楊　超　許　光

摘要：文章介紹了ADSL VPN技術(shù)的基本原理，從組網(wǎng)模式、服務(wù)質(zhì)量、安全性、接入能力等幾個方面對幾個ADSL VPN組網(wǎng)方案進(jìn)行了分析和比較。

關(guān)鍵詞：ADSL接入方式；公安四級網(wǎng)；公安信息化建設(shè)；科技強警

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-2374（2009）07-0131-02

一、概述

隨著“金盾工程”的推進(jìn)，公安信息化建設(shè)一日千里，科技強警的觀點深入人心。建設(shè)一張完整、高效、保密、覆蓋全面的公安專網(wǎng)，是實施“金盾工程”的前提和保證。作為一個與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)完全物理隔離的綜合性寬帶業(yè)務(wù)數(shù)字網(wǎng)，從公安部到省公安廳被稱作“一級網(wǎng)”，省公安廳到市公安局被稱作“二級網(wǎng)”，地市公安局到縣區(qū)公安局被稱作“三級網(wǎng)”，縣區(qū)公安局到基層“三所三隊”（派出所、看守所、車管所；交警隊、刑警隊、巡警隊）被稱作“四級網(wǎng)”或“接入網(wǎng)”。

我局至省廳的公安二級網(wǎng)于1999開通，2003底開通了至縣局的公安三級網(wǎng)，2004開始建設(shè)公安接入網(wǎng)。作為一個西部欠發(fā)達(dá)地級市，鄉(xiāng)村派出所占基層所隊的主要份額，因缺少光纖資源或維護(hù)成本太高等原因，至2005年初，仍有部分偏遠(yuǎn)鄉(xiāng)村派出所無法接入公安網(wǎng)。此時，公安部發(fā)布了《關(guān)于公安接入網(wǎng)租用ADSL電路等接入公安信息網(wǎng)問題的通知》，從政策上肯定了以ADSL VPN方式接入公安網(wǎng)的可行性。下面，本文就ADSL VPN的幾種聯(lián)網(wǎng)方式，從原理、組網(wǎng)模式、服務(wù)質(zhì)量、安全性等幾方面進(jìn)行比較，并針對公安網(wǎng)的特殊性對ADSL接入方式提出了

改進(jìn)。

二、ADSL原理

DSL技術(shù)是基于普通電話線的寬帶接入技術(shù)，它在一根銅線上分別傳送數(shù)據(jù)和語音信號。根據(jù)上下行速率的差異，DSL可分為對稱DSL和非對稱DSL。ADSL是一種典型的非對稱數(shù)字用戶線路，它支持上行512K~1Mbps、下行1~8Mbps的速率，有效傳輸距離達(dá)3~5公里。

ADSL用戶端包括分離器、ADSL Modem等設(shè)備。ADSL局端包括局端濾波器、ATU-C和接入多路復(fù)用系統(tǒng)DSLAM。DSLAM按接口可以分為ATM DSLAM和IP DSLAM，在組網(wǎng)時分別被接入ATM骨干網(wǎng)或者IP骨干網(wǎng)。

（一）ATM DSLAM的原理

用戶的上行信號，在ADSL Modem中，通過AAL5的SAR子層的分段和重組功能，實現(xiàn)MAC幀到ATM信元的轉(zhuǎn)換。經(jīng)DSL調(diào)制后，信號通過電話線傳輸?shù)骄侄说腄SLAM。局端DSLAM對ADSL信號進(jìn)行解調(diào)，恢復(fù)成ATM信元格式，進(jìn)行復(fù)接或交換，對不同的ATM業(yè)務(wù)進(jìn)行分別處理，與上層的ATM交換機(jī)建立連接，為用戶提供永久虛電路（PVC）。

下行的信號以ATM信元方式傳送到ATM DSLAM。DSLAM針對不同的ATM業(yè)務(wù)采取不同的處理措施，如包丟棄原則、緩存機(jī)制、流控機(jī)制等，然后又分接到各對應(yīng)的ADSL端口，進(jìn)行ADSL信號調(diào)制后傳送到相應(yīng)的ADSL Modem中。

ATM DSLAM設(shè)備基于ATM的先進(jìn)技術(shù)設(shè)計，支持CBR、rt—VBR、nrt—VBR、UBR等多種ATM業(yè)務(wù)類型。且ATM是面向連接的傳輸，其PVC（或SVC）邏輯通道互相隔離，所以具有天然的安全機(jī)制，不會發(fā)生泄密的情況。

（二）IP DSLAM的原理

IP DSLAM在ADSL信號的處理上和ATM DSLAM基本一致。但在DSLAM中，ATM信號并不進(jìn)行復(fù)接和業(yè)務(wù)類型處理，而是通過AAL5 SAR適配功能將ATM信元還原成相應(yīng)的MAC幀，即所謂的ATM終結(jié)。在ATM信號終結(jié)的過程中，同時建立用戶的MAC地址與ATM PVC的一一對應(yīng)關(guān)系。在ATM信號終結(jié)之后，在MAC幀的基礎(chǔ)上進(jìn)一步進(jìn)行處理和設(shè)立相關(guān)標(biāo)記。

網(wǎng)絡(luò)下行的信號則剛好相反，從上一級的設(shè)備發(fā)送到IP DSLAM的MAC幀信號，完成相應(yīng)的三層或者二層功能的信號處理，如路由分析或者VLAN標(biāo)志分析等，最終通過AAL5 SAR把MAC幀轉(zhuǎn)換成ATM信元，并實現(xiàn)從MAC地址到ATM PVC的轉(zhuǎn)換對應(yīng)。ATM信號通過ADSL芯片處理成ADSL信號格式，并通過調(diào)制傳輸?shù)竭h(yuǎn)端的ADSL Modem。

從以上兩種方式可以看出，ATM DSLAM是全程ATM的連接，而IP DSLAM則是在ATM DSLAM的基礎(chǔ)上增加了ATM信元的終結(jié)功能，將ATM信元轉(zhuǎn)換成以太幀進(jìn)行傳輸，其余部分二者基本一致。

三、幾種ADSL VPN結(jié)構(gòu)：

（一）基于ATM結(jié)構(gòu)

這種方案充分利用ADSL穩(wěn)定的調(diào)制技術(shù)和它跟ATM無縫連接的特性，產(chǎn)生ADSL over ATM的高層應(yīng)用，較安全的實現(xiàn)了基層所隊的專線聯(lián)網(wǎng)。

在ADSL上開展ATM專線接入業(yè)務(wù)，DSLAM處于ATM主干網(wǎng)和用戶端ADSL之間，是實現(xiàn)ATM over ADSL網(wǎng)絡(luò)結(jié)構(gòu)中最關(guān)鍵的設(shè)備。它利用ATM PVC作為低層傳輸通道，在某種程度上可以把DSLAM看作ATM網(wǎng)的一種延伸或是一種ATM接入設(shè)備。根據(jù)中心點匯聚方式的不同，可以有ATM PVC匯聚、FR PVC匯聚，以及直接在同一個DSLAM中的ATM PVC匯聚三種方式。

1．點對多點中心ATMPVC匯聚。這種組網(wǎng)方式采用ADSL作為ATM的終端?；鶎訂挝煌ㄟ^ADSL Modem上行的ATM PVC來穿透ATM骨干網(wǎng)，最終各條PVC匯聚到中心點路由器的ATM接口。中心路由器需配備ATM接口?？梢酝ㄟ^帶有IMA（Inverse Multiplexing for ATM）功能的ATM接口，將中心點的N個El接入帶寬反向復(fù)用成N×El大小的接入帶寬（目前一般可支持最多8個El的反向復(fù)用），充分利用了中心點路由器多端口El的總帶寬，支持了高速ATM信元流的傳送?；蛘?，中心點配置ATM 155M端口卡，承接各分支機(jī)構(gòu)的高速PVC匯聚。這種配置中心點的可擴(kuò)展性很強。

2．點對多點中心FRPVC匯聚。這種組網(wǎng)方式使用ATM—FR互聯(lián)功能，將ADSL Modem上行的ATM PVC轉(zhuǎn)換成FR PVC匯聚到中心路由器。中心路由器只要配置幀中繼接口即可（但FR端口板不具備IMA反向復(fù)用功能）。

前兩種方案的硬件配置：（1）派出所：一臺帶路由功能的ADSL Modem，接入一條ADSL專線，上下行PVC速率設(shè)置為對稱512K-1M；（2）區(qū)縣公安局：路由器增加配置ATM El接口或普通FR El接口，通過租用ATM或幀中繼專線接入電信ATM或幀中繼網(wǎng)絡(luò)。

方案特點：使用這種ADSL—VPN時，各派出所ADSL端口與縣公安局ATM或FR端口之間是封閉的ATM PVC或FR PVC連接，不與普通上網(wǎng)用戶及其他專線用戶共享信道，因此端到端的通信可以視為安全的專線連接?？h公安局與各派出所之間形成一個封閉的專網(wǎng)，使用公安自定義的私有IP地址，安全性有保證。

3．直接在同一個DSLAM中的ATM PVC匯聚。每縣局設(shè)一個匯聚點。每八個派出所與縣公安局一臺ADSL MODEM相連。由于多數(shù)ADSL Modem至少同時支持8條上行ATM PVC，即可實現(xiàn)八個派出所到縣公安局的專線匯聚，再通過公安內(nèi)網(wǎng)連到市公安局。

方案特點：與ATM、FR匯聚一樣，縣公安局與各派出所之間形成一個安全封閉的專網(wǎng)。但這種方式存在瓶頸，縣公安局每臺ADSL MODEM同時連接8個派出所，由于普通ADSL MODEM的處理速度有限，且只支持上行1M的帶寬，因此擴(kuò)展性較差。

（二）基于IP結(jié)構(gòu)

公安虛擬專網(wǎng)（VPN）是在寬帶接入服務(wù)器（BRAS）上通過VR（虛擬路由器）方式實現(xiàn)的：主端口采用10/100M光纖專線接入寬帶城域網(wǎng)交換機(jī)，通過VLAN終結(jié)在BRAS的專用VR上；各派出所節(jié)點采用ADSL固定IP專線接入。通過ATM PVC或VLAN終結(jié)到BRAS的專用VR上。

IP DSLAM需要為各派出所提供ADSL接入，并將DSLAM的以太網(wǎng)上行端口映射到公安VPN的VLAN ID，通過VLAN ID來標(biāo)識和區(qū)分是否是屬于公安VPN用戶；BAS則要提供PE功能，根據(jù)VLAN ID來識別VPN站點，并將其接入相應(yīng)的公安局的VPN核心網(wǎng)絡(luò)（如MPIS VPN），或者由BAS來直接完成二層VPN功能（如VPIS VPN）。因具體實現(xiàn)方式不同，基于IP DSLAM的ADSL接入方案又分為以下兩種情況：

1．在電信IP網(wǎng)上建立專用的VLAN來實現(xiàn)派出所至公安局的專線匯聚。各派出所的ADSL專線通過IP DSLAM的IP上行接口，作PVC到VLAN ID的一一映射，將所有派出所的ADSL PVC都映射到專用的公安VLAN上?？h公安局提供一臺三層交換機(jī)或路由器的一個以太網(wǎng)口，通過10／l00M以太網(wǎng)專線接入電信的城域網(wǎng)交換機(jī)，并與各派出所在同一個VLAN內(nèi)?？h公安局與各派出所之間形成一個二層隔離的專用網(wǎng)絡(luò)，使用公安自定義的私有IP地址，所有派出所的IP地址在同一網(wǎng)段內(nèi)。

2．通過電信IP城域網(wǎng)上建立專用三層的VLAN來實現(xiàn)派出所至公安局的專線匯聚，由電信IP城域網(wǎng)核心交換機(jī)來實現(xiàn)不同派出所網(wǎng)段之間的路由。

四、結(jié)語

以上幾種方案，基于ATM架構(gòu)實現(xiàn)了公安基層單位與縣公安局之間的端到端的PVC連接，其安全性等同于DDN、幀中繼等專線。若采用基于IP架構(gòu)的方案，公安網(wǎng)的IP包先在電信城域網(wǎng)的交換機(jī)上終結(jié)（落地），從原理上講，在電信的交換機(jī)上進(jìn)行流量監(jiān)控的話，是可以截取并重組公安網(wǎng)通信信息的。同時采用IP架構(gòu)的方案在服務(wù)質(zhì)量保證上也明顯不如基于ATM架構(gòu)，在網(wǎng)絡(luò)擁塞和網(wǎng)絡(luò)異常時很難保證公安專網(wǎng)的用戶的通信帶寬。因此我們一般建議采用基于ATM架構(gòu)的解決方案。

總的來說，采用ADSL VPN來建立公安基層單位接入網(wǎng)，為我們提供了一種經(jīng)濟(jì)實用、安全可靠的接入網(wǎng)建設(shè)方案，在實際工作中得到了廣泛應(yīng)用。