控制交换机在小区宽带接入中的应用
宽带接入运营中的要害问题就是如何提高接入率。根据网络应用的需求及技术现状,瑞斯康达公司专门针对宽带接入优化设计了逐流控制的访问控制交换机ISCOM3500。利用其强大的流治理能力,可以方便高效地实现宽带运营接入的用户认证、带宽治理、服务策略治理。ISCOM3500通过与计费系统相结合,可以对多种资费模式提供良好的支持。
宽带接入支撑平台建设目标
宽带接入业务的提供离不开宽带接入支撑平台的建设。良好的宽带接入支撑平台具有如下特点:支持用户认证;资费标准与模式多样化;访问控制与用户网络终端无关性;用户可以随意选择资费标准与模式,并可以随时改变,访问控制免配置修改;增值业务提供快捷化; 集中访问控制,降低小区选择的“门槛”等。
建立一个良好的运营支撑平台,需要综合考虑用户认证技术、访问控制技术、访问控制点在网络中的位置、访问控制点与计费认证平台间的关系等问题。 访问控制点集中化
访问控制点集中化带来的最大好处是降低设备与治理成本,加强网络的灵活性。假如在小区内完成认证与访问控制,其设备成本就会大幅度增加,致使有些小规模的小区不得不放弃使用。利用ISCOM3500可以提供中小规模小区的集中治理,将多个小区汇聚到一个认证控制中心点上,通过它来完成宽带接入的访问控制。采用这种形式,可以将认证计费与增值业务提供“中心化”,多个小区共用一套系统,从而大幅度降低投资,并能降低治理成本。见图1。
ISCOM3500采取逐流控制技术,可以控制每个最终用户的网络带宽、网络流向。ISCOM3500还通过高性能的流梳理器与转发引擎,可以保证在大用户量情况下,数据流与数据流之间并发地、互不影响地被线速转发,以满足资费标准与模式多样化、用户汇聚后大量用户并发使用的需求。
在访问控制交换机与各小区的网络设备一侧,使用802.1x或WEB认证的方式,接收网络用户的登录信息,然后封装成RADIUS报文转发给认证计费中心,认证计费中心返回认证结果以及与用户所选择的资费模式相关的访问控制信息。ISCOM3500通过动态的访问控制技术来完成基于用户的带宽与网络流向的控制。
基于用户的动态访问控制技术
ISCOM3500有机地将认证技术与访问控制技术结合起来,动态地将用户网络终端的特性与访问控制进行结合,从而完成基于用户的访问控制。在用户完成认证的过程中,他所使用的用户名其实就是他在网络上的唯一标识,ISCOM3500可以根据这个用户名所选择的资费标准动态地选择相应的访问控制策略,并将其所用网络终端的网络特性(例如MAC地址、IP地址)与访问控制策略进行“合成”,从而形成针对单一网络终端的一系列访问控制指令,然后将这些访问控制指令下发到流梳理器与转发引擎,最终由硬件高速地完成该用户的网络流量与流向控制。
通过动态的访问控制技术,用户所用网络终端的网络特性已不是访问控制的要害,而其所使用的用户名成为了访问控制的要害,从而可以有效地解决以下问题。
·网络终端的更换:使用同一个用户名在不同的网络终端上登录时,所能享受的服务是一致的。
·用户的更换:使用不同的用户名在同一个网络终端上登录时,所能享受的服务是不一样的,这取决于用户名与资费标准间的关系。
这两个问题其实是宽带运营网络中业务单一、资费标准单一、用户访问能力单一等问题的根源所在,解决了这两个问题,这些运营方面的问题都能够迎刃而解。细心的人也许会问,在实际应用环境中,用户名的个数与网络终端的个数通常是一一对应的,有时还会多于网络终端的个数,将用户名作为访问控制的标识是不是会导致工作量的进一步增加呢?其实不然,ISCOM3500可以通过与计费系统间的有机配合,通过访问控制策略与资费标准间的有机结合来解决这个问题。
基于资费模式与标准的访问控制策略文件
ISCOM3500提供访问控制策略化配置的手段,将访问控制的配置与具体的被控制对象分离开来,形成一些预先配置好的访问控制策略,在完成用户认证的过程中,将针对用户的交费特性将其所用网络终端的特性、流向控制、带宽控制、时间控制等特性动态地关联起来,对每一个用户的网络行为进行控制,从而可以针对这些用户所采取的计费模式与资费标准,进行不同的访问控制。
宽带运营网络中增值业务与资费标准具有数量有限特性,也就是说,可供用户选择的增值业务与资费标准通常都是预先设计好的。本着大力发展网络用户、提高宽带接入率的原则,宽带业务提供商通常需要制定一系列服务套餐供用户进行选择,因此,与每个服务套餐相对应的访问控制策略也具有数量有限特性。
ISCOM3500通过动态地将用户与访问控制策略的结合来完成用户的访问控制,因此,可以将访问控制策略与具体的网络终端分离开来,形成抽象的、不针对某一终端的访问控制策略,从而形成与服务套餐一一对应的访问控制策略文件(Access Control Profile)。在ISCOM3500上可以配置多达200个访问控制策略文件,并且每一个访问控制策略文件可以包含多条访问控制策略。在用户认证过程中,计费中心传回认证结果的同时将该用户所选择的服务套餐标识一并通知给访问控制交换机,访问控制交换机查找到相应的访问控制策略文件后,再将其中的每条访问控制策略与用户的终端特性动态地结合起来,形成与终端相关的、具体的访问控制指令,然后再下发到流梳理器与转发引擎,最终由硬件高速地完成该用户的网络流量与流向的控制。
在计费平台,同样也可以采取服务套餐与用户组一一对应的方法进行用户的治理。用户可以采取成批预开户,制卡发行的方式,为每个服务套餐预开用户。当用户选择相应的服务套餐时,即可为其发放相应的用户卡;用户在变更服务套餐时,只要变更用户卡就可以即时改变对他的访问控制;更为重要的是,多个服务套餐可以采取互补的方式,一个自然人用户可以同时选择多个服务套餐。采取一人多卡式消费,可以降低用户在宽带接入的入门费,同时又能营建健康的消费理念及充分发掘用户的消费潜能。