摘要:文章介绍了adslvpn技术的基本原理,从组网模式、服务质量、安全性、接入能力等几个方面对几个adslvpn组网方案进行了分析和比较。
关键词:adsl接入方式;公安四级网;公安信息化建设;科技强警
一、概述
随着“金盾工程”的推进,公安信息化建设一日千里,科技强警的观点深入人心。建设一张完整、高效、保密、覆盖全面的公安专网,是实施“金盾工程”的前提和保证。作为一个与互联网等其他网络完全物理隔离的综合性宽带业务数字网,从公安部到省公安厅被称作“一级网”,省公安厅到市公安局被称作“二级网”,地市公安局到县区公安局被称作“三级网”,县区公安局到基层“三所三队”(派出所、看守所、车管所;交警队、刑警队、巡警队)被称作“四级网”或“接入网”。
我局至省厅的公安二级网于1999开通,2003底开通了至县局的公安三级网,2004开始建设公安接入网。作为一个西部欠发达地级市,乡村派出所占基层所队的主要份额,因缺少光纤资源或维护成本太高等原因,至2005年初,仍有部分偏远乡村派出所无法接入公安网。此时,公安部发布了《关于公安接入网租用adsl电路等接入公安信息网问题的通知》,从政策上肯定了以adslvpn方式接入公安网的可行性。下面,本文就adslvpn的几种联网方式,从原理、组网模式、服务质量、安全性等几方面进行比较,并针对公安网的特殊性对adsl接入方式提出了改进。
二、adsl原理
dsl技术是基于普通电话线的宽带接入技术,它在一根铜线上分别传送数据和语音信号。根据上下行速率的差异,dsl可分为对称dsl和非对称dsl。adsl是一种典型的非对称数字用户线路,它支持上行512k~1mbps、下行1~8mbps的速率,有效传输距离达3~5公里。
adsl用户端包括分离器、adslmodem等设备。adsl局端包括局端滤波器、atu-c和接入多路复用系统dslam。dslam按接口可以分为atmdslam和ipdslam,在组网时分别被接入atm骨干网或者ip骨干网。
(一)atmdslam的原理
用户的上行信号,在adslmodem中,通过aal5的sar子层的分段和重组功能,实现mac帧到atm信元的转换。经dsl调制后,信号通过电话线传输到局端的dslam。局端dslam对adsl信号进行解调,恢复成atm信元格式,进行复接或交换,对不同的atm业务进行分别处理,与上层的atm交换机建立连接,为用户提供永久虚电路(pvc)。
下行的信号以atm信元方式传送到atmdslam。dslam针对不同的atm业务采取不同的处理措施,如包丢弃原则、缓存机制、流控机制等,然后又分接到各对应的adsl端口,进行adsl信号调制后传送到相应的adslmodem中。
atmdslam设备基于atm的先进技术设计,支持cbr、rt—vbr、nrt—vbr、ubr等多种atm业务类型。且atm是面向连接的传输,其pvc(或svc)逻辑通道互相隔离,所以具有天然的安全机制,不会发生泄密的情况。
(二)ipdslam的原理
ipdslam在adsl信号的处理上和atmdslam基本一致。但在dslam中,atm信号并不进行复接和业务类型处理,而是通过aal5sar适配功能将atm信元还原成相应的mac帧,即所谓的atm终结。在atm信号终结的过程中,同时建立用户的mac地址与atmpvc的一一对应关系。在atm信号终结之后,在mac帧的基础上进一步进行处理和设立相关标记。
网络下行的信号则刚好相反,从上一级的设备发送到ipdslam的mac帧信号,完成相应的三层或者二层功能的信号处理,如路由分析或者vlan标志分析等,最终通过aal5sar把mac帧转换成atm信元,并实现从mac地址到atmpvc的转换对应。atm信号通过adsl芯片处理成adsl信号格式,并通过调制传输到远端的adslmodem。
从以上两种方式可以看出,atmdslam是全程atm的连接,而ipdslam则是在atmdslam的基础上增加了atm信元的终结功能,将atm信元转换成以太帧进行传输,其余部分二者基本一致。
三、几种adslvpn结构:
(一)基于atm结构
这种方案充分利用adsl稳定的调制技术和它跟atm无缝连接的特性,产生adsloveratm的高层应用,较安全的实现了基层所队的专线联网。
在adsl上开展atm专线接入业务,dslam处于atm主干网和用户端adsl之间,是实现atmoveradsl网络结构中最关键的设备。它利用atmpvc作为低层传输通道,在某种程度上可以把dslam看作atm网的一种延伸或是一种atm接入设备。根据中心点汇聚方式的不同,可以有atmpvc汇聚、frpvc汇聚,以及直接在同一个dslam中的atmpvc汇聚三种方式。
1.点对多点中心atmpvc汇聚。这种组网方式采用adsl作为atm的终端。基层单位通过adslmodem上行的atmpvc来穿透atm骨干网,最终各条pvc汇聚到中心点路由器的atm接口。中心路由器需配备atm接口。可以通过带有ima(inversemultiplexingforatm)功能的atm接口,将中心点的n个el接入带宽反向复用成n×el大小的接入带宽(目前一般可支持最多8个el的反向复用),充分利用了中心点路由器多端口el的总带宽,支持了高速atm信元流的传送。或者,中心点配置atm155m端口卡,承接各分支机构的高速pvc汇聚。这种配置中心点的可扩展性很强。
2.点对多点中心fr pvc汇聚。这种组网方式使用atm—fr互联功能,将adsl modem上行的atm pvc转换成fr pvc汇聚到中心路由器。中心路由器只要配置帧中继接口即可(但fr端口板不具备ima反向复用功能)。
前两种方案的硬件配置:(1)派出所:一台带路由功能的adsl modem,接入一条adsl专线,上下行pvc速率设置为对称512k-1m;(2)区县公安局:路由器增加配置atm el接口或普通fr el接口,通过租用atm或帧中继专线接入电信atm或帧中继网络。
方案特点:使用这种adsl—vpn时,各派出所adsl端口与县公安局atm或fr端口之间是封闭的atm pvc或fr pvc连接,不与普通上网用户及其他专线用户共享信道,因此端到端的通信可以视为安全的专线连接。县公安局与各派出所之间形成一个封闭的专网,使用公安自定义的私有ip地址,安全性有保证。
3.直接在同一个dslam中的atm pvc汇聚。每县局设一个汇聚点。每八个派出所与县公安局一台adsl modem相连。由于多数adsl modem至少同时支持8条上行atm pvc,即可实现八个派出所到县公安局的专线汇聚,再通过公安内网连到市公安局。
方案特点:与atm、fr汇聚一样,县公安局与各派出所之间形成一个安全封闭的专网。但这种方式存在瓶颈,县公安局每台adsl modem同时连接8个派出所,由于普通adsl modem的处理速度有限,且只支持上行1m的带宽,因此扩展性较差。
(二)基于ip结构
公安虚拟专网(vpn)是在宽带接入服务器(bras)上通过vr(虚拟路由器)方式实现的:主端口采用10/100m光纤专线接入宽带城域网交换机,通过vlan终结在bras的专用vr上;各派出所节点采用adsl固定ip专线接入。通过atm pvc或vlan终结到bras的专用vr上。
ip dslam需要为各派出所提供adsl接入,并将dslam的以太网上行端口映射到公安vpn的vlan id,通过vlan id来标识和区分是否是属于公安vpn用户;bas则要提供pe功能,根据vlan id来识别vpn站点,并将其接入相应的公安局的vpn核心网络(如mpis vpn),或者由bas来直接完成二层vpn功能(如vpis vpn)。因具体实现方式不同,基于ip dslam的adsl接入方案又分为以下两种情况:
1.在电信ip网上建立专用的vlan来实现派出所至公安局的专线汇聚。各派出所的adsl专线通过ip dslam的ip上行接口,作pvc到vlan id的一一映射,将所有派出所的adsl pvc都映射到专用的公安vlan上。县公安局提供一台三层交换机或路由器的一个以太网口,通过10/l00m以太网专线接入电信的城域网交换机,并与各派出所在同一个vlan内。县公安局与各派出所之间形成一个二层隔离的专用网络,使用公安自定义的私有ip地址,所有派出所的ip地址在同一网段内。
2.通过电信ip城域网上建立专用三层的vlan来实现派出所至公安局的专线汇聚,由电信ip城域网核心交换机来实现不同派出所网段之间的路由。
四、结语
以上几种方案,基于atm架构实现了公安基层单位与县公安局之间的端到端的pvc连接,其安全性等同于ddn、帧中继等专线。若采用基于ip架构的方案,公安网的ip包先在电信城域网的交换机上终结(落地),从原理上讲,在电信的交换机上进行流量监控的话,是可以截取并重组公安网通信信息的。同时采用ip架构的方案在服务质量保证上也明显不如基于atm架构,在网络拥塞和网络异常时很难保证公安专网的用户的通信带宽。因此我们一般建议采用基于atm架构的解决方案。
总的来说,采用adsl vpn来建立公安基层单位接入网,为我们提供了一种经济实用、安全可靠的接入网建设方案,在实际工作中得到了广泛应用。
本文链接:http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/244832.html
