中興通訊端到端傳輸解決方案實(shí)現(xiàn)承載業(yè)務(wù)“光速直達(dá)”

隨著5G新業(yè)務(wù)的發(fā)展，接入業(yè)務(wù)的帶寬需求飛速增長(zhǎng)，中興通訊可以提供端到端的傳輸解決方案，構(gòu)建一個(gè)涵蓋城域接入層、城域匯聚層、城域核心層以及長(zhǎng)途干線層的“端到端”網(wǎng)絡(luò)，實(shí)現(xiàn)承載業(yè)務(wù)“光速直達(dá)”，是未來(lái)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)。

通信網(wǎng)絡(luò)分為三層，由下至上分別是接入層、匯聚層、核心層。承載網(wǎng)就是處于接入網(wǎng)和核心網(wǎng)之間的網(wǎng)絡(luò)部分。

圖1 承載網(wǎng)在通信網(wǎng)絡(luò)中的位置

為了滿足接入業(yè)務(wù)的帶寬需求飛速增長(zhǎng)，承載網(wǎng)光傳送網(wǎng)產(chǎn)品應(yīng)運(yùn)而生，光傳送網(wǎng)（optical transport network）簡(jiǎn)稱OTN。中興通訊的承載網(wǎng)OTN產(chǎn)品分為：

（1）ZXONE 9700分組OTN產(chǎn)品

ZXONE 9700系列產(chǎn)品，支持10G/40G/100G/400G傳輸速率，可實(shí)現(xiàn)28.8T/14.4T/9.2T/4.4T ODUk的大容量電層交叉和10G/40G/100G/400G波長(zhǎng)的光層交叉及分組交換功能。其適用于骨干核心層以及本地/城域網(wǎng)絡(luò)，可充分滿足運(yùn)營(yíng)商對(duì)大顆粒數(shù)據(jù)業(yè)務(wù)的透明傳輸、靈活調(diào)度、匯聚處理以及對(duì)業(yè)務(wù)管理監(jiān)控的需求。

（2）ZXONE 19700產(chǎn)品

面向100G和超100G的超大交叉容量OTN設(shè)備ZXONE 19700系列產(chǎn)品，支持10G/40G/100G/200G/400G/1T傳輸速率，具備業(yè)界最大的電層交叉容量和10G/40G/100G/400G/1T波長(zhǎng)的光層交叉及分組交換功能，適用于國(guó)干、省干和城市核心調(diào)度節(jié)點(diǎn)，可充分滿足運(yùn)營(yíng)商對(duì)大顆粒數(shù)據(jù)業(yè)務(wù)的透明傳輸、靈活調(diào)度、匯聚處理以及對(duì)業(yè)務(wù)管理監(jiān)控的需求。

（3）ZXWM M920骨干OTN產(chǎn)品

ZXWM M920設(shè)備是中興通訊推出的新一代大容量、超長(zhǎng)距的智能骨干網(wǎng)OTN產(chǎn)品，該設(shè)備應(yīng)用了先進(jìn)的傳輸技術(shù)與高度的集成技術(shù)，面向全I(xiàn)P化傳輸，全面支持OTN標(biāo)準(zhǔn)，支持GMPLS/WASON控制平面的加載，應(yīng)用于國(guó)際、國(guó)家、省際、省內(nèi)干線，本地交換網(wǎng)以及各種專網(wǎng)的建設(shè)。

（4）ZXMP M721城域邊緣OTN產(chǎn)品

ZXMP M721是定位于城域匯聚接入層的新一代OTN光網(wǎng)絡(luò)產(chǎn)品，具有小身材、大能耐、低功耗、高可靠特性。支持80×10G/100G/200G DWDM系統(tǒng)，并支持模塊化平滑升級(jí)。DWDM系統(tǒng)支持多跨段無(wú)電中繼傳輸（18×22 dB、7×30 dB 、1×45dB等）。可支持2Mbit/s~100Gbit/s的全業(yè)務(wù)接入：STM-1/4/16/64；FE， GE， 10GE WAN，10GE LAN，100GE；1G/2G/4G/8G/10G/16G FC，ESCON，F(xiàn)ICON，DVB-ASI，SD-SDI/HD-SDI/3G-SDI；OTU1/2/2e/1f/1IB/4；E1等。ZXMP M721是一款高集成度的緊湊型OTN產(chǎn)品，其單子架為DX61（1U）、DX62（2U）、DX63（3U）、CX62A（2U）、CX63A（3U）、CX66（6U）和CX66A（6U），可以節(jié)約機(jī)房面積，有效降低電源功耗，顯著降低運(yùn)行和維護(hù)費(fèi)用，適應(yīng)網(wǎng)絡(luò)的綠色環(huán)保需求。

（5）ZXUCP A200智能光網(wǎng)絡(luò)控制平面產(chǎn)品

ZXUCP A200是中興通訊推出的基于WDM/OTN的WASON控制平面軟件產(chǎn)品，基于波長(zhǎng)交叉和ODUk電交叉技術(shù)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的自動(dòng)化、智能化，以及更加高效可靠的業(yè)務(wù)承載。

承載網(wǎng)OTN產(chǎn)品在實(shí)際使用中以網(wǎng)元（Network Element，簡(jiǎn)稱NE）的屬性存在，每個(gè)網(wǎng)元就是由一個(gè)獨(dú)立的設(shè)備或者多個(gè)設(shè)備按照主從子架進(jìn)行級(jí)聯(lián)共同組成，業(yè)務(wù)就通過(guò)在不同網(wǎng)元之間進(jìn)行傳遞。每個(gè)網(wǎng)元都存在北向接口，用戶可以通過(guò)設(shè)備的北向接口使用如下服務(wù)與設(shè)備進(jìn)行通信與管理，比如sftp，ssh，netconf，snmp，網(wǎng)絡(luò)管理接口（EMS口）服務(wù)等。

圖2 承載網(wǎng)OTN網(wǎng)絡(luò)中網(wǎng)元組網(wǎng)和北向接口服務(wù)

網(wǎng)元的這些北向接口服務(wù)都需要進(jìn)行登錄，認(rèn)證授權(quán)。因此在每個(gè)網(wǎng)元設(shè)備上都存在AAA模塊來(lái)實(shí)現(xiàn)對(duì)北向接口服務(wù)的登錄認(rèn)證，授權(quán)。AAA是Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（計(jì)費(fèi)）的簡(jiǎn)稱。它提供對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)三種安全功能。

（1）Authentication（認(rèn)證）：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。

（2）Authorization（授權(quán)）：依據(jù)認(rèn)證結(jié)果開放預(yù)先配置的操作權(quán)限級(jí)別的網(wǎng)絡(luò)服務(wù)給用戶。

（3）Accounting（計(jì)費(fèi)）：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。

AAA又分為AAA本地認(rèn)證和AAA遠(yuǎn)程認(rèn)證兩種模式。

（1）AAA本地認(rèn)證：將用戶信息配置在接入服務(wù)器上。

（2）AAA遠(yuǎn)程認(rèn)證：與RADIUS，TACACS+等協(xié)議配合使用，接入服務(wù)器作為客戶端，與RADIUS，TACACS+服務(wù)器通信，用戶的配置信息存放在RADIUS，TACACS+服務(wù)器上。

RADIUS：RADIUS（Remote Authentication Dial-In User Server，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）是一種分布式的、C/S架構(gòu)的信息交互協(xié)議，能包含網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾，常應(yīng)用在既要求較高安全性、又允許遠(yuǎn)程用戶訪問(wèn)的各種網(wǎng)絡(luò)環(huán)境中。協(xié)議定義了基于UDP（User Datagram Protocol）的RADIUS報(bào)文格式及其傳輸機(jī)制，并規(guī)定UDP端口1812、1813分別作為認(rèn)證、計(jì)費(fèi)端口。RADIUS最初僅是針對(duì)撥號(hào)用戶的AAA協(xié)議，后來(lái)隨著用戶接入方式的多樣化發(fā)展，RADIUS也適應(yīng)多種用戶接入方式，如以太網(wǎng)接入等。它通過(guò)認(rèn)證授權(quán)來(lái)提供接入服務(wù)，通過(guò)計(jì)費(fèi)來(lái)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用。

TACACS+：TACACS+（Terminal Access Controller Access Control System，終端訪問(wèn)控制器控制系統(tǒng)協(xié)議）是在TACACS協(xié)議的基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議的功能類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn)NAS與TACACS+服務(wù)器之間的通信。

RADIUS與TACACS+的比較：

圖3 對(duì)比RADIUS與TACACS+

AAA遠(yuǎn)程認(rèn)證原理：

AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于NAS（Network Access Server，網(wǎng)絡(luò)接入服務(wù)器）上，服務(wù)器上則集中管理用戶信息。NAS對(duì)于用戶來(lái)講是服務(wù)器端，對(duì)于服務(wù)器來(lái)說(shuō)是客戶端。AAA的基本組網(wǎng)結(jié)構(gòu)如下圖4。

當(dāng)用戶想要通過(guò)某網(wǎng)絡(luò)與NAS建立連接，從而獲得訪問(wèn)其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS起到了驗(yàn)證用戶的作用。NAS負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)信息透?jìng)鹘o服務(wù)器（RADIUS服務(wù)器或TACACS+服務(wù)器），RADIUS協(xié)議或TACACS+協(xié)議規(guī)定了NAS與服務(wù)器之間如何傳遞用戶信息。

TACACS+的典型應(yīng)用是對(duì)需要登錄到設(shè)備上進(jìn)行操作的終端用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)。設(shè)備作為TACACS+的客戶端，將用戶名和密碼發(fā)給TACACS+服務(wù)器進(jìn)行驗(yàn)證。用戶驗(yàn)證通過(guò)并得到授權(quán)之后可以登錄到設(shè)備上進(jìn)行操作。

圖4 AAA遠(yuǎn)程認(rèn)證原理圖

中興通訊的承載網(wǎng)光傳送網(wǎng)絡(luò)產(chǎn)品支持以上三種認(rèn)證方式，詳見如下：

（1）支持AAA本地認(rèn)證。

（2）支持基于RADIUS的AAA 遠(yuǎn)程認(rèn)證。

（3）支持基于TACACS+的AAA遠(yuǎn)程認(rèn)證。

如圖2所示，在過(guò)去很長(zhǎng)一段時(shí)間，通信網(wǎng)絡(luò)中廣泛應(yīng)用的是本地AAA認(rèn)證。圖中每個(gè)網(wǎng)元（NE）上都存在一個(gè)AAA模塊，用戶的認(rèn)證授權(quán)利用每個(gè)網(wǎng)元自身的用戶數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)對(duì)北向接口提供的服務(wù)用戶進(jìn)行登錄認(rèn)證，授權(quán)。這個(gè)認(rèn)證授權(quán)過(guò)程都是在每個(gè)網(wǎng)元上單獨(dú)完成的。這種本地AAA認(rèn)證方式存在以下幾個(gè)問(wèn)題：

（1）賬號(hào)維護(hù)工作量大。用戶需要新增或者修改，刪除賬號(hào)信息，需要逐個(gè)登錄每個(gè)網(wǎng)元進(jìn)行配置，工作量很大，操作起來(lái)非常耗時(shí)。

（2）存在后門賬號(hào)引起安全風(fēng)險(xiǎn)。由于通信網(wǎng)絡(luò)中網(wǎng)元數(shù)量很多，維護(hù)管理人員可能不會(huì)及時(shí)發(fā)現(xiàn)某個(gè)網(wǎng)元上殘留的賬號(hào)，導(dǎo)致存在客戶未知賬號(hào)導(dǎo)致入侵風(fēng)險(xiǎn)。

為了解決以上2個(gè)AAA本地認(rèn)證存在的多網(wǎng)元用戶信息維護(hù)問(wèn)題，中興通訊現(xiàn)在已經(jīng)在承載網(wǎng)光傳送網(wǎng)絡(luò)中使用AAA遠(yuǎn)程認(rèn)證。并且推薦使用更為安全的基于TCP協(xié)議的TACACS+協(xié)議。中興通訊承載網(wǎng)光傳送網(wǎng)絡(luò)中的每個(gè)網(wǎng)元啟用AAA遠(yuǎn)程TACACS+認(rèn)證功能后，每個(gè)網(wǎng)元的功能相當(dāng)于AAA遠(yuǎn)程認(rèn)證中的NAS角色。網(wǎng)元設(shè)備作為TACACS+的客戶端，將遠(yuǎn)程用戶登錄輸入的用戶名和密碼發(fā)給TACACS+服務(wù)器進(jìn)行驗(yàn)證。在TACACS+服務(wù)器上對(duì)收到的用戶賬號(hào)數(shù)據(jù)與TACACS+服務(wù)器里存儲(chǔ)的用戶賬號(hào)數(shù)據(jù)進(jìn)行比對(duì)，用戶驗(yàn)證通過(guò)并得到授權(quán)之后可以登錄到設(shè)備上進(jìn)行操作。

圖5 承載網(wǎng)OTN網(wǎng)絡(luò)中啟用AAA 遠(yuǎn)程TACACS+認(rèn)證后的網(wǎng)元組網(wǎng)和北向接口服務(wù)

中興通訊在承載網(wǎng)光傳送網(wǎng)絡(luò)中，通過(guò)啟用AAA遠(yuǎn)程TACACS+認(rèn)證功能，維護(hù)多個(gè)網(wǎng)元的賬號(hào)信息只需要在一臺(tái)TACACS+服務(wù)器上進(jìn)行維護(hù)，從而減輕了運(yùn)維人員的工作量，同時(shí)減少了某個(gè)網(wǎng)元上殘余后門賬號(hào)的風(fēng)險(xiǎn)。

責(zé)任編輯：gt