PON承载小基站回传的网络安全防护的方法及系统技术领域
本发明涉及无源光网络领域,具体是涉及一种PON承载小基站回传的网络安全防
护的方法及系统。
背景技术
PON(Passive Optical Network,无源光网络)技术是最新一代宽带无源光综合接
入标准,具有高带宽、高效率、大覆盖范围、用户接口丰富等众多优点,被大多数运营商视为
实现接入网业务宽带化、综合化改造的理想技术。参见图1所示,PON系统可以为用户提供数
据、语音、IPTV(Internet Protocol Television,IP电视/交互式网络电视)等多种业务,真
正实现三网融合。
小基站是一种小型、低功率蜂窝技术,通过固网宽带回程,主要用于家庭及中小企
业办公室等室内场所,作为蜂窝网在室内覆盖的补充,为用户提供话音及高速数据业务。后
续小基站如规模部署,采用PON回传是唯一可行的规模部署方案。由此,通过PON技术可实现
未来住宅用户固定宽带、小基站一体化接入。
使用PON承载小基站回传,网络安全防护是一个亟待解决的重要问题。小基站所在
的移动回传网络本身是一个封闭的网络,需要防止有人对移动回传网络上的数据进行截获
和窃听,从而获取基站设备上的一些敏感数据,而PON由于可以承载多种业务,PON网络上是
存在多种业务混合的情况的,如何实现业务的隔离和不同业务之间的保护,特别是对移动
回传网络的隔离,是需要重点解决的问题。
目前PON系统上实现业务隔离主要是通过划分VLAN(Virtual Local Area
Network,虚拟局域网)的方法来实现,但是静态的划分VLAN容易被检测到,使用相应的设备
也可以发送相同VLAN的数据侵入到对应VLAN的网络中,存在一定的安全隐患。
发明内容
本发明的目的是为了克服上述背景技术的不足,提供一种PON承载小基站回传的
网络安全防护的方法及系统,能够在PON系统内部实现不同业务之间的隔离。
本发明提供一种PON承载小基站回传的网络安全防护的方法,包括以下步骤:
S1、在无源光网络PON系统中规划一段虚拟局域网VLAN地址池,所述VLAN地址池专
门供用户小基站回传网络使用,与其他业务的VALN不重叠;
S2、指定承载小基站回传业务的光网络单元ONU的端口号,被指定的ONU的端口被
专用来承载小基站回传;
S3、PON系统定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下
发到相应的ONU的端口上;
S4、ONU接收到VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。
在上述技术方案的基础上,所述VLAN地址池的范围为:1~4095。
在上述技术方案的基础上,所述VLAN地址池中,配置普通数据业务的VLAN为100,
用户小基站回传业务的VLAN池为200~4000。
在上述技术方案的基础上,步骤S3中,所述PON系统中,OLT的主控盘每隔60秒,动
态指派小基站回传业务的VLAN号,VLAN号范围从200~4000中随机选取。
本发明还提供一种PON承载小基站回传的网络安全防护的系统,该系统包括虚拟
局域网VLAN池划分单元、光网络单元ONU、端口号指定单元、VLAN动态分配单元,其中:
所述VLAN池划分单元用于:在无源光网络PON系统中规划一段VLAN地址池,所述
VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;
所述端口号指定单元用于:指定承载小基站回传业务的ONU的端口号,被指定的
ONU的端口被专用来承载小基站回传;
所述VLAN动态分配单元用于:定期动态指派小基站回传业务的VLAN号,并动态的
将这个VLAN配置下发到相应的ONU的端口上;
ONU接收到VLAN动态分配单元下发的VLAN配置后,动态生成相应的配置,实现小基
站回传业务的通信。
在上述技术方案的基础上,所述VLAN地址池的范围为:1~4095。
在上述技术方案的基础上,所述VLAN地址池中,配置普通数据业务的VLAN为100,
用户小基站回传业务的VLAN池为200~4000。
在上述技术方案的基础上,所述VLAN动态分配单元每隔60秒,动态指派小基站回
传业务的VLAN号,VLAN号范围从200~4000中随机选取。
与现有技术相比,本发明的优点如下:
(1)本发明在PON系统中规划一段VLAN地址池,所述VLAN地址池专门供用户小基站
回传网络使用,与其他业务的VALN不重叠;指定承载小基站回传业务的ONU的端口号,被指
定的ONU的端口被专用来承载小基站回传;PON系统定期动态指派小基站回传业务的VLAN
号,并动态的将这个VLAN配置下发到相应的ONU的端口上;ONU接收到VLAN配置后,动态生成
相应的配置,实现小基站回传业务的通信。本发明通过划分VLAN池,动态分配VLAN,能够在
PON系统内部实现不同业务之间的隔离。
(2)经过实际测试,本发明能够保证承载小基站回传业务的VLAN不易被捕获,起到
网络隔离和一定的防截获和防窃听功能。
(3)如果直接使用仪表测试数据业务,测试可以保证业务不会产生中断,同时还不
会增加数据延迟,能够保证相应的操作不会影响到正常的数据业务。
附图说明
图1是PON系统的结构框图;
图2是本发明实施例中PON承载小基站回传的网络安全防护的方法的流程图。
图3是本发明实施例中基于划分VLAN池动态分配VLAN的应用实例示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细描述。
参见图2所示,本发明实施例提供一种PON承载小基站回传的网络安全防护的方
法,包括以下步骤:
S1、在PON系统中规划一段VLAN地址池,VLAN地址池的范围为:1~4095,这段VLAN
地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;
参见图3所示,VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业
务的VLAN池为200~4000;
S2、指定承载小基站回传业务的ONU(Optical Network Unit,光网络单元)的端口
号,被指定的ONU的端口被专用来承载小基站回传,不能用来做其它的用途;
参见图3所示,ONU1的端口用户承载普通数据业务,ONU2专门用于承载小基站回
传,所有端口都是小基站回传业务端口;
S3、PON系统定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下
发到相应的ONU的端口上;
参见图3所示,PON系统中,OLT的主控盘每隔60秒,动态指派小基站回传业务的
VLAN号,VLAN号范围从200~4000中随机选取,并下发到ONU2的4个端口上;
S4、ONU接收到VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。
参见图3所示,ONU2接收到OLT主控盘的配置后,动态修改ONU端口上的业务VLAN,
这时在ONU的端口上会实现一个1:1的VLAN翻译,将小基站发出的数据VLAN翻译为PON系统
内部传送的VLAN号,也就是主控盘下发的VLAN号,以保证小基站的配置可以不同动态改变,
改变的是PON系统内部的VLAN配置,相应的在OLT的上联口也会有一个1:1的VLAN翻译业务,
将PON系统内部传递的VLAN号转换为上联设备支持的VLAN。
经过实际测试,该方法可以保证承载小基站回传业务的VLAN不易被捕获,起到网
络隔离和一定的防截获和防窃听功能,同时如图3直接使用仪表测试数据业务,测试可以保
证业务不会产生中断,同时还不会增加数据延迟,能够保证相应的操作不会影响到正常的
数据业务。
本发明实施例还提供一种PON承载小基站回传的网络安全防护的系统,包括VLAN
池划分单元、ONU、端口号指定单元、VLAN动态分配单元,其中:
VLAN池划分单元用于:在PON系统中规划一段VLAN地址池,VLAN地址池的范围为:1
~4095,这段VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;
参见图3所示,VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业
务的VLAN池为200~4000;
端口号指定单元用于:指定承载小基站回传业务的ONU(Optical Network Unit,
光网络单元)的端口号,被指定的ONU的端口被专用来承载小基站回传,不能用来做其它的
用途;
参见图3所示,ONU1的端口用户承载普通数据业务,ONU2专门用于承载小基站回
传,所有端口都是小基站回传业务端口;
VLAN动态分配单元用于:定期动态指派小基站回传业务的VLAN号,并动态的将这
个VLAN配置下发到相应的ONU的端口上;
参见图3所示,VLAN动态分配单元每隔60秒,动态指派小基站回传业务的VLAN号,
VLAN号范围从200~4000中随机选取,并下发到ONU2的4个端口上;
ONU接收到VLAN动态分配单元下发的VLAN配置后,动态生成相应的配置,实现小基
站回传业务的通信。
本领域的技术人员可以对本发明实施例进行各种修改和变型,倘若这些修改和变
型在本发明权利要求及其等同技术的范围之内,则这些修改和变型也在本发明的保护范围
之内。
说明书中未详细描述的内容为本领域技术人员公知的现有技术。