楊　超　許　光

摘要：文章介紹了ADSL VPN技術(shù)的基本原理，從組網(wǎng)模式、服務(wù)質(zhì)量、安全性、接入能力等幾個(gè)方面對(duì)幾個(gè)ADSL VPN組網(wǎng)方案進(jìn)行了分析和比較。

關(guān)鍵詞：ADSL接入方式；公安四級(jí)網(wǎng)；公安信息化建設(shè)；科技強(qiáng)警

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-2374（2009）07-0131-02

一、概述

隨著“金盾工程”的推進(jìn)，公安信息化建設(shè)一日千里，科技強(qiáng)警的觀點(diǎn)深入人心。建設(shè)一張完整、高效、保密、覆蓋全面的公安專(zhuān)網(wǎng)，是實(shí)施“金盾工程”的前提和保證。作為一個(gè)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)完全物理隔離的綜合性寬帶業(yè)務(wù)數(shù)字網(wǎng)，從公安部到省公安廳被稱作“一級(jí)網(wǎng)”，省公安廳到市公安局被稱作“二級(jí)網(wǎng)”，地市公安局到縣區(qū)公安局被稱作“三級(jí)網(wǎng)”，縣區(qū)公安局到基層“三所三隊(duì)”（派出所、看守所、車(chē)管所；交警隊(duì)、刑警隊(duì)、巡警隊(duì)）被稱作“四級(jí)網(wǎng)”或“接入網(wǎng)”。

我局至省廳的公安二級(jí)網(wǎng)于1999開(kāi)通，2003底開(kāi)通了至縣局的公安三級(jí)網(wǎng)，2004開(kāi)始建設(shè)公安接入網(wǎng)。作為一個(gè)西部欠發(fā)達(dá)地級(jí)市，鄉(xiāng)村派出所占基層所隊(duì)的主要份額，因缺少光纖資源或維護(hù)成本太高等原因，至2005年初，仍有部分偏遠(yuǎn)鄉(xiāng)村派出所無(wú)法接入公安網(wǎng)。此時(shí)，公安部發(fā)布了《關(guān)于公安接入網(wǎng)租用ADSL電路等接入公安信息網(wǎng)問(wèn)題的通知》，從政策上肯定了以ADSL VPN方式接入公安網(wǎng)的可行性。下面，本文就ADSL VPN的幾種聯(lián)網(wǎng)方式，從原理、組網(wǎng)模式、服務(wù)質(zhì)量、安全性等幾方面進(jìn)行比較，并針對(duì)公安網(wǎng)的特殊性對(duì)ADSL接入方式提出了

改進(jìn)。

二、ADSL原理

DSL技術(shù)是基于普通電話線的寬帶接入技術(shù)，它在一根銅線上分別傳送數(shù)據(jù)和語(yǔ)音信號(hào)。根據(jù)上下行速率的差異，DSL可分為對(duì)稱DSL和非對(duì)稱DSL。ADSL是一種典型的非對(duì)稱數(shù)字用戶線路，它支持上行512K~1Mbps、下行1~8Mbps的速率，有效傳輸距離達(dá)3~5公里。

ADSL用戶端包括分離器、ADSL Modem等設(shè)備。ADSL局端包括局端濾波器、ATU-C和接入多路復(fù)用系統(tǒng)DSLAM。DSLAM按接口可以分為ATM DSLAM和IP DSLAM，在組網(wǎng)時(shí)分別被接入ATM骨干網(wǎng)或者IP骨干網(wǎng)。

（一）ATM DSLAM的原理

用戶的上行信號(hào)，在ADSL Modem中，通過(guò)AAL5的SAR子層的分段和重組功能，實(shí)現(xiàn)MAC幀到ATM信元的轉(zhuǎn)換。經(jīng)DSL調(diào)制后，信號(hào)通過(guò)電話線傳輸?shù)骄侄说腄SLAM。局端DSLAM對(duì)ADSL信號(hào)進(jìn)行解調(diào)，恢復(fù)成ATM信元格式，進(jìn)行復(fù)接或交換，對(duì)不同的ATM業(yè)務(wù)進(jìn)行分別處理，與上層的ATM交換機(jī)建立連接，為用戶提供永久虛電路（PVC）。

下行的信號(hào)以ATM信元方式傳送到ATM DSLAM。DSLAM針對(duì)不同的ATM業(yè)務(wù)采取不同的處理措施，如包丟棄原則、緩存機(jī)制、流控機(jī)制等，然后又分接到各對(duì)應(yīng)的ADSL端口，進(jìn)行ADSL信號(hào)調(diào)制后傳送到相應(yīng)的ADSL Modem中。

ATM DSLAM設(shè)備基于ATM的先進(jìn)技術(shù)設(shè)計(jì)，支持CBR、rt—VBR、nrt—VBR、UBR等多種ATM業(yè)務(wù)類(lèi)型。且ATM是面向連接的傳輸，其PVC（或SVC）邏輯通道互相隔離，所以具有天然的安全機(jī)制，不會(huì)發(fā)生泄密的情況。

（二）IP DSLAM的原理

IP DSLAM在ADSL信號(hào)的處理上和ATM DSLAM基本一致。但在DSLAM中，ATM信號(hào)并不進(jìn)行復(fù)接和業(yè)務(wù)類(lèi)型處理，而是通過(guò)AAL5 SAR適配功能將ATM信元還原成相應(yīng)的MAC幀，即所謂的ATM終結(jié)。在ATM信號(hào)終結(jié)的過(guò)程中，同時(shí)建立用戶的MAC地址與ATM PVC的一一對(duì)應(yīng)關(guān)系。在ATM信號(hào)終結(jié)之后，在MAC幀的基礎(chǔ)上進(jìn)一步進(jìn)行處理和設(shè)立相關(guān)標(biāo)記。

網(wǎng)絡(luò)下行的信號(hào)則剛好相反，從上一級(jí)的設(shè)備發(fā)送到IP DSLAM的MAC幀信號(hào)，完成相應(yīng)的三層或者二層功能的信號(hào)處理，如路由分析或者VLAN標(biāo)志分析等，最終通過(guò)AAL5 SAR把MAC幀轉(zhuǎn)換成ATM信元，并實(shí)現(xiàn)從MAC地址到ATM PVC的轉(zhuǎn)換對(duì)應(yīng)。ATM信號(hào)通過(guò)ADSL芯片處理成ADSL信號(hào)格式，并通過(guò)調(diào)制傳輸?shù)竭h(yuǎn)端的ADSL Modem。

從以上兩種方式可以看出，ATM DSLAM是全程ATM的連接，而IP DSLAM則是在ATM DSLAM的基礎(chǔ)上增加了ATM信元的終結(jié)功能，將ATM信元轉(zhuǎn)換成以太幀進(jìn)行傳輸，其余部分二者基本一致。

三、幾種ADSL VPN結(jié)構(gòu)：

（一）基于ATM結(jié)構(gòu)

這種方案充分利用ADSL穩(wěn)定的調(diào)制技術(shù)和它跟ATM無(wú)縫連接的特性，產(chǎn)生ADSL over ATM的高層應(yīng)用，較安全的實(shí)現(xiàn)了基層所隊(duì)的專(zhuān)線聯(lián)網(wǎng)。

在ADSL上開(kāi)展ATM專(zhuān)線接入業(yè)務(wù)，DSLAM處于ATM主干網(wǎng)和用戶端ADSL之間，是實(shí)現(xiàn)ATM over ADSL網(wǎng)絡(luò)結(jié)構(gòu)中最關(guān)鍵的設(shè)備。它利用ATM PVC作為低層傳輸通道，在某種程度上可以把DSLAM看作ATM網(wǎng)的一種延伸或是一種ATM接入設(shè)備。根據(jù)中心點(diǎn)匯聚方式的不同，可以有ATM PVC匯聚、FR PVC匯聚，以及直接在同一個(gè)DSLAM中的ATM PVC匯聚三種方式。

1．點(diǎn)對(duì)多點(diǎn)中心ATMPVC匯聚。這種組網(wǎng)方式采用ADSL作為ATM的終端?；鶎訂挝煌ㄟ^(guò)ADSL Modem上行的ATM PVC來(lái)穿透ATM骨干網(wǎng)，最終各條PVC匯聚到中心點(diǎn)路由器的ATM接口。中心路由器需配備ATM接口?？梢酝ㄟ^(guò)帶有IMA（Inverse Multiplexing for ATM）功能的ATM接口，將中心點(diǎn)的N個(gè)El接入帶寬反向復(fù)用成N×El大小的接入帶寬（目前一般可支持最多8個(gè)El的反向復(fù)用），充分利用了中心點(diǎn)路由器多端口El的總帶寬，支持了高速ATM信元流的傳送。或者，中心點(diǎn)配置ATM 155M端口卡，承接各分支機(jī)構(gòu)的高速PVC匯聚。這種配置中心點(diǎn)的可擴(kuò)展性很強(qiáng)。

2．點(diǎn)對(duì)多點(diǎn)中心FRPVC匯聚。這種組網(wǎng)方式使用ATM—FR互聯(lián)功能，將ADSL Modem上行的ATM PVC轉(zhuǎn)換成FR PVC匯聚到中心路由器。中心路由器只要配置幀中繼接口即可（但FR端口板不具備IMA反向復(fù)用功能）。

前兩種方案的硬件配置：（1）派出所：一臺(tái)帶路由功能的ADSL Modem，接入一條ADSL專(zhuān)線，上下行PVC速率設(shè)置為對(duì)稱512K-1M；（2）區(qū)縣公安局：路由器增加配置ATM El接口或普通FR El接口，通過(guò)租用ATM或幀中繼專(zhuān)線接入電信ATM或幀中繼網(wǎng)絡(luò)。

方案特點(diǎn)：使用這種ADSL—VPN時(shí)，各派出所ADSL端口與縣公安局ATM或FR端口之間是封閉的ATM PVC或FR PVC連接，不與普通上網(wǎng)用戶及其他專(zhuān)線用戶共享信道，因此端到端的通信可以視為安全的專(zhuān)線連接。縣公安局與各派出所之間形成一個(gè)封閉的專(zhuān)網(wǎng)，使用公安自定義的私有IP地址，安全性有保證。

3．直接在同一個(gè)DSLAM中的ATM PVC匯聚。每縣局設(shè)一個(gè)匯聚點(diǎn)。每八個(gè)派出所與縣公安局一臺(tái)ADSL MODEM相連。由于多數(shù)ADSL Modem至少同時(shí)支持8條上行ATM PVC，即可實(shí)現(xiàn)八個(gè)派出所到縣公安局的專(zhuān)線匯聚，再通過(guò)公安內(nèi)網(wǎng)連到市公安局。

方案特點(diǎn)：與ATM、FR匯聚一樣，縣公安局與各派出所之間形成一個(gè)安全封閉的專(zhuān)網(wǎng)。但這種方式存在瓶頸，縣公安局每臺(tái)ADSL MODEM同時(shí)連接8個(gè)派出所，由于普通ADSL MODEM的處理速度有限，且只支持上行1M的帶寬，因此擴(kuò)展性較差。

（二）基于IP結(jié)構(gòu)

公安虛擬專(zhuān)網(wǎng)（VPN）是在寬帶接入服務(wù)器（BRAS）上通過(guò)VR（虛擬路由器）方式實(shí)現(xiàn)的：主端口采用10/100M光纖專(zhuān)線接入寬帶城域網(wǎng)交換機(jī)，通過(guò)VLAN終結(jié)在BRAS的專(zhuān)用VR上；各派出所節(jié)點(diǎn)采用ADSL固定IP專(zhuān)線接入。通過(guò)ATM PVC或VLAN終結(jié)到BRAS的專(zhuān)用VR上。

IP DSLAM需要為各派出所提供ADSL接入，并將DSLAM的以太網(wǎng)上行端口映射到公安VPN的VLAN ID，通過(guò)VLAN ID來(lái)標(biāo)識(shí)和區(qū)分是否是屬于公安VPN用戶；BAS則要提供PE功能，根據(jù)VLAN ID來(lái)識(shí)別VPN站點(diǎn)，并將其接入相應(yīng)的公安局的VPN核心網(wǎng)絡(luò)（如MPIS VPN），或者由BAS來(lái)直接完成二層VPN功能（如VPIS VPN）。因具體實(shí)現(xiàn)方式不同，基于IP DSLAM的ADSL接入方案又分為以下兩種情況：

1．在電信IP網(wǎng)上建立專(zhuān)用的VLAN來(lái)實(shí)現(xiàn)派出所至公安局的專(zhuān)線匯聚。各派出所的ADSL專(zhuān)線通過(guò)IP DSLAM的IP上行接口，作PVC到VLAN ID的一一映射，將所有派出所的ADSL PVC都映射到專(zhuān)用的公安VLAN上?？h公安局提供一臺(tái)三層交換機(jī)或路由器的一個(gè)以太網(wǎng)口，通過(guò)10／l00M以太網(wǎng)專(zhuān)線接入電信的城域網(wǎng)交換機(jī)，并與各派出所在同一個(gè)VLAN內(nèi)?？h公安局與各派出所之間形成一個(gè)二層隔離的專(zhuān)用網(wǎng)絡(luò)，使用公安自定義的私有IP地址，所有派出所的IP地址在同一網(wǎng)段內(nèi)。

2．通過(guò)電信IP城域網(wǎng)上建立專(zhuān)用三層的VLAN來(lái)實(shí)現(xiàn)派出所至公安局的專(zhuān)線匯聚，由電信IP城域網(wǎng)核心交換機(jī)來(lái)實(shí)現(xiàn)不同派出所網(wǎng)段之間的路由。

四、結(jié)語(yǔ)

以上幾種方案，基于ATM架構(gòu)實(shí)現(xiàn)了公安基層單位與縣公安局之間的端到端的PVC連接，其安全性等同于DDN、幀中繼等專(zhuān)線。若采用基于IP架構(gòu)的方案，公安網(wǎng)的IP包先在電信城域網(wǎng)的交換機(jī)上終結(jié)（落地），從原理上講，在電信的交換機(jī)上進(jìn)行流量監(jiān)控的話，是可以截取并重組公安網(wǎng)通信信息的。同時(shí)采用IP架構(gòu)的方案在服務(wù)質(zhì)量保證上也明顯不如基于ATM架構(gòu)，在網(wǎng)絡(luò)擁塞和網(wǎng)絡(luò)異常時(shí)很難保證公安專(zhuān)網(wǎng)的用戶的通信帶寬。因此我們一般建議采用基于ATM架構(gòu)的解決方案。

總的來(lái)說(shuō)，采用ADSL VPN來(lái)建立公安基層單位接入網(wǎng)，為我們提供了一種經(jīng)濟(jì)實(shí)用、安全可靠的接入網(wǎng)建設(shè)方案，在實(shí)際工作中得到了廣泛應(yīng)用。