随着宽带多媒体业务和光纤通信技术的快速发展，光纤通信技术已越来越广泛运用于接入网络中。过去，光缆网络主要是满足传输网络建设需求，接入层光缆需求较少，少量的接入层光缆一般直接从汇聚节点拉出。 随着近年来数据光纤和用户光纤需求的迅速增加，电信运营商在接入层光缆的建设量也随之急剧增加。如何建设接入层光缆网络，已成为业界广泛讨论的课题。

　　一、接入层光缆建设原则

　　根据网络分层原则，我们将本地网光缆分为中继层和接入层，接入层光缆是指从本地局用局站到用户设备终端之间的光缆，接入层光缆又分为主干层光缆和配线层光缆。

　　接入层光缆是各电信运营商重点建设的基础资源，总体上要从网络投资控制、安全性、可扩展性、结构清晰等几方面进行组织建设。

　　1．适度超前、分步实施

　　为了避免重复建设、重复投资，同时快速满足业务发展需求，在建设过程中要坚持适度超前建设的原则。同时由于接入层网络环境复杂多变，接入技术日新月异，在充分考虑投资成本的情况下，要根据市场需求加强接入层光缆网络规划，并按照规划分步实施。

　　2．分层建设

　　根据网络结构清晰的要求，接入层光缆要分为主干层光缆和配线层光缆进行建设。主干层包括主干层光缆和光交接节点设备，配线层包括配线层光缆、光分配节点和用户终端设施。主干层光缆建设要根据规划保持相对稳定，配线层光缆建设要适应市场和技术变化快的特点，要满足这些要求和特点就需分层建设。

　　3．拓扑结构选择

　　光纤接入层主要有星型、线型和环型三种基本结构。主干层光缆原则上采用环形拓扑结构，主要是因为用户业务接入的汇集层所承载的业务都需要提供环形保护或双路由保护。对于农村等业务非密集区，光缆路由不具备成环条件的，主干光缆拓扑可以考虑暂不成环。

　　配线层光缆主要受成本和路由限制，难于成环组网，常采用树型或星型结构。对部分需要较高安全性的业务，可以采用环形结构或双路由保护。根据配线区域内用户及业务分布情况、安全性要求、客观地理条件等因素，灵活采用多个光分配点与单光交接点组网，或多个光分配点通过双光交接点组网的拓扑结构。

　　4．光交接设备设置

　　光交接设备是指对接入层光缆进行灵活调度分配的光交接节点和交分配节点，其设置原则主要从管孔资源、业务需求、用户性质、网络安全等方面考虑。

　　综合考虑管孔资源、用户属性、潜在业务需求，确定光交接区。如选择在用户密度较大、管孔资源较富裕处设立光交接节点，方便光缆出入，便于各配线光缆的建设。

　　光交接点与光分配点的设置应结合当地城市规划和电信网规划进行，应在党政部门、高等院校、企事业单位、写字楼、住宅小区等地方设置，以便快速实现用户接入。

　　从网络安全考虑，应尽可能设置在具备产权或长期使用权的室内机房；室外光交接节点应设置在地理位置比较稳定的区域，以后不易受市政建设的影响，同时避开外部高电压干扰，高温、腐蚀和易燃易爆区影响。

　　从业务覆盖考虑，一个主干光交接节点覆盖范围为以500m－800m为半径组成的小区或5-15幢多层住宅楼群，收容用户数量为300-800户，具体应根据光交接区内用户分布密度合理布置，郊区或乡村可根据业务实际需求进一步扩大覆盖范围。

　　5．光缆纤芯数量选择

　　光缆纤芯数量的取定要在对服务区内用户分布及业务需求充分预测的基础上进行，合理制定光缆的业务满足年限，根据光缆服务范围内的纤芯需求量、光缆的路由条件、管道资源情况、光缆纤芯公里造价等因素，合理规划光交接节点的数量。光缆纤芯业务满足期建议考虑在5年左右，主干层每个光交接点落地芯数建议36-96芯，配线层每个光分配点落地芯数建议24-48芯。

　　主干光缆一般采用环形无递减配纤方式，选用芯数：72-288芯。在纤芯配置上，主干光缆的纤芯分配应以6或12芯为单位进行，同时可根据实际需求配置共享纤芯、独享纤芯和直通纤芯。

　　配线光缆一般根据实际情况灵活采用星树型无递减配线或星树型递减配线方式，采用星树型无递减方式的优点是光缆的灵活性较高，光缆纤芯易于调整、共享，对于突发性的新用户的需求较易满足。缺点是成本相对较高，安全可靠性较环网拓扑低。采用星树型递减方式是配线光缆呈星形、树形连接拓扑，光缆纤芯从发起端起向远端节点逐级减少，其优点是光缆的灵活性较高，成本容易控制。缺点是光纤资源不共享，如果节点的用户预测稍有偏差，就会造成新节点无纤芯而原有节点纤芯过剩，另外安全可靠性不足。配线光缆的芯数不宜过大，建议以6芯为单位组织，高密度区以12芯为单位确定配线光缆芯数，一般选用芯数：36-48芯/12-24芯。光交接点中配线光缆芯数可适当多于主干光纤的下纤数，对于用户光缆建议采用4－12芯光缆，并一次布放到位。

　　主干光缆与配线光缆的配比建议最小为1:1.2，最大为1:4。

　　以大芯对建设接入层光缆主干环，在大商客群体密集区域设立光交接点，并根据业务需求跟进光分配点的建设。

　　6．光缆型号选择

　　接入层传输距离近，近期带宽要求不高，建设成本应为主要考虑的因素，因此建议使用1310nm波长性能最佳的单模光纤，即G.652光纤。

　　由于层绞式光缆机械性能好，中心束管式光缆成本相对较低。72芯以上光缆建议选用中心束管式带状光缆，小芯数光缆建议选用层绞式光缆。

　　二、接入层光缆发展策略

　　接入层光缆建设还需要考虑未来发展策略，以更好地适应业务网络的新要求。

　　1．按需建设光缆接入层

　　接入层光缆的建设目的主要是为了满足用户对宽带多媒体业务的接入需求，在建设过程中要以市场需求为导向，根据各地用户分布、业务需求的不同加强光缆接入层网络的规划，并按照满足需求、控制成本的原则分步实施。在规划过程中要重点考虑以下几个方面的需求。

　　接入层网络设备联网的需求，包括窄带设备、宽带设备、城域网和小区驻地网设备对光缆的需求。主要考虑主干层光缆的建设，尽可能实现光缆成环，提高网络安全性。

　　大客户光缆组网需求。主要考虑配线层光缆建设，根据光交接节点覆盖范围内用户性质、业务需求综合考虑。

　　光缆网元出租业务的需求，这方面的需求相对较少。

　　3G等新业务开展的需求。随着将来3G网络的建设，基站（NODEB）和远端接入单元（RRU）都需要通过光缆传输，在规划时要重点考虑这方面的需求。

　　2．充分利用现有铜缆资源

　　使用双绞线传送的ADSL技术传输8M带宽数据时距离可达到1公里－2公里，传送4M时可达到2－3公里，随着XDSL技术的发展，传输带宽将会更高。在近期用户宽带需求普遍不高的情况下，中国电信要充分利用现有大量铜缆资源，通过综合接入网的建设，缩短用户电缆接入距离，提高接入带宽，实现普遍用户的宽窄带业务接入。对于少量的大客户高带宽接入需求（如10M、20M以上带宽），则使用光缆接入传输。因此，在实施“光进铜退”时，要结合综合接入网点规划做好接入层光缆的规划建设，将光交接点与接入网点同步规划，优先建设主干层光缆网络，配线层光缆则根据用户需求情况逐步推进。这样不仅能够充分利用现有铜缆资源，又能够快速满足业务发展需求，使网络结构具有较强的灵活性和可扩展性。

　　3．加强对新技术的跟踪

　　PON（无源光网络）和CWDM（波分复用）等光通信技术的发展，必然对接入层光缆的建设产生深远影响。

　　通过PON或其他设备的汇聚收敛作用可以节省接入层光缆的纤芯数量，提高光缆纤芯单芯带宽利用率。引入PON技术后，PON光分路器(Splitter)一般放置于接入层光缆网络的光交接节点或光分配点，需要对光交接点或分配点的具体交接设备的空间分配提出新的要求，在建设时需要预留相应的空间和端口。

　　但因目前PON、CWDM设备成本还较昂贵，主要考虑建设直连光缆，同时适时跟踪技术进展，开展相应的设备试验和测试。随着PON等光通信技术的发展和光通信设备成本的下降，再逐步增加设备，减少接入层光缆资源的压力。

　　随着APON（智能光网络）的发展，用户对宽带需求的快速增加，FTTH的演进将进一步加快，对光缆接入层的建设需求将越来越大。光缆接入层网络的建设需要根据用户需求变化、光通信技术使用情况，以及网络安全性、可扩展性和投资经济性等综合考虑，充分满足用户高带宽的多媒体业务接入需求。

1. 在今年以前，我一直认为我比刘韧有商业头脑，一直在他面前炫耀我的那些“创意”。我每每给刘韧讲这个创意，那个创意，应该做这个应该做那个，却到现在为止都不知道自己该做什么。
2. 在今年以前，我一直认为我比刘韧会“御人”——懂君王治道。我每每给刘韧讲应该这样做，应该那样做，但我自己却做的不怎么样。
3. 在今年以前，我一直认为我比刘韧会利用资源。我每每给刘韧讲，他其实可以利用自身很多资源赚更多的钱……
4. 刘韧每每听到我讲这些，总是笑。
5. 但刘韧一直在努力的做刘韧。
6. 就像刘韧一直在努力的做DONEWS的DONEWS一样。
7. DONEWS，是我这几年来学习和工作的地方。我认为有句话我说对了，大家以前是Meet in Donews，慢慢的都升级成Work in Donews了。
8. 两天前，新浪爆出DONEWS和猫扑合并的事情，很多人在笑。一种是笑这个消息是假的，二种是笑“这下有机会搞臭DONEWS了”，三是恭喜刘韧和DONEWS笑。我先是第一种，昨天成了第三种。
9. 刘韧这几年来，虽然看上去似乎胖了许多，但是更明显的是他白发的数量。刘韧变了，变老了，有时甚至有些老头的样子了……这些，让我很伤心。但开心是，刘韧一直在按照自己的意愿，其实是按照DONEWS的意愿在做DONEWS。他从来把DONEWS能为别人做什么放到第一位，而从不把DONEWS可以获得什么放到第一位。
10. 这是一种境界！
11. 有人看到这，会笑道：“切，在给刘韧拍马屁”，如果你是这样想的说的，那我就当你在放屁，不搭理你好了。
12. 我本来想写很多，但写起来又不知道如何写清楚我的想法，总之，只要刘韧在，我就坚信DONEWS会越来越好；只要刘韧在，DONEWS就还是DONEWS；只要刘韧在，DONEWS精神就在。
13. 我们信仰DONEWS！

　　固定网和移动网的融合（FMC）并不是一个新的概念，它是网络融合的一种形式。近几年，随着固定电话业务不断被分流，固定和移动融合（FMC）被全球固定电话运营商所青睐，希望它能帮助固定电话运营商成功扭转固话业务被移动分流的颓势。 其中的需求主要表现在以下方面：充分利用现网资源，延长固网的使用寿命和优化移动网络的无线资源利用率；降低离网率，提高用户的忠诚度；固网运营商在获得移动牌照后，会首先开展FMC业务以提供差异化的服务，增强其竞争力；FMC最终会为运营商增加收入、扩大用户基数、增加业务提供种类和控制价格下滑；通过在固定、移动网的融合，可以减少运营成本和投资。

　　这些需求，绝大部分不是移动和固定的融合，而是运营商成为全业务运营商之后，如何整合移动和固定业务而向用户提供综合业务的一种市场运营和销售策略，是一种现实和迫切的近期业务综合的策略，因此，这些策略自然是运营商根据自身的情况确定全业务之后的一些策略。但是如果站在国家的高度来考虑FMC的问题，就应该是一种长远的具有战略意义的策略。

　　ETSI对FMC有其定义：“FMC关注的是独立于接入技术的网络和业务能力，并不一定指网络的物理层面的融合，FMC关注融合的网络能力和支撑标准；这些标准可以支持一系列连续的服务，而这些服务可以通过固定、移动、公共或私有的网络提供。”从上面这个简短的定义可以看出，这个FMC也包含了上面讨论的网络融合和业务综合这两部分内容。即网络融合是在一个增强型的网络上，融合了类似固定网络和移动网络的一些网络能力和业务能力，向用户提供传统固定网和移动网的业务，用户通过不同的接入方式（包括各种有线接入和无线接入）接入这个增强型网络，网络不再区分移动网和固定网。

　　目前，业界普遍认为IMS是解决移动和固定融合（FMC）的方案，ETSI的TISPAN已经在NGN的Release1中把IMS的架构作为PSTN／ISDN的仿真业务和IMS业务的核心架构，一些欧洲的厂家和运营商认为，IMS的架构也可以作为在NGN中提供PSTN／ISDN的架构，但是这种方式并不一定适合我国固网运营商的情况，因此我国在ITU－T中提出了基于call－server的方案（即软交换）来提供PSTN／ISDN业务，但是这种网络并不一定像有些人提到的能够顺利地演进到未来的IMS，即使从设备厂家的产品平台角度来看，软交换能够演进到IMS的产品，一个在现网上运营的软交换网络要平滑地演进到IMS的网络，从技术的许可和投入的成本，无论如何也是非常困难的。另外，如果要求IMS网络提供PSTN／ISDN业务，可能在IMS网中要增加许多PSTN／ISDN的功能，那么势必会影响到IMS网络的一些优势，IMS应该提供的业务还应该是多媒体业务。

　　IMS解决的FMC实际上是有线和无线接入的宽带用户的融合，对于我国而言，很难想象在网络中实施了基于3GPP的IMS后，在这个网络上进行逐步升级、改造，把有线接入的宽带用户接入，从而把这个网络演进到NGN的IMS。因为这样实施起来既困难，投资又高，对实际的运营维护也有影响，失去了FMC的意义。因此从战略上我们应该考虑在成为全业务运营商后的战略，是移动和固定分别运营还是FMC。如果是FMC，那么从现在起就应该规划这种战略，包括网络的规划、运行维护和管理体制等。例如对网络的规划，在3G牌照发放之后，可以首先考虑使用3GR4的业务，不急于对IMS业务的使用，但是应尽快推进NGNIMS（提供FMC业务）标准的研究，在NGNIMS标准成熟之后，在业务也相对有一定的市场之后，考虑提供FMC的IMS。此外，在政策、管制上也会有影响，不再会有传统意义上的移动业务和固定业务，而只会有话音业务、多媒体业务等。

　　运营商在提供全业务之后，如果通过业务综合满足市场的需求和用户的体验的话，对于FMC的驱动力在哪里？从目前看，FMC的唯一驱动力在于传统意义上固定网业务和移动网业务在一张网上提供，从而降低网络的投资成本和网络、业务的运营维护成本，但是从长远看，FMC的业务驱动力在于有线接入和无线接入的优势互补。有线接入的优势是接入带宽资源理论上无限制，舒适的工作条件，良好的阅读、欣赏和操作环境，终端超强的处理能力；而无线接入的特点是接入带宽资源受限（受限于移动的频率资源）、电池能力有限、处理器能力有限（节电与散热）、工作环境受限等，但是其优势在于它的移动性，因此这两种接入方式的特点是优势互补的关系，也是FMC业务的真正驱动力。目前ITU－T和ETSI对NGN标准研究的主要业务部件包括PSTN／ISDN仿真、IMS和流媒体，IMS的网络架构可以提供PSTN／ISDN仿真业务、IMS业务的统一架构，而IMS架构的专利和知识产权已经由国外厂家和运营商拥有，但是流媒体业务的架构在NGN的标准中还是空白，因此从我国创新和知识产权的角度考虑，统一考虑流媒体、IMS、PSTN／ISDN业务的FMC架构，既利用了有线接入的宽带能力，也考虑了无线移动业务的特点，对于推动FMC业务的应用有潜在的驱动力。

　　IPv6首先解决了IP地址数量短缺的问题，其次，对于IPv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将IPSec（IP Security）集成到协议内部，从此IPSec将不单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。

　　IPv6的安全机制

　　IPv6的安全机制主要表现在以下几个方面：（1）将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中，为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。（2）地址解析放在ICMP（Internet Control Message Protocol）层中，这使得其与ARP（Address Resolution Protocol）相比，与介质的偶合性更小，而且可以使用标准的IP认证等安全机制。（3）对于协议中的一些可能会给网络带来安全隐患的操作，IPv6协议本身都做了较好的防护。例如：因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患，IPv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能，这同时也减少了多个节点在同一时间竞争同一个地址的可能。（4）除了IPSec和IPv6本身对安全所做的措施之外，其他的安全防护机制在IPv6上仍然有效。诸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防护功能；通过扩展的ACL（Access Control List）在IPv6上可以实现IPv4 ACL所提供的所有安全防护。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技术，在IPv6上也可以完全实现。

　　当然IPSec的大规模使用不可避免地会对网络设备的转发性能产生影响，因此，需要更高性能的硬件加以保障。总的来说，IPv6极大地改善了网络安全现状。

　　IPv6安全网络的架构

　　IPv6网络的安全性主要通过3个层面实现：协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的IPv6路由器ZXR10系列为例，介绍如何在这3个层面实现IPv6网络的安全性。

　　协议安全

　　IPv6的AH（Authentication Header） 和ESP（Encapsulating Security Payload）中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案，对路由协议报文采用了ESP加密封装，对于IPv6的邻居发现、无状态地址配置等协议报文采用AH认证来保证协议交互的安全性。在AH认证方面，可以采用hmac_md5_96、hmac_sha_1_96等认证加密算法；在ESP封装方面，经常采用的算法有3种：DES_CBC、3DES_CBC及Null 。

　　鉴于目前的网络环境，在实现上，默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求，还要同时预留IKE（Internet密钥交换）协议接口。图1的路由器系统缺省对IPv6的PMTU（路径最大传输单元）、无状态地址自动配置以及邻居发现协议中的消息进行AH头认证。可配置使用ESP封装或者AH认证来保证路由协议报文的安全。

　　在传输模式下，路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。

　　网络安全

　　IPSec隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。

　　端到端的安全保证

　　如图2所示，在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6报文的透传，从而实现端到端的安全保证。



　　内部网络保密

　　图3所示的内部主机和互联网上其他主机进行通信时，通过配置IPSec网关来保证内部网络的安全。由于IPSec作为IPv6扩展报头不能被中间路由器而只能被目的节点解析处理，因此，IPSec网关可以通过IPSec隧道的方式实现，或者通过IPv6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。其中后者实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。



　　IPSec安全隧道实现VPN

　　如图4所示，在路由器之间建立IPSec安全隧道，构成安全的VPN，是最常用的安全网络组建方式。作为IPSec网关的路由器实际上就是IPSec隧道的终点和起点。为了满足转发性能的要求，需要专用的加密板卡。



　　隧道嵌套提供多重安全保护

　　如图5所示，通过隧道嵌套的方式可以获得多重的安全保护。



　　配置了IPSec的主机Host C通过安全隧道接入到配置了IPSec网关的路由器ZXR10 T128 A。该路由器作为外部隧道的终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。ZXR10 GAR B作为内部隧道的终结点，使得Host C最终接入到部门服务器Host D中。

　　确保高性能转发的安全加密硬件

　　大量使用IPSec在提高网络安全的同时，不可避免地导致路由器转发性能和处理性能的劣化。

　　为了消除这些影响，通常使用ASIC（专用集成电路）实现加密处理，或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例，对报文的加密和转发使用专门的网络数据加密接口板，该板由安全处理器和CPLD（可编程逻辑器件）构成主要处理单元。其中，安全处理器完成所要求的IPSec功能，包括对数据进行加/解密、认证、数字签名等；支持DES（数据加密标准）、3DES、AES（先进加密标准）等通用加密算法；支持MD5（Message Digest Algorithm 5）、SHA（Secure Hash Algorithm）等散列算法；支持RSA（Rivest Shamir Adleman）签名。性能达到IPSec加密速度（以3DES+MD5/SHA1计）不低于200Mbit/s，签名速度不低于60次/s。

　　其他安全措施

　　IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证，但是，网络受到的安全威胁是来自多层面的，包括物理层、数据链路层、网络层、传输层和应用层等各个部分。

　　通常，物理层的威胁来自于设备的不可靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等。对这样的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。

　　在物理层以上层面，存在的安全隐患主要有来自于针对各种协议的安全威胁，以及意在非法占用网络资源或者耗尽网络资源的安全隐患，诸如双802.1Q封装攻击、广播包攻击、MAC洪泛、生成树攻击等二层攻击，以及虚假的ICMP报文、ICMP洪泛、源地址欺骗、路由振荡等针对三层协议的攻击。

　　在应用层，主要有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击。对于这些攻击，可以采用的防护手段包括：通过AAA、TACACS+、RADIUS等安全访问控制协议，控制用户对网络的访问权限，防患针对应用层的攻击；通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击；通过路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施，来加强三层网络的安全性。

　　综上所述，安全的网络是众多安全技术的综合，而IPv6 IPSec机制是其中重要的组成部分，提供了协议层面上的一致性解决方案，这也是IPv6相比IPv4的重大优越性。

　　同时，为了构建安全网络，还应该采取其他安全措施。（1）结合AAA认证、NAT-PT、二/三层MPLS VPN、基于ACL标准的访问列表和静态扩展访问列表、防分片包攻击等来实现安全预防。（2）通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由。（3）通过SSHv2（Secure Shell第2版）、SNMPV3（简单网络管理协议第3版）、EXC，提供进程访问安全、线路访问安全。（4）通过分级管理、定制特权级管理等手段来实现网络的安全管理。（5）通过完善的告警、日志和审计功能实现网络时钟的安全。（6）提供访问列表和关键事件的日志、路由协议事件和错误记录等，供网络管理人员进行故障分析、定位和统计。

　　交换机在企业网中占有重要的地位，通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代，作为核心的交换机也理所当然要承担起网络安全的一部分责任。 因此，交换机要有专业安全产品的性能，安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生，在交换机中集成安全认证、ACL（Access Control List，访问控制列表）、防火墙、入侵检测甚至防毒的功能，网络的安全真的需要“武装到牙齿”。

　　安全交换机三层含义

　　交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。

　　安全交换机的新功能

　　802.1x强安全认证

　　在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外，在学校以及智能小区的网络中，由于涉及到网络的计费，所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。

　　802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。

　　802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。

　　在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

　　1. 客户端。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

　　2. 认证系统。在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

　　3. 认证服务器。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

　　流量控制

　　安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制，避免网络堵塞。

　　防DDoS

　　企业网一旦遭到大规模分布式拒绝服务攻击，会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁。

　　虚拟局域网VLAN

　　虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以把网络分成一个一个独立的区域，可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机，与它们的物理位置无关，设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。

　　基于访问控制列表的防火墙功能

　　安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能，增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中，访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。

　　ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让黑客找不到网络中的特定主机进行探测，从而无法发动攻击。

　　入侵检测IDS

　　安全交换机的IDS功能可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能

　　设备冗余也重要

　　物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个好设备上，是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下，立刻赋予后备的模块、安全保障网络的运行。

　　安全交换机的布署

　　安全交换机的出现，使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心，如同思科Catalyst 6500这个模块化的核心交换机那样，把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略，做到集中控制，而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力，安全性能是一项颇费处理能力的工作，核心交换机做起这个事情来能做到物尽其能。

　　把安全交换机放在网络的接入层或者汇聚层，是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘，在各个边缘就开始实施安全交换机的性能，把入侵和攻击以及可疑流量堵在边缘之外，确保全网的安全。这样就需要在边缘配备安全交换机，很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样，在核心周围建立起一道坚固的安全防线。

　　安全交换机有时候还不能孤军奋战，如PPPoE认证功能就需要Radius服务器的支持，另外其他的一些交换机能够和入侵检测设备做联动的，就需要其他网络设备或者服务器的支持。

　　安全交换机的升级

　　目前市场上出了很多新的安全交换机，它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说，对于模块化的交换机，这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块，如思科Catalyst 6500就带有防火墙模块、入侵检测IDS模块等等安全模块；神州数码的6610交换机配备了PPPoE的认证模块，直接插入老交换机就能让这些“老革命”解决新问题。

　　如果以前购置的交换机是固定式的交换机，一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。

　　安全交换机的前景

　　随着用户对网络环境的需求越来越高，对具备安全功能的交换机的需求也越来越大。很多用户认为，花一定的投资在交换机的安全上，对整个网络健壮性和安全性的提高是值得的。特别是一些行业用户，他们对网络的需求绝非连通即可。如银行、证券以及大型企业，网络病毒爆发一次或者入侵带来的损失，足以超过在安全交换机上的额外投资。安全交换机已经成为交换机市场上的一个新亮点。

　　第三代移动通信系统以强大的通信能力，融合语音、视频和数据，向人们提供丰富的多媒体业务，满足市场日益增长的移动通信需求。

　　第三代移动通信系统的无线传输速率从最低要求固定2Mb/s，低速384Kb/秒，高速114Kb/s发展到WCDMA高速下行分组接入（HSDPA）的理论值14.2Mb/s和CDMA2000单载频EV-DV的3.09Mb/s，大大增强了3G的无线传输能力，扩展了应用范围。它的核心网络从电路交换和分组交换两个分离的网络发展到基于IP的多媒体的统一网络，3GPP称之为IP多媒体子系统（IMS），3GPP2称之为IP多媒体域（MMD）。其业务平台也从一个"竖井"结构转向一个开放的分布结构，大大增强了业务建立能力，减少了业务开发时间和成本。

　　第三代移动通信系统的发展越来越体现了一个协调、开放和统一的"家族"概念。第三代移动通信系统可以分为四个层次，即接入层、传输层、控制层和业务应用层。

　　接入层包括多种无线传输技术，如WCDMA、TD-SCDMA、CDMA2000等，以及对应的无线接入基站和基站控制器。它们构成了无线接入网络，负责无线传输、无线资源管理、移动性管理等功能。第三代移动通信能与无线局域网进行有效地互通，提供统一用户认证、统一的业务和应用，以及不同接入网络间的漫游和移动能力。

　　传输层包括了从原有分组交换网络和电路交换网络演进的结构，如电路交换的MSC、分组交换的GPRS，和控制与承载分离结构中的承载部分，如支持IP多媒体的媒体网关和多媒体资源处理器等。本层主要完成基于语音的或基于数据的通信流的交换，不同形式的媒体转换和传输。

　　控制层是由以IMS为核心的所有控制部分所组成。IMS独立于接入技术，是3G"家族"公用的。IMS基于IP技术，支持语音、视频、文字、数据等业务以及这些业务的组合，支持IPv6和QoS，支持开放的业务接口。该层还包括如MSC服务器，信令网关等设备。

　　应用业务层由用户数据，业务能力抽象功能，智能业务功能和各类应用服务器所组成。它向运营商、业务和内容提供商及其第三方业务开发者提供统一的，标准化的接口和业务环境，用某些独立于下面的网络和设备的方式提供应用、业务和内容。

AGW Access GateWay
AS Application Server
BGCF Breakout Gateway Control Function
BSC Base Station Controller
BR Border Router
CS-MGW Circuit Switched Media Gateway
CSCF Call Session Control Function
CSE CAMEL Service Environment
GGSN Gateway GPRS Support Node
HA Home Agent
HSS Home Subscriber Server
IMS IP Multimedia Subsystem
IMS-SSF IMS Service Switch Function
ISC IMS Service Control interface
MGCF Media Gateway Control Function
MGW Media Gateway MRFC Multimedia Resource Function Controller
MRFP Multimedia Resource Function Processor
MSC Mobile Switching Centre
OSA Open Service Architecture
PCF Packet Control Function
P-CSCF Proxy CSCF
PDF Policy Decision Function
PDSN Packet Data Service Node
RNC Radio Network Controller
SLF Subscription Locator Function
SCS Service Capability Server
SGSN Serving GPRS Support Node
SGW Signaling Gateway
SIP Session Initial Protocol
UPD User Profile Database
WAG/PDG WLAN Access Gateway/Packet Data Gateway

应用举例

多媒体子系统
　　3G的多媒体系统主要包括CSCF、MGCF、MGW、MRFC、MRFP、BGCF、SCS和AS。它不仅为移动用户提供基于IP的多媒体业务，还可以向固定用户提供业务。



　　CSCF管理多媒体会话并和用户业务接口。CSCF负责资源分配，会话状态和用户业务的次序，查询用户鉴权和业务数据并执行会话处理任务。CSCF可分为P-CSCF, 和归属网络CSCF。P-CSCF是用户在IMS中的第一个联系点，是归属网络CSCF的代理。为了实现负荷分担，隐藏内部网络结构或分配尽量靠近用户的S-CSCF，在归属网络中的CSCF可进一步分为I-CSCF和S-CSCF。 I-CSCF是网络的入口，负责分配为用户服务的S-CSCF，而S-CSCF是实际处理会话状态的设备。

　　MGCF通过标准接口提供控制媒体网关的能力。它控制媒体信道连接控制的呼叫状态，资源的分配和解除以及资源的变更。

　　MGW是为承载话务提供分组交换网络和电路交换网络间的接口。

　　MRFC控制媒体流资源的分配、解除和变更，解释来自应用服务器和S-CSCF的信息并控制对应的MRFP。MRFP控制分组承载接口，混合进入的多路媒体流，处理语音编码转换、语音识别、媒体分析等媒体流，管理会议共享资源的接入。

　　AS包括SIP AS、OSA AS和UMTS环境中基于CAMEL的IMS-SSF。它们被放在归宿或第三方网络中，向用户提供增值IP多媒体业务。AS为组合的分布结构。所有的AS可以放在一个主机中，一个AS可以放在一群主机中。SIP AS直接与网络设备接口并提供业务内容和业务控制。OSA AS通过OSA SCS提供的OSA API与网络设备接口。这类AS可以不依赖于下面的网络技术，使用开放标准的API来提供所有的应用。

　　BGCF为了把呼叫接到PSTN，它选择向PSTN出口的网络并在该网络中选择MGCF。BGCF和MGCF可以在任何归属、拜访和第三方的网络中。

无线接入系统



　　RNC和BSC分别提供一个或多个NodeB和BTS的控制和管理功能。它们主要负责无线资源管理和移动性管理功能，其中包括无线链路的分配、建立与释放，无线小区和基站间的切换。它们还完成系统信息广播、无线信道控制，语音和数据业务的用户数据传输和接入控制等功能。NodeB和BTS是3G系统的基站（即无线收发信机），支持WCDMA/TD-SCDMA和CDMA2000。它们包括无线收发信机和基带处理部件，主要完成空中接口物理层协议的处理。它的主要功能是扩频、调制、信道编码及解扩、解调、信道解码，还包括基带信号和射频信号的相互转换等功能。

分组数据系统
　　3G的分组网络分为3GPP的通用分组无线业务（GPRS）和3GPP2的分组数据子系统（PDS）。前者主要由SGSN和GGSN组成，后者主要由AGW、BR和HA组成。



　　GPRS为分组业务提供无线系统和固定网络之间的接口。它主要完成网络接入控制、分组选路和传输、移动性管理、QoS管理和策略执行等功能。SGSN是为移动终端服务的节点，它保持移动终端位置的轨迹并完成安全和接入控制功能。GGSN与SGSN间使用隧道连接。

　　PDS采用MIP技术，是支持多媒体的和传统的移动数据业务的网络。AGW包括PDSN以及其他一些所需要的功能，提供了对各种接入网络的公共接口。它提供移动IP登记和鉴权，支持外部代理（FA）和分组数据传输，切换、AAA客户端、QoS管理和策略执行等功能。归属代理（HA）主要完成用户当前附着点的登记和用户IP包的前转两大功能。



　　边界路由器（BR）将3G的IP核心网络与其他业务提供商、企业网络或互联网等对等网络相互连接。它完成IP包的选路、外部网关路由协议等功能并对进出流量进行策略控制。

　　PDF是为基于业务的IP承载资源本地控制实现策略判决点功能。PDF按照从P-CSCF获得的资源分配信息进行策略判决，提供自己网络中资源的管理。

电路交换系统
　　移动交换中心（MSC）MSC负责它所管辖范围内的交换和信令，除了常规的固定交换机功能，它还完成位置登记、切换等移动特有的功能。MSC可以软交换的方式来实现，分为两部分，一部分为MSC服务器，另一部分为媒体网关。MSC 服务器专门处理信令和控制，主要完成呼叫控制和移动控制功能。媒体网关处理用户数据，终结来自交换型电路网络的承载信道和来自分组网络的媒体流并进行媒体的转换，提供承载控制、编译码、回声消除、会议桥等功能。两者合起来完成MSC的全部功能。网关MSC(GMSC)是两个网络间专门用于查询被叫移动终端位置并完成选路功能的MSC。

3G和WLAN互通系统
　　WLAN接入网关（WAG）位于WLAN和3GPP网络之间。在用户漫游的情况下，它位于3GPP的拜访网络中。它为WLAN和3GPP网络间的数据流提供过滤、管制和计费功能。



　　 分组数据网关（PDG）提供WLAN用户到分组交换网络的接入。在接入归宿网络时它位于归属网络，在接入本地网络时它位于拜访网络。AAA Proxy位于拜访网络之中。它完成AAA的代理和过滤功能，用于WLAN用户设备接入和业务的鉴权和授权。

其他子系统
　　3G移动通信系统中还包括：含HLR和AuC的功能的归宿用户服务器（HSS）、可选的独立信令网关（SGW）、签约位置器（SLF）、定位服务子系统、智能业务子系统等。

产品选型
　　凌华提供从aTCA、PICMG 2.16到cPCI各系列的系统、板卡和解决方案，适合3G移动通信系统无线接入，电路、分组及多媒体承载和控制、应用和业务、数据中心等不同层次的需求。


aTCA系列包括系统、处理机板、交换板等产品，如
TCA-8506 5U 5槽系统、
aTCA-8014 10U 14槽系统，
aTCA-6890双Nocona 800MHz处理器板
aTCA-3120交换板


PICMG 2.16系统平台 包括21槽系统的cSPB-2100、8槽系统的cPSB-880和cPSB-800，都符合PICMG2.0、PICMG2.5、PICMG2.9、PICMG2.16规范；以及cPCIS -3300BLS刀片式服务器等

PICMG 2.16高性能处理器板包括

cPCI-6840 1.6GHz Pentium? M 处理器，提供千兆以太网口，PMC插槽；
cPCI-6820/10 双 Intel LV Tualatin处理器，最大支持2GB SDRAM，提供2个千兆网口、PMC插槽；
cPCI-6830 双1.26GHz Pentium Ⅲ处理器，支持3GB RAM；
cPCI-6765A LV Pentium Ⅲ无总线PICMG2.16刀片。

　　网络处理器板 cPCI-6240，基于Intel IXP2400，最大支持512MB SDRAM，4MB QDR SRAM，16MB FLASH。 配合使用凌华的OC3或OC12接口模块PMC8500系列，为SONET ATM 或POS到IP的转换提供了理想的解决方案。

　　名词解释：MSTP(Multi-service transport platform):

　　多业务传送平台（MSTP）是指基于SDH、同时实现TDM、ATM、IP等业务接入、处理和传送，提供统一网管的多业务传送平台。 作为传送网解决方案，MSTP伴随着电信网络的发展和技术进步，经历了从支持以太网透传的第一代MSTP到支持二层交换的第二代MSTP再到当前支持以太网业务QoS的新一代（第三代）MSTP的发展历程。

　　RPR(Resilient Packet Ring):

　　弹性分组环(RPR)技术是一种在环形结构上优化数据业务传送的新型MAC层协议，能够适应多种物理层(如SDH、以太网、DWDM等)，可有效地传送数据、话音、图像等多种业务类型。它融合了以太网技术的经济性、灵活性、可扩展性等特点，同时吸收了SDH环网的50ms快速保护的优点，并具有网络拓扑自动发现、环路带宽共享、公平分配、严格的业务分类(COS)等技术优势，目标是在不降低网络性能和可靠性的前提下提供更加经济有效的城域网解决方案。

　　1. IP传输网络的必要性

　　对于目前的广电行业而言，眼前的任务是尽快完成数字电视的建设工作。由于广电行业的一些历史原因，导致了在一块牌子之下，若干个互相独立的实体各自运作的一种行业事实。为了改变这样一种由于缺乏核心主导管理的运营主体，而导致的模转数工作无法全面有效推动的情形，广电行业内部正在全力推动传输网络环节的整合，以整合后的省级甚至是国家级的运营单位，去完成数字电视建设这一艰巨的任务。

　　在省网对各地市进行整合后，省网主前端和各地市分前端作为将作为一个整体的系统来统一运作，统一向全省各地的有线电视用户开展业务和提供服务。从这个前提出发，必然要求地理上分散在各个城市间的各种设备能够通过某种技术平台联系在一起，来实现彼此之间的通信、交互、以及完成各种需要彼此配合一起完成的功能。

　　能够实现交互式双向通信的技术目前有许多种，但是考虑到通用性、易用性、灵活性、成熟性、可扩展性的各方面的因素，最好的选择毫无疑问是基于IP的技术。这个世界上最大的互联网络（Internet）和绝大多数的协同工作的系统都是建立在IP通信技术之上的。在此次省网整合的过程中，我们也建议使用基于IP技术的平台来实现各地分前端系统与省主前端系统之间的通信与信息交互。

　　在这个IP通信平台上，需要完成的工作有以下几类：

　　1、综合网管：省网整合后，需要从省主前端对整个网络上的所有系统进行统一的管理，包括监控、告警、配置等。目前最为广泛使用的网管协议就是基于IP的SNMP协议，这也意味着省中心需要有通到各地市的用于运行网管系统的IP传输通道；

　　2、节目传输：省网整合后，原来各地市网自行接收节目信号并在本地播出的做法将不再使用，而是改为由省中心统一接收并制作节目然后发送给各地市网。为了能将大量节目从省中心发送到地市区，最佳的选择是通过地面的光网传输通道。IP作为目前最通用也是最成熟的传输技术，能够为节目传输带来成本低廉、灵活、多业务支持能力强等多种优势。

　　2. 传统DS3方式的一些弊端

　　为了实现网管功能而必须建造IP骨干网络可能大家都会认同，但在将节目从省中心下传到各地市分前端这个环节上，目前主流的应用还是通过ASI/DS3转换器将TS流适配到DS3电路中，再通过SDH网络进行发送，这种方式的结构如下图所示：

　　这种结构在省网整合后，通过省中心将大量节目下传到地市分前端的应用中会出现以下一些较明显的问题：

　　一期投资大：每一个TS流的传送都需要单独占用一个DS3端口。例如：省网下传100套数字节目，共计17路TS流，共有15个地市接收，共需要DS3端口：17*15=255个。这在ASI/DS3转换器和SDH节点机上的DS3板卡两项上都会造成很大的投资；

　　扩展性差，后续投资大：每增加传送一个TS流的节目都意味着每个地市都需要增加相应数量的端口；

　　如果传送数字节目的同时不能停止模拟信号，而模拟信号也需要经过省内光纤网下传，则DS3端口的耗费还需成倍增长；

　　将各地市的本地节目进行回传和统一制作EPG也是必须考虑的因素，会带来更大的在DS3上的投资。

　　另外，除了在投资和效益上的问题外，管理方面也会产生新的问题：SDH是点到点的电路传输技术，为了避免过多的开设电路占用网络资源，必须通过开设全环电路来让SDH环上的每个节点都从同一路传输信号中进行接收。可这样一来SDH天然具有的环路保护和切换机制就完全失效了，必须再通过其他机制来进行备份。而且，配置全环电路需要在ADM上进行配置，这意味着几乎不可能进行自动的故障恢复，而必须手动完成。

　　3. IP传输的实现方法

　　相较于传统的DS3传输方式，IP技术的优点在于灵活和高效率。打个比喻，DS3方式好像是使用很多只能放6个节目的箱子来进行搬运，而IP方式则是直接从架子上找着需要的东西就进行搬运，如下图所示：



　　从技术原理上而言，在IP传输通道中传送的都是单个的SPTS，不需要经过繁复的复用和解复用过程，而相应的则需要增加DVB到IP的网关（我们称其为媒体路由器）来将DVB的节目信号转为IP封包来进行传输。而为了充分考虑到广电网络在承载电视节目传输所必须保证的稳定性和可靠性，我们建议使用MSTP技术来将IP的灵活性、高效率和SDH的稳定性和高可靠性结合在一起。

　　MSTP技术可以有效地汇聚和集中IP、以太网、语音和存储以及传统的SDH和波分服务，构成一个简洁统一的光网络传输平台。现有的MSTP技术在同一个机箱内可以支持从STM-1到多波长STM-64的多种光传输速度，可直接上2M E1电路，并提供了在不影响正常服务的情况下进行带宽升级的选项，以满足不断增长的网络需求。通过将物理的SDH电路模拟成RPR环，再将以太网端口映射进RPR环中，MSTP达到了灵活性和稳定性的完美结合：以太网端口上支持各种IP协议栈上的信令来提供诸如路由、组播、QoS控制、安全等灵活的功能，而RPR环则提供了不低于SDH的故障恢复时间（<50ms）。同时，MSTP仍然支持各种传统的SDH以及波分的应用，完全可被当成SDH及波分设备来使用。

　　这样，通过基于MSTP的IP传输方式，可以在很大程度上避免DS3端口在真正的省网级应用中所带来的问题。

　　在每个分前端，其连接示意图如下图所示：



　　数字节目进入媒体路由器之后，经过指定的PID变换以及节目路由，封装进IP包并由千兆端口输出到MSTP设备；MSTP设备负责在SDH网上组建起逻辑上的RPR环，并将以太网端口映射进RPR环来实现交互通信、组播等一系列功能。IP封包就这样通过MSTP设备转换为SDH帧格式进入波分设备或直接从光纤上进行传输。

　　同样的通过省中心下传100套数字节目，和前面通过DS3传输的方式进行对比，现在的情形是：

　　省网下传100套数字节目，1路节目6M共计600M，1个千兆端口就绰绰有余了；

　　再增加新的节目，千兆端口中仍有余裕，可再增加大约50套节目的下传，不必增加任何新的设备；

　　在每个地市再增加1个千兆端口，就可增加另150套数字节目或25套模拟节目的传输；

　　IP通道中传输的都是SPTS，减省了大量复用和解复用的过程及设备。

　　4. 典型IP传输网络的规划

　　现有的广电省网基本上都建好了覆盖全省的SDH网络，从典型的省网业务规模角度考虑，共有四种不同的业务需要使用IP通道在SDH网上传输：

Ø用于综合网管的通信信道

Ø用于省中心节目下传的信道

Ø用于各地市节目回传的信道

Ø用于其他OA应用的信道

　　其中，按照用于综合网管的信道要求，必须使用带外管理的单独信道，因此需要单独为综合网管规划相应的信道。初步考虑在环上为综合网管提供2Mbps的带宽就足以满足综合网管各类数据收集、通信、数据库同步的需求。

　　假设某个省中心共有100套数字付费节目需要下传给下辖的15个地市，这100套数字节目按节目和频点规划共生成17个TS流，每个38.3Mbps，共574.5Mbps。再加上IP封装所产生的损耗，共计在SDH每个环上将需要600Mbps左右的带宽。

　　再假设每个地市都要两套节目需要回传，按照1路编码后的节目4.5M～5Mbps，按照IP封装后5Mbps计算，则每个地市分前端需要向省中心回传10Mbps的节目。这些回传节目必须使用点对点的通信信道来传输，也就是每个分前端都必须建立一条到省前端的SDH电路来传送。

　　这其中，节目下传是通过将以太网映射到RPR环中来实现的，在这个RPR环上可以实现第二层的组播，从而保障了利用一份带宽来传送节目给所有地市。而占用带宽不多且实时性要求不那么高的综合网管应用可以和其他的OA应用等一起跑在另同一个千兆RPR环里，通过QoS来保障综合网管业务对带宽资源的优先使用。最后，地市回传节目必须建立点对点的电路来实现，可以考虑仍使用传统的DS3方式来实现。

　　这样，整体的MSTP设备上的传输的端口规划如下：

	省前端	地市分前端
外部端口	2个STM-4 POS端口，提供2.5G的SDH链路	2个STM-4 POS端口，提供2.5G的SDH链路
内部端口	GE端口1：作为节目下传用 GE端口2：作为综合网管及OA应用用 15个DS3端口：作为接收回传的地市节目用	GE端口1：作为接收下传节目用 GE端口2：作为综合网管及OA应用用 1个DS3端口：作为地市回传节目用

　　5. 结论

　　从以上的说明可以看出，在未来的广电传输网络中，整合后的内容被灵活的分配和传输并使用是不可逆转的趋势。而更灵活的网络传输方式与传输控制则需要IP的灵活性来实现。而IP技术的高效、廉价更会是未来技术发展的方向。

　　这次十大关键词活动希望我们共同见证2005年中国通信产业，从技术、政策、市场、监管各个方面表现出来的巨大的活力，和全球通信产业技术革命促动下产生的深刻的变革，这是广大网友积极参与和评选的。另外通过网友的投票、专家的评析和网络搜索三个评价指标综合评判，由评选委员会最终评选产生的。

　　 1、电信普遍服务，专家指数是四星，网友指数是37.8，百度指数是4031。村通工程是信息产业部作为普遍服务的推进职责非常重要的一项工作，我们在“十五”期间有一个指标，行政村要达到95％，现在已经超过了97％。

　　 2、IPTV，专家指数三星半，网友指数46.7，百度指数408。IPTV和数字电视是三网融合的开始，实际上为消费者服务，为我们整个行业产业链中各个环节提供更大的机会，同时也要求我们在两个主要的市场，一个是电信市场，一个是媒体娱乐市场要有一个更加开放的市场环境，这样才能促进这个产业有更大的发展。

　　 3、网络融合，专家指数四星半，网友指数33.1，百度指数1002。大家现在都在谈三网融合，实际上可以从三个角度看，网络融合是非常基础的层面，第二个层面是业务融合，第三个层面是监管融合。

　　 4、WiMAX，专家指数四星，网友指数31.5，百度指数343。

　　 5、电信转型，专家指数五星，网友指数41.1，百度指数915。

　　 6、3G，专家指数五星，网友指数52.6，百度指数659。

　　 7、电信资费，专家指数四星，网友指数53.7，百度指数2149。

　　 8、TD—SCDMA测试，专家指数三星半，网友指数41.3，百度指数618。

　　 9、互联网治理，专家指数三星半，网友指数44.6，百度指数475。

　　 10、下一代网络，专家指数四星，网友指数48.3，百度指数277。

　　 希望明年有更多的网友和消费者能够更加关注这个行业的发展热点。

　　按照通信和计算技术的发展趋势来看，未来的世界将是一个高度信息化的时代。如此美妙的前景吸引了众多的通信和IT企业投身其中。然而落实到市场上，信息化的大盘中的每一块蛋糕并不是那么容易吃到的。“大客户”曾经是包括运营商与运营商之间、IT厂商与IT厂商之间竞争的焦点，但是大客户的数量毕竟有限，而且随着竞争的日益激烈，价格战和服务战在所难免，由此导致了大客户市场的利润率也在不断下降。那么，新的市场在哪里？有业界人士指出：“信息化市场竞争走向纵深化的必然结果就是中小企业的信息化市场浮出水面。”

　　今年8月，中国电信牵头，思科、神州数码、点击科技、惠普、联想、微软、用友和中兴通讯等企业参与，“中国中小企业信息化联盟”隆重登场。业界人士对于运营商牵头的意义看得很重，认为此举表明中国中小企业的信息化市场已经进入“规模化启动”的阶段。而对于众多的IT企业而言，在曾经“可望而不可即”的中小企业信息化市场上终于出现了新的机遇。

　　对于IT企业而言，参与产业合作，几乎是目前进入中小企业信息化市场并有望获得成功的唯一途径。

IT企业难补供需差距

　　中小企业是推动我国经济发展的重要力量，在经济社会协调发展方面发挥着重要作用。根据有关部门统计，中国GDP的55．6％、工业新增加值的74．7％、销售额的58．9％、税收的46．2％和出口总额的62．3％，是由中小企业创造的；专利技术的65％、技术创新的75％以上和新产品的80％都是由中小企业完成的；中小企业提供的就业岗位已占到就业岗位的75％。但是，根据2004年《中国信息统计年鉴》的数据，我国中小企业信息化的水平还整体落后，与发达国家相比差距较大，亟待发展。截至2004年上半年，国内近63％的中小企业还未建立自己的网站，利用互联网进行交易的中小企业仅占企业总数的11．11％，85％的企业对网站的应用局限于宣传企业形象和信息查询。因此，积极引导和大力推进中小企业信息化建设，既是顺应当今世界经济发展和市场竞争的迫切要求，也是实现产业升级和企业技术进步的基础条件，更是各级政府部门的重要职责。众多IT企业也早就“觊觎”这块市场多年，但是始终不敢涉水太深。

　　早在多年以前，已经有众多IT厂商在中小企业企业信息化市场耕耘不辍，但对中小企业的信息化始终不敢“涉水”太深，也鲜有成功实现规模运作的例子——基础差、预算低、重视不足，加上需求各异、方案个性化强、维护量大等等特点使中小企业信息化成为阻碍IT厂商全面介入的主要原因。实际上，中小企业也并非没有信息化的需求。一位中小企业老总认为，IT厂商鱼龙混杂，名牌企业的方案太贵，建设成本和维护成本都很高，企业难以承受，而小IT厂商虽然方案的价格便宜，但是经营大多不规范，变动太多，产品质量和售后服务没有保证，毕竟是一笔不小的投资。

　　供与需之间的存在着不小的差距，到底由谁来弥补这个差距呢。

运营商介入改变格局

　　由于企业信息化本身与计算能力和通信能力相关，因此电信运营商也将企业信息化作为目标市场，基于运营商提供的网络服务，可以实现一部分企业管理智能，但是从总体上看，软件和企业定制化服务与专业的企业管理软件开发商相比，还有很大的差距。随着运营商间竞争的加剧，在传统通信服务趋于饱和以及大客户竞争的压力驱动下以及中小企业发展日趋活跃，信息化需求日益强烈，运营商开始关注中小企业的信息化市场。

　　中国电信介入“中小企业信息化联盟”本身，对这个市场无疑起到了强有力的推动作用。一方面，中国电信的品牌已经深入人心，具有很高的可信度；另一方面，中国电信的渠道已经深入到全国各地，甚至到乡村；第三，中国电信在产业链上占居主导地位，具备普通IT企业不具备的产业整合能力。因此，中国电信“振臂一呼”，得到了众多IT厂商的响应，而IT企业在软件、硬件以及系统集成方面的优势都能够得到充分的体现。中国电信有关负责人表示，联盟内部分工明确，应用提供商（AP）主要负责提供客户信息化应用建设的软件产品，并提供技术支持；设备提供商（EP）主要负责提供客户信息化应用建设的硬件产品与技术支持；客户服务提供商（CSP）负责提供客户信息化建设的规划与实施，运行维护及培训教育等；而中国电信负责综合信息服务平台的建设、运营以及产品的销售和客户服务。由此，中小企业信息化市场的开发进入了新的阶段。

产业合作赢得美好未来

　　针对中小企业信息化，中国电信还携手联盟伙伴共同推出了“商务领航”信息化解决方案。该方案就是利用电信及其他联盟成员的优势资源，面向中小型企业，在商企宽带的基础上为其提供量身定制能涵盖所有企业信息化建设需求的一站式信息化应用解决方案，真正为中小企业提供便宜、免维护、安全的全方位信息化服务。

　　目前，各地电信公司也基于集团公司的思路，加快了本地中小企业信息化建设的进程。

　　广东电信的“蓝色魅力”商业合作计划从今年5月推出后已经日益走向深入，有关负责人表示，将会有更多和更大规模的人力、物力的投入。按照广东电信的思路，中小企业的信息化建设单个利润较小，所以一定要做到规模发展。11月，由中国电信牵头，联合联想、长虹、用友、华为等十多家国内外知名IT厂商共同组成的四川省中小企业信息化联盟在成都成立，对四川省近四十万中小企业来说是一个好消息，四川电信有关人士表示，联盟将全力配合政府有关部门实施中小企业信息化推进工程，共同打造为中小企业提供支持和服务的信息化综合平台，创造良好的信息化建设基础环境，提供一体化的解决方案。随后不久，由上海电信与联想、微软、HP、用友软件、朗捷科技等近20家IT企业组成的“上海市中小企业信息化服务联盟”成立，业界分析人士认为，此举表明电信运营商正利用自身优势打造良好的中小企业信息化价值链，同时这也是电信企业自身转型中的一项重要内容。

　　我们可以看到，在运营商推进中小企业信息化的进程中，都离不开IT厂商的参与和支持。实际上，IT厂商也希望参与到联盟中去，共同把中小企业信息化市场这块“蛋糕”做大，取得共同成长。联想集团发布“成长计划”，力图通过产品、渠道和服务三位一体的方案，充分满足中小企业的IT需求。点击科技作为此次中小企业信息化联盟中唯一一家协同软件提供商，专门研发出一套广泛适用于中小企业用户的高效、方便、实用、低风险的协同应用解决方案，其明星产品——“竞开协同之星”可以实现综合通信、协同工作和联系人管理，具有突出的企业内部管理和沟通能力，显著降低企业的沟通与协作成本。点击科技副总裁刘岩认为，点击科技的方案可以实现企业通信和计算能力的良好融合。据刘岩介绍，曾有客户对点击科技的方案给予了高度评价，客户总结说：“这套系统为我们带来三点好处，一是为我们构建管理平台起到了很大的帮助，我们通常讲的管理要科学化，这就是很好的体现方法。作为管理层，特别是我们这种国有企业，工作内容庞杂，有了这套系统我就可以随时及时地提出处理意见；第二是方便实用，这是很重要的一点；第三是目前制造业市场变化很快，通过这些高效的信息化工具来提高工作效果，促进我们的产品的研发和市场的壮大。例如销售，我们需要市场信息要以最快的速度传输到公司的管理层或决策层，来反作用于我们的市场，只有构建了这种信息的高速公路，我们的需求才能实现，公司才能得到更新的发展。”神州数码ITS集团副总裁马荣增说，客户服务已经不仅仅是把东西卖出去，还包括供应链上的增值服务，把服务看重，看成自然发展规律，服务的范围很广，包括集成、咨询、软件外包。神州数码专注于中小企业ERP，对其进行调研分析，把用户需求排在第一位，有自己的分级服务体系，负责地说，不做自身服务达不到的业务。中兴通讯针对中小企业推出了通信解决方案，该方案融合了丰富的数据、视讯、语音网关等设备，能提供端到端的语音、数据、视讯三网合一解决方案。企业内部电话与视讯长途电话走自己的数据网，节约费用；组成语音VPN与视讯VPN，多种手段保证QoS。惠普公司既有中小企业业务在全球范围内的成功经验，又设有专门的中小企业推广部门，对中小企业用户需求深入研究。尤其是惠普公司的“灵动商务”战略，满足了中小企业对简单易用、高性价比产品及多样化多层次解决方案的需求，还针对用户特点设计出了“IT钟点工”、“灵动租赁”等多种服务项目，加之覆盖国内大部分城市的认证经销商网络，此次又适时推出适合ASP模式的终端硬件产品与解决方案，这些都是促使惠普公司成为联盟伙伴的原因。

　　由此可以看出，针对中小企业信息化市场，联盟已经加快了动作，已经完成了第一阶段的产品开发，并且开始推向市场。从各厂商的反响来看，产业合作使中小企业信息化这个“难啃”的市场变得更加富有吸引力。已经有越来越多的企业正在谋求加入各地的中小企业信息化联盟，搭上这趟由运营商牵头掌舵的“快车”。当然，这些工作还是初步的，随着市场的推进，联盟对于整个市场的认识会更加深刻，同时也会遇到一系列的新课题。我们也希望联盟以及联盟的运行能够持续下去，不要再次成为业界所担心的“虎头蛇尾”的联盟。而党的十六届五中全会对信息化又提出了新的要求，“中小企业信息化联盟”可谓正逢其时。

　　运营商对IPTV的投入表现在三个方面：一是IPTV系统的投入，包括局端设备的投入和用户端STB设备的投入；二是城域网和接入网方面的成本投入；三是IPTV投入使用后的维护管理成本。根据目前中国电信、中国网通试商用的情况，第一部分投入的成本至少需要1000元／用户，后两部分的成本目前还较难量化。

　　从试商用城市的情况来看，目前IPTV业务的资费情况是60元／月。其中分为两个部分，业务月租费用为20元；业务视频内容费用为40元。在此资费中，运营商的收入表现在两方面：一是业务月租费，每用户为20元／月，这部分是运营商能够完全拥有的。二是业务视频内容费用的分成，这是业务内容和网络提供所能带来的收入，这部分收入运营商和内容商采取分成的模式进行利益分割。按照STB投入方的不同，分成比例也不同，在这里取五五分成，运营商收入为五成，即20元。这样，运营商IPTV业务每用户的收入总计是40元／月。这样，可以得出运营商在IPTV上面的投资收入比：1000／40＝25（月）。由于还存在城域网、接入网方面的成本投入，而且IPTV投入使用后的维护管理成本也没有考虑在内，因此可以估计，运营商基于目前应用的IPTV的投资回报期不会少于三年，其中还未考虑三年期间IPTV设备的损耗。对于一个业务而言，三年的投资预期有些长。

　　人们不禁要问，那么长的投资回报期，运营商对IPTV却仍然痴情不改、热情不减，这是为什么？

　　IPTV正式商用之后，在一段时间里，基于技术和市场等多种原因，运营商将利用现有条件下的STB为用户提供基于IP承载的视频服务，包括电视直播、视频点播等。在今后更长的时间里，通过IPTV的应用，运营商无疑有这样几个方面的收获：一是吸引了更多的宽带用户；二是使运营商为用户提供基于IP网络的IP多业务终端成为可能；三是积累更多的在IP电信网络上开展电信级业务的运营经验。

　　目前IPTV应用尽管获得了一定的成功，但是在实现两个或者多个终端客户的电信业务方面还可以进一步加强。初期的IPTV仍然以视频电视节目为主，用户之间不能利用系统进行更多的交流，运营商的业务优势还没法得到充分体现。在IP上运行的电信业务与IPTV能提供的业务存在差距，而这些差距业务显然就是运营商ARPU增加的真正原因。通过STB的使用，可以进一步为用户提供一个以STB为核心的IP多业务“傻终端”，能够同时为用户提供数据接入、电视视频、网络浏览等多种业务，这是运营商对于宽带业务的考虑，IPTV应用成为运营商这种业务考虑的切入点。

　　此外，IPTV的价值还在于渗透到TV市场后继续进行业务渗透，提供VIDEOPHONE、SMS、MMS、WEB浏览、E－mail等业务，这必将进一步提高运营商的ARPU。而提供这些业务，就需要STB的支持。

运营商的IPTV实现路径

　　如右图所示，在运营商对IPTV的考虑中，STB扮演着重要的角色。以ADSL接入方式拓展的IPTV用户，如果要利用TV上网，实现在PC上能够实现的所有功能，就要借助于STB。而以FTTH接入方式拓展的IPTV用户，虽然可以以两条路径接入TV，但是，虚线表示的路径仅是单纯的模拟和数字电视接入，而要利用TV上网，同样要求IP承载条件下STB的功能实现。因此，未来的STB产品必定是对各种业务的技术融合，能够实现对多种业务的支持，从而成为家庭网络中开展多种IP电信业务的核心设备，而初期拓展的IPTV用户可以通过对现有STB的升级达到融合使用各种业务的目的。

　　于是，可以得出结论，随着IPTV技术与业务的进一步成熟、用户规模进一步扩大，借助于STB，运营商将能够利用IPTV为目标客户提供各种现在只能利用PC实现的业务，使TV变成IP的多业务终端，切实发挥运营商的IP网络优势，有效地将视频、通信和PC三个领域结合在一起，使运营商的ARPU不断提升。