本文档介绍使用RFC1483桥接时的端到端非对称数字用户线路(ADSL)架构。请注意,大多数早期版本的xDSL调制解调器是主机端10BaseT以太网与WAN端RFC1483封装的网桥帧之间的网桥。即使在今天,现场部署的大多数ADSL用户端设备(CPE)仍处于纯桥接模式。
基线架构的设计假设是使用RFC1483桥接模型和ATM作为核心主干,为最终用户提供高速互联网接入。本文档的内容基于现有部署的架构和一些内部测试。
RFC1483 描述了两种不同的经由 ATM 网络输送无连接网络互连通信的方法:路由协议数据单元(PDU)和桥接PDU。
路由允许在单个ATM虚电路(VC)上复用多个协议。 带有PDU的协议通过在PDU前加上IEEE 802.2逻辑链路控制(LLC)报头来标识。
桥接通过ATM虚电路隐式执行更高层协议复用。有关详细信息,请参阅RFC1483。
本文档仅指桥接PDU。
以下是RFC1483桥接架构的优点和缺点总结。此架构有一些重要的缺点,其中大多数是桥接模型固有的缺点。在客户站点部署ADSL时,注意到了一些缺点。
易于理解。
桥接非常易于理解和实施,因为不存在路由或用户身份验证要求等复杂问题。
CPE的最小配置。
服务提供商认为这一点很重要,因为它不再需要大量上门服务,也不再需要为支持更高级别的协议而大量投资人员。网桥模式下的CPE充当一个非常简单的设备。CPE中只涉及最少的故障排除,因为从以太网传入的所有信息都直接传到WAN端。
易于安装.
桥接架构因其简单化的性质而易于安装。建立端到端永久虚电路(PVC)后,上层协议中的IP等活动将变得透明。
为用户提供多协议支持。
当CPE处于桥接模式时,它不关心封装的上层协议。
在单一用户环境中访问互联网的理想选择。
由于CPE充当机顶盒,因此上层协议不需要复杂的故障排除。终端PC不需要额外安装客户端。
桥接在很大程度上依赖广播来建立连接。
成千上万用户之间的广播本质上是不可扩展的。造成这种情况的原因是广播消耗用户xDSL环路的带宽,而广播需要头端路由器的资源通过点对点(ATM PVC)介质复制广播数据包。
桥接本身是不安全的,需要可信的环境。
地址解析协议(ARP)应答可能被欺骗,网络地址被劫持。此外,广播攻击可在本地子网上发起,从而拒绝为本地子网的所有成员提供服务。
IP地址劫持是可能的。
在实施RFC1483桥接架构之前,请考虑以下问题。
当前和计划要服务的用户数量是多少?
用户是否需要相互通信?
这些用户是单用户住宅客户吗?您是否为可能在CPE后面有小LAN的小型办公室、家庭办公室(SOHO)客户提供服务?
CPE、数字用户线路接入复用器(DSLAM)和聚合邮局协议(POP)的部署和调配是什么?
网络接入提供商(NAP)和网络服务提供商(NSP)是否是同一实体?NAP的业务模式是否还包括销售批发服务(如安全的企业接入)和增值服务(如语音和视频)?
NSP是否想提供服务选择功能?
如何实现会计和计费?它是按使用情况、按带宽还是按服务?
独立本地交换运营商(ILEC)、竞争激烈的本地交换运营商(CLEC)或Internet服务提供商(ISP)的公司业务模式是什么?
NSP希望向最终用户提供哪些类型的应用?
上行和下行的数据流量是什么?
考虑到这些要点,以下是RFC1483桥接架构如何适应和扩展到不同业务模式的说明。
RFC1483桥接:网络架构
如前所述,RFC1483桥接架构存在一些固有问题。
IOS用户桥接功能可解决其中一些问题。将用户策略选择性应用到网桥组可控制ARP、未知数据包等在每个ADSL环路上的泛洪。例如,通过阻止ARP被广播,恶意用户无法发现另一用户的IP地址。
另一个解决方案是将所有用户放入一个子接口。正常的桥接行为不会将帧转发到接收帧的端口。实际上,这强制实施一种用户桥接,在这种桥接中过滤用户之间的所有数据包。但是,此方法有以下缺陷:
用户策略仅在子接口之间应用。要在两个不同用户之间应用用户策略,每个用户必须位于不同的ATM子接口中。
由于获取了第2层到第3层地址映射(通过ARP),恶意用户仍然可以劫持其他用户的连接。这可以通过使用其他用户的IP地址和使用不同的MAC地址生成ARP流量来实现。
第二种情况对运营商或ISP更为严重。在这种情况下,任何用户都可能将错误的地址分配给PC或连接以太网的设备(如打印机),并导致其他用户的连接问题。此类错误或攻击难以精确定位和纠正,因为只能通过跟踪犯罪者的MAC地址来跟踪犯罪者。
一些运营商尝试通过跨网桥组分隔用户和跨子接口实施用户桥接来解决此问题。在这种情况下,当需要集成路由和桥接(IRB)时,为每个用户分配一个唯一的网桥组和网桥组虚拟接口(BVI)。 此方法每个用户使用两个接口,管理起来很困难。
通过Cisco 6400上Cisco IOS®软件版本12.0(5)DC中引入的路由桥接封装(RBE)功能,以某些方式解决和解决了这些问题。
考虑到桥接的一些缺点,您可能会想为什么要实施桥接架构。答案很简单。现场安装的大多数ADSL CPE只能转发桥接帧。在这些情况下,NSP必须实施桥接。
如今,CPE可以通过ATM(PPPoA)、RFC1483桥接和RFC1483路由执行点对点协议。NSP确定是进行桥接还是PPP。此决策基于前面提到的实施注意事项以及每个架构的优缺点。
即使存在桥接架构的缺点,它也可能适用于小型ISP(可能不是NAP)或为数量较少的用户提供服务的NAP/NSP。在这些情况下,NAP通常将所有用户流量转发到ISP/NSP,NAP会终止这些用户。NAP可以选择使用ATM或帧中继作为第2层协议来提供用户流量。
使用当前DSLAM的NAP只能使用ATM传输用户流量。在这种情况下,ISP应将ATM永久虚电路(PVC)端接到路由器。
如果ISP/NSP没有ATM接口,则可使用带有封装ATM数据交换接口(DXI)(可能在其他设备上)的常规串行接口来接受传入的桥接PDU。
在这两种情况下,NSP/ISP可能必须在路由器上配置IRB(使用封装ATM DXI时或在透明桥接时除外)。 如今,在NSP/ISP路由器上终止桥接用户的最常见做法是实施IRB。(预计服务提供商将逐步迁移到RBE。)
由于上述一些限制,NSP/ISP可能会选择为每组用户配置单独的网桥组,或在一个网桥组中配置所有用户。通常做法是配置几个网桥组,然后在单独的多点接口下配置所有用户。如前所述,同一多点接口下的用户可能无法相互通信。如果某些用户需要通信,请在不同接口下配置这些用户(他们仍可位于同一网桥组中)。
对于小型ISP/NSP,用于终止桥接用户的最常见路由器是Cisco 3810、Cisco 3600和Cisco 7200。对于拥有大型用户群的ISP/NSP,首选Cisco 6400。在计算这些路由器的内存要求之前,请考虑与任何其他环境相同的因素:用户数、带宽和路由器资源。
以下是架构的要点。
思科提供与思科和非思科DSLAM一起运行的各种CPE。每个CPE的配置无问题,无需用户输入。主要要求是CPE定义ATM虚拟路径标识符/虚拟信道标识符(VPI/VCI)。 这样,CPE便能与DSLAM一起训练并开始传输流量。在大多数情况下,NAP会选择为所有用户配置相同的VPI/VCI。NAP通常在用户位置部署CPE之前预先调配CPE。
在桥接架构中,CPE及其部署的主要考虑事项是NAP在现场安装后如何管理CPE。这是一个问题,因为桥接不需要CPE的IP地址。但是,Cisco CPE可以在桥接模式下为其调配IP地址。NAP可使用此功能Telnet至CPE以收集统计信息或帮助用户进行故障排除。为了允许通过DSLAM管理CPE,正在添加新的代理元素功能。
在桥接模式下,如果没有为CPE分配管理IP地址,则运营商只能通过CPE管理端口管理CPE。如果分配了管理IP地址,则操作员可以使用超文本传输协议(HTTP)浏览器管理设备。但是,此选项通常不可用。
当CPE处于桥接模式时,服务目标(可以是NSP/ISP)应提供IP地址,该地址将用作CPE后PC的默认网关。这些PC必须设置为正确的默认网关。否则,即使调制解调器经过培训(这意味着CPE和DSLAM之间的物理层良好),用户也可能无法传递流量。如果使用动态主机配置协议(DHCP)分配用户DHCP地址,则这不是问题,因为默认路由器由DHCP服务器返回。
RFC1483桥接:IP 管理
在桥接环境中,IP地址由位于服务目的地(通常在NSP/ISP网络中)的DHCP服务器分配给终端站。这是最常见的方法,大多数NSP/ISP使用此模型实施。
另一种方法是为用户提供静态IP地址。在这种情况下,IP地址的子网或单个IP地址会根据用户要求为每个用户分配。例如,希望托管Web服务器或电子邮件服务器的用户需要一组IP地址,而不是单个IP地址。问题在于NSP/ISP必须提供公有IP地址,并且可能很快耗尽这些地址。
一些NSP/ISP已为其用户提供私有IP地址。然后,在服务目的路由器上执行网络地址转换(NAT)。
为一个网桥组(有多个用户)提供完整子网的NSP/ISP应知道,一个用户可能会为PC或以太网连接设备(如打印机)分配错误的地址,并导致另一用户的连接问题。
NSP/ISP也可以限制一次可以访问服务的PC的数量。这通过配置以太网接口上的最大用户数来完成。
但是,此方法存在以下缺陷。如果三台PC配置为使用该服务,并且其中一台用户在其中一台PC空闲时添加了网络打印机(其MAC地址为自己),则PC的MAC地址将从CPE的ARP条目中消失。
如果打印机在PC空闲时变为活动状态,则打印机的MAC地址将输入到ARP条目中。当用户决定使用此PC访问Internet时,该PC将不可用,因为CPE已允许三个MAC条目。可以使用限制CPE用户的策略,但应谨慎地修复数字。
RFC1483桥接:端到端PVC
在带桥接的端到端PVC架构中,通过在每跳之间创建PVC来到达服务目标。但是,对NAP/NSP来说,管理这些PVC可能会很困难。此外,可通过ATM云定义的PVC数量有限。此限制影响许多采用端到端PVC模型的NAP/NSP。对于每个用户,整个路径上将有一组固定的、唯一的VPI/VCI。交换虚电路(SVC)有助于克服其中的一些问题,许多接入提供商正在迁移到支持IP的核心网络以解决虚电路耗尽问题。
NSP/ISP还可以选择使用思科服务选择网关(SSG)功能为用户提供不同的服务。
在此架构中,通过在第2层的公司路由器中直接终止用户流量PVC,实现对公司网关的安全访问。当与其他服务目标共享数据时,基于PVC的架构本身是安全的。
RFC1483桥接:操作说明
Cisco 6xx CPE默认为路由模式。因此,当它配置为桥接模式并安装在用户位置时,使用必要的分离器/微型滤波器时,它会在通电时自动进行训练。当CPE启动时,它表示CPE和DSLAM之间的物理层正常。根据终端站的IP地址的配置方式(即,是通过DHCP服务器分配的IP地址,还是具有默认网关信息的静态IP地址),终端站可以与服务目标通信。
以下是数据包流的说明。
用户数据从PC封装到IEEE 802.3中,并进入Cisco 6xx CPE。然后将其封装到逻辑链路控制/子网访问协议(LLC/SNAP)报头中,该报头又封装在ATM适配层5(AAL5)中并移交给ATM层。
然后,ATM信元通过ADSL传输技术、无载波幅度和相位(CAP)调制或离散多音(DMT)调制,并通过线路发送到DSLAM。在DSLAM处,这些调制信号首先由POTS分路器接收,该分路器检查信号的频率是低于还是高于4 kHz。在识别信号大于4 kHz后,它会将信号传送到DSLAM中的ADSL传输单元 — 中心局(ATU-C)。
ATU-C解调信号并检索ATM信元,ATM信元随后被传递到多路复用设备(MUX)中的网络接口卡(NIC)。 NIC查看ATM报头中的用户端VPI/VCI信息,并做出将转发到服务目的路由器的另一个VPI/VCI的交换决策。服务目标路由器在特定ATM接口上收到这些信元后,会重新组装信元,查看上层,并将信息传递给BVI接口。BVI接口查看第3层信息并决定数据包的传送位置。
RFC1483桥接模型更适合扩展性不成问题的小型ISP或企业接入。由于它非常易于理解和实施,因此已成为许多小型ISP的首选。但是,由于一些安全性和可扩展性问题,桥接架构正在失去其普及性。NSP/ISP选择RBE或转向PPPoA或PPPoE,这些RBE具有高度可扩展性且非常安全,但更复杂且难以实施。