用戶開放網絡服務。

計費(Accounting)：記錄用戶對各種網絡服務的用量，并提供給計費系統。

AAA的功能不僅可以有效地增強網絡的安全，防止非法用戶進入網絡，而且是使網絡具備“可運營、可管理和可增值”能力的重要手段。比如，提供靈活的計費方式（如時長、流量、預付費、費率切換、費率折扣、實時計費、區分業務計費等），提供對增值業務與寬帶網絡價值鏈的全方位支持等。

4.1 EPON的AAA系統構成

EPON系統是一個分布式的以太網接入設備，其基本功能主要包括二層的以太網交換。而802.1x的認證體系正是基于端口認證的二層協議，與EPON結合可以充分發揮其簡單高效的優勢。這是由于802.1x在接入端口就將業務流和認證流分離，避免了給認證者帶來處理能力上的壓力，實現更加簡單，消除了可能存在的性能瓶頸。802.1x依托EPON的匯聚能力，可以將眾多的認證點的信息匯聚后再傳遞給認證服務器，在減小認證服務器并發連接數的同時，也增加了服務器同時管理用戶的數量。這也體現了認證邊緣化、管理集中化的趨勢。EPON采用802.1x的認證框架，可以實現對傳統PPP認證架構的兼容，同時由于采用EAP（擴展認證協議）認證方式，其擴展性也得到很好的兼顧。隨著802.1x的發展和完善，EPON的認證手段也將不斷完善。正是基于以上考慮，EasyPathEPON系統將802.1x作為自己的首選認證方式。EPON的AAA系統框圖如下所示。 　

　申請者是安裝在用戶PC上的客戶端軟件，WindowsXP系統自帶了802.1x的客戶端，易于使用。如果用戶沒有PC，或者不想使用客戶端軟件，那么在ONU上有申請者代理軟件同樣可以實現認證過程。用戶從服務提供商處申請開通業務的時候，服務提供者在給該用戶使用的ONU上寫入該用戶的身份識別信息。只要該ONU處于工作狀態，該用戶申請的業務即被授權。這種情況比較適合簡單的包月計費的業務。

認證者系統是EPON需要實現的重要功能。ONU側的認證代理模塊實現對受控端口的控制，同時將分離出來的認證流在ONU和OLT之間傳送。該模塊還可以完成用戶設備（PC機）在線狀態的監測，發現異常下線的情況及時上報OLT。

OLT側主要包括用戶管理模塊、PAE模塊、后臺任務模塊和RADIUS客戶端模塊。用戶管理模塊主要用于認證消息的分發和維護在線用戶的數據結構。PAE模塊和后臺任務實現認證者狀態機的主體部分。RADIUS客戶端模塊負責收集認證者實體需要與認證服務器交互的消息，轉換為RADIUS協議幀后與認證服務器通信。OLT強大的軟件處理能力和實時嵌入式操作系統為支持PON系統多用戶并發認證和在線用戶的維護提供了保障。

運營商一般會建自己的認證服務器和計費平臺，只要是基于RADIUS協議，EPON系統就可以無縫接入，構成完整的AAA系統。

4.2 認證

EAP可以允許認證者和申請者之間采用靈活的方案進行認證，并且對將來出現的更先進、合理的認證技術具有很好的兼容性。EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域實現，“EAP類型”域中定義的認證類型可以滿足不同層次的安全需要。目前可以采用的EAP類型有包括PAP、MD5-challenge、One-TimePassword(OTP)、TLS等等。

4.3 授權

認證成功以后，認證服務器會將該用戶的信息傳遞給認證者系統。EPON的認證者系統除了將受控端口閉合，允許用戶數據進入網絡等標準功能以外，還有一些針對EPON而言更重要的事情要做：首先，根據用戶申請的帶寬大小，將初始狀態的默認帶寬修改為用戶可以得到的實際帶寬值。由于EPON的動態帶寬（DBA）機制，用戶可以獲得的帶寬是一個保證帶寬加上網絡相對空閑時的部分剩余帶寬。其次，根據用戶申請的業務種類，為用戶配置業務端口，同時根據協議類型在ONU處劃分VLAN，以便不同業務數據的統計和匯聚。再次，根據用戶的QoS級別，在OLT側為用戶分配不同的優先級隊列。最后，如果運營商需要保障用戶端到端的QoS等級，那么還可以在用戶數據離開EPON系統時，打上運營商指定的VLAN標簽。

4.4 計費

由于OLT集中維護了每個用戶詳細的在線信息，并可以統一上報給RADIUS服務器，所以基于時長的計費粒度可以精確到秒級。而且ONU可以實時統計用戶的業務流量，甚至是區分業務類型的業務流量，基于流量的計費也易于實現。在此基礎上，運營商可以為用戶提供靈活的計費方案。

5. 結束語

FTTH作為接入網發展的終極目標，在市場和技術的不斷推動之下，正在一步步向我們走來。EPON從誕生之初就將自己定位在FTTH的理想解決方案之上，在經歷了不斷的演進和完善之后，正期盼著在FTTH建設中大顯身手。

【相關文章】

• POF光纖布線系統在局域網的應用
  

• 網絡布線的屏蔽與非屏蔽系統
  

• Fluke:綜合布線現場測試的最新進展