水利部水利信息中心  李亚中  付 静，100053

　　随着水利信息化工作的不断推进，水利系统办公自动化程度越来越高，各级水利单位都已逐步建设成连接单位内各部门的政务外网，实现了信息资源的共享、网上办公和互联网资料查找等多项功能。但与此同时如何将目前各单位的政务外网进行有效延伸、建设水利行业社区宽带接入网，使社区用户在家也可以实现远程办公、处理紧急事务等，已成为水利信息工作者急需解决的问题。本文试从需求分析、宽带接入技术的选择、宽带用户认证方案的选择及网络安全等方面加以论述。

　　一、水利行业社区用户上网需求分析
　　水利行业社区用户上网需求包括在充分利用现有网络资源、尽可能保护先期投资的基础上实现远程办公、远程信息共享、互联网资料查找、多媒体宽带应用等多个方面。目前，在水利行业中大部分社区采用调制解调器拨号上网方式，由于行业内电话线路和号码资源的紧张，难以满足社区用户安装两部电话的要求，使上网和打电话不能同时进行，且拨号上网速度慢，易掉线，已经不能满足社区用户的要求，必须尽快建设水利行业自己的社区宽带接入网。

　　二、宽带接入技术的选择
　　建设社区宽带接入网常用的接入技术有数字用户线（xDSL）接入、电缆调制解调器（Cable Modem）接入、光纤接入、以太网接入、电力线通信（PLC）接入、宽带固定无线接入等。以下就这几种宽带接入技术的特点和利弊予以介绍。
　　1、数字用户线（xDSL）接入
　　基于铜缆的数字用户线接入技术是一种充分利用现有电话线路资源的宽带接入方式。xDSL中,"x"代表着不同种类的数字用户线技术。各种数字用户线路技术的不同之处,主要表现在传输速率和距离及上、下行速率对称与非对称的区别上。xDSL的传输距离依产品和厂商的不同在300m~6km之间，传输速率的差别也很大。对称DSL技术主要应用于通信、校园网互连等领域，可以同时传送多路话音、视频和数据。非对称DSL技术适用于对双向带宽要求不一样的应用，如Web浏览、视频点播（VOD）、信息发布等，因此适用于社区宽带接入。xDSL的优点是利用现有资源、成本低、实施快，对电话业务没有影响；频带专用、独享带宽。缺点是对线路要求苛刻，传输距离对传输速率有较大影响，是一种过渡性技术。此外，利用电话线路资源的宽带上网技术还有HomePNA。HomePNA 1.0版传输速率可达对称1Mbit/s，传输距离300m~500m，建设成本较xDSL更低。
　　2、电缆调制解调器（Cable Modem）接入
　　基于有线电视光缆同轴混合（HFC）网的电缆调制解调器接入技术是宽带技术中较为成熟的。该技术的优点是传输速率高，下行速率可达10Mbit/s~30Mbit/s；可利用现有的HFC网络，但需进行双向改造。缺点是在网络的双向改造中，工程施工和系统调试较复杂；电缆调制解调器用户采用共享带宽方式，当社区用户数增加时，每个用户所获带宽将减少。
　　3、光纤接入技术
　　基于光缆的光纤接入技术是未来宽带网络的发展方向。该技术分为无源光网（Passive Optical Network）接入和有源光网（Active Optical Network）接入两种 。无源光网接入主要采用基于ATM的无源光网（APON），其下行速率为622Mbit/s或155Mbit/s，上行速率为155Mbit/s。有源光网接入主要采用SDH技术，可提供高达数10G的巨大带宽。光纤接入的优点是传输速率高，网管能力强，维护工作简单，运行维护成本低。缺点是技术复杂、建设成本高。
　　4、以太网接入技术
　　基于双绞线和光缆的以太网接入技术正在转变成一种主导的社区接入方式。该技术的优点是应用广泛，技术成熟；性价比、可扩展性及可靠性高；以太网协议是目前与IP配合最好的协议之一。可按需实现10M/100M/1Gbit/s的网络传输,10Gbit/s以太网系统业已问世。采用专用的无碰撞全双工光纤连接，可使以太网的传输距离大为扩展。缺点是对已建成的社区要求重新布线，工期长，施工难度较大。
　　5、电力线通信（PLC）接入技术
　　基于供电线路的电力线通信（Power Line Communication）接入技术是一种新兴的宽带接入方式。PLC利用1.6M到30M频带范围传输信号。在发送时，利用GMSK或OFDM调制技术将用户数据进行调制，然后在电力线上进行传输，在接收端，先经过滤波器将调制信号滤出，再经过解调得到原数据。目前的传输速率依具体设备不同在4.5Mbit/s~45Mbit/s之间。传输距离随电力负荷变化而变，在100m到数公里之间。 PLC设备分局端和调制解调器，局端一般设置在社区配电室，负责与内部PLC调制解调器的通信和与外部网络的连接。在通信时，来自用户的数据经调制解调器调制后，通过用户的配电线路传输到局端设备，局端将信号解调出来，再转到外部的互联网。PLC的优点是实现成本低、电力线的覆盖范围广、速率高、便捷。缺点是没有技术标准，未达到实用阶段；接入性能受电网特性影响，不够稳定；采用共享带宽方式；对短波通信的干扰等。
　　6、宽带固定无线接入技术
　　宽带固定无线接入技术代表了宽带接入领域一种不可忽视的发展趋势。主要的宽带固定无线接入技术有多路多点分配业务（MMDS）、直播卫星系统（DBS）、本地多点分配业务（LMDS）和无线局域网。宽带固定无线接入技术的优点是敷设开通快，维护简单，用户较密集时成本低，可作为有线接入的重要补充。缺点是易受建筑物阻挡，对天气、气候状况敏感，易受同频干扰。
　　建设水利社区宽带接入网，选择宽带接入技术，需要综合考虑网络应用对带宽的需求、传输介质、网络安全、周边环境等多种因素，要本着因地制宜的原则。虽然从技术发展的角度看，光纤接入是宽带接入网最终的发展方向，但就目前而论在新建社区或住宅楼应优先考虑以太网接入技术；在老社区、老住宅楼应充分考虑利用现有电话线路资源，采用xDSL技术就是一种较好的解决方案。

　　三、宽带用户认证方案的选择及网络安全
　　用户认证是保证网络安全的重要实现手段。认证包括鉴别（Authentication）、授权（Authorization）和计费（Accounting）三个方面，也称为AAA或3A。一般来讲，完成宽带用户认证需要用户端设备、网络接入设备（AAA服务器的客户端）和AAA服务器（RADIUS服务器）三者之间的通信和协调，有时也需要其他设备的配合。网络接入设备与AAA 服务器之间的通信协议通常采用RADIUS协议，为实现增强功能，也可采用扩展的RADIUS协议，即俗称的RADIUS+。网络接入设备与AAA服务器通过RADIUS协议的认证的简要过程如下：
　　1. 网络接入设备向AAA服务器发出接入请求（Access Request）包，其中包含用户的帐号、密码、端口号、端口类型等；
　　2. AAA服务器向网络接入设备回送接入响应（Access Response）包，其中包含用户的合法性和用户的一些设置，如IP地址，掩码，DNS服务器，上网带宽，上网时段等；
　　3. 网络接入设备不断向AAA服务器发送消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，会话号(SESSION_ID)、帐号等。
　　需要我们做出选择的主要是用户端设备与网络接入设备之间的通信方式。按不同的通信方式，大致可分为PPPoE、Web和IEEE 802.1x三种认证方式，下面分别进行介绍。
　　1、PPPoE认证
　　PPPoE（Point-to-Point Protocol over Ethernet）技术采用以太网报文封装PPP报文，由于IP包和PPP报文不兼容，必须由网络接入设备终结PPP报文并转换成IP报文。用户和网络接入设备之间采用以太网封装PPP报文，其通信过程包括两个阶段，即发现阶段（Discovery stage）和点对点会话阶段（PPP Session stage）。当一台客户端设备希望启动一个PPPoE会话，它首先必须向网络广播Discover包来确定对端的以太网MAC地址，并建立一个PPPoE的会话号。网络接入设备向AAA服务器转发用户信息，AAA服务器返回认证响应。如果认证通过，用户就可以分配到IP地址享受服务。PPPoE方式的整个通信过程都必须进行PPPoE的封装，对用户控制能力强，但网络性能和设备处理效率低，随着用户数量的增加对网络接入设备的性能要求也会增加，否则容易形成流量瓶颈。
　　2、Web认证
　　Web认证方式各设备厂商具体实现并不完全一致，但其认证过程大致为：用户开机自设IP地址或通过DHCP服务器分配IP地址－>网络接入设备通过对该IP地址进行强制URL访问到登陆（Portal）页面－>用户输入用户帐号信息并发往AAA服务器－>AAA服务器反馈认证成功信息－>网络接入设备将用户VLAN、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。这种方式无特殊封装，实现了认证和业务流分离，网络性能和设备处理效率较高，但对用户控制能力相对较弱。另外，认证层次过高会影响认证效率，也会对某些网络资源的安全性带来一定隐患。
　　3、IEEE 802.1x认证
　　IEEE 802.1x基于端口的访问控制协议（Port-Based Network Access Control Protocol）是IEEE为了解决基于端口（包括物理端口和逻辑端口如MAC地址、VLAN等）的接入控制而制定的标准。其认证阶段采用EAP报文，EAP报文是PPP报文的扩展，其认证阶段与PPPoE方式类似。其认证过程为：用户通过客户端软件发起认证（EAPOL报文）－>网络接入设备终结EAPOL报文并向AAA服务器（通常采用针对802.1x 进行扩展的RADIUS服务器）转发EAP报文－>认证通过－>DHCP服务器分配IP地址－>网络接入设备受控端口打开－>正常通信。由此可以看出，IEEE 802.1x认证也实现了认证和业务流分离，仅在认证阶段进行EAP封装，正常通信过程中采用TCP/IP协议，网络性能和设备处理效率较高。此外，它基于以太网内核，实现比较简单，与以太网设备能够很好融合，设备成本低。但IEEE 802.1x认证对用户控制能力相对较弱。
　　宽带认证方式的选择，需要考虑认证协议的标准化程度，用户使用的方便性，网络建设成本和安全性，以及网络应用所面对的用户群体等多个方面。目前的认证技术各有优缺点，总体而言，PPPoE认证技术成熟，但效率低，对组播等新业务支持能力差；IEEE 802.1x认证简洁高效，可以很好支持组播业务，设备选择范围大，但存在对用户控制能力较弱和客户端软件标准性较差的不足；Web认证可以实现较多的增值业务，同时可以很好支持组播业务，但存在对用户控制能力较弱和没有统一的标准的不足。另外，保证宽带接入网安全仅靠认证技术是不够的，在资金允许的条件下还应考虑设置防火墙、访问日志服务器等措施以及用户接入策略控制来进一步提高网络的整体安全性。

　　结束语
　　以上是我们对水利行业社区宽带接入网建设的几点思考，希望能对大家有所帮助。在水利事业向信息化飞速发展的今天，抓紧规划、建设好水利行业社区宽带接入网，必将造福于我们水利人，必将造福于我们水利事业。

        （本文发表在治淮杂志2003年第9期上）