本發(fā)明涉及無源光網(wǎng)絡(luò)領(lǐng)域，具體是涉及一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)。

背景技術(shù)：

PON(Passive Optical Network，無源光網(wǎng)絡(luò))技術(shù)是最新一代寬帶無源光綜合接入標(biāo)準(zhǔn)，具有高帶寬、高效率、大覆蓋范圍、用戶接口豐富等眾多優(yōu)點(diǎn)，被大多數(shù)運(yùn)營商視為實(shí)現(xiàn)接入網(wǎng)業(yè)務(wù)寬帶化、綜合化改造的理想技術(shù)。參見圖1所示，PON系統(tǒng)可以為用戶提供數(shù)據(jù)、語音、IPTV(Internet Protocol Television，IP電視/交互式網(wǎng)絡(luò)電視)等多種業(yè)務(wù)，真正實(shí)現(xiàn)三網(wǎng)融合。

小基站是一種小型、低功率蜂窩技術(shù)，通過固網(wǎng)寬帶回程，主要用于家庭及中小企業(yè)辦公室等室內(nèi)場所，作為蜂窩網(wǎng)在室內(nèi)覆蓋的補(bǔ)充，為用戶提供話音及高速數(shù)據(jù)業(yè)務(wù)。后續(xù)小基站如規(guī)模部署，采用PON回傳是唯一可行的規(guī)模部署方案。由此，通過PON技術(shù)可實(shí)現(xiàn)未來住宅用戶固定寬帶、小基站一體化接入。

使用PON承載小基站回傳，網(wǎng)絡(luò)安全防護(hù)是一個(gè)亟待解決的重要問題。小基站所在的移動(dòng)回傳網(wǎng)絡(luò)本身是一個(gè)封閉的網(wǎng)絡(luò)，需要防止有人對(duì)移動(dòng)回傳網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行截獲和竊聽，從而獲取基站設(shè)備上的一些敏感數(shù)據(jù)，而PON由于可以承載多種業(yè)務(wù)，PON網(wǎng)絡(luò)上是存在多種業(yè)務(wù)混合的情況的，如何實(shí)現(xiàn)業(yè)務(wù)的隔離和不同業(yè)務(wù)之間的保護(hù)，特別是對(duì)移動(dòng)回傳網(wǎng)絡(luò)的隔離，是需要重點(diǎn)解決的問題。

目前PON系統(tǒng)上實(shí)現(xiàn)業(yè)務(wù)隔離主要是通過劃分VLAN(Virtual Local Area Network，虛擬局域網(wǎng))的方法來實(shí)現(xiàn)，但是靜態(tài)的劃分VLAN容易被檢測到，使用相應(yīng)的設(shè)備也可以發(fā)送相同VLAN的數(shù)據(jù)侵入到對(duì)應(yīng)VLAN的網(wǎng)絡(luò)中，存在一定的安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是為了克服上述背景技術(shù)的不足，提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)，能夠在PON系統(tǒng)內(nèi)部實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離。

本發(fā)明提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的方法，包括以下步驟：

S1、在無源光網(wǎng)絡(luò)PON系統(tǒng)中規(guī)劃一段虛擬局域網(wǎng)VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

S2、指定承載小基站回傳業(yè)務(wù)的光網(wǎng)絡(luò)單元ONU的端口號(hào)，被指定的ONU的端口被專用來承載小基站回傳；

S3、PON系統(tǒng)定期動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，并動(dòng)態(tài)的將這個(gè)VLAN配置下發(fā)到相應(yīng)的ONU的端口上；

S4、ONU接收到VLAN配置后，動(dòng)態(tài)生成相應(yīng)的配置，實(shí)現(xiàn)小基站回傳業(yè)務(wù)的通信。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池的范圍為：1～4095。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000。

在上述技術(shù)方案的基礎(chǔ)上，步驟S3中，所述PON系統(tǒng)中，OLT的主控盤每隔60秒，動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，VLAN號(hào)范圍從200～4000中隨機(jī)選取。

本發(fā)明還提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的系統(tǒng)，該系統(tǒng)包括虛擬局域網(wǎng)VLAN池劃分單元、光網(wǎng)絡(luò)單元ONU、端口號(hào)指定單元、VLAN動(dòng)態(tài)分配單元，其中：

所述VLAN池劃分單元用于：在無源光網(wǎng)絡(luò)PON系統(tǒng)中規(guī)劃一段VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

所述端口號(hào)指定單元用于：指定承載小基站回傳業(yè)務(wù)的ONU的端口號(hào)，被指定的ONU的端口被專用來承載小基站回傳；

所述VLAN動(dòng)態(tài)分配單元用于：定期動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，并動(dòng)態(tài)的將這個(gè)VLAN配置下發(fā)到相應(yīng)的ONU的端口上；

ONU接收到VLAN動(dòng)態(tài)分配單元下發(fā)的VLAN配置后，動(dòng)態(tài)生成相應(yīng)的配置，實(shí)現(xiàn)小基站回傳業(yè)務(wù)的通信。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池的范圍為：1～4095。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN動(dòng)態(tài)分配單元每隔60秒，動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，VLAN號(hào)范圍從200～4000中隨機(jī)選取。

與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)如下：

(1)本發(fā)明在PON系統(tǒng)中規(guī)劃一段VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；指定承載小基站回傳業(yè)務(wù)的ONU的端口號(hào)，被指定的ONU的端口被專用來承載小基站回傳；PON系統(tǒng)定期動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，并動(dòng)態(tài)的將這個(gè)VLAN配置下發(fā)到相應(yīng)的ONU的端口上；ONU接收到VLAN配置后，動(dòng)態(tài)生成相應(yīng)的配置，實(shí)現(xiàn)小基站回傳業(yè)務(wù)的通信。本發(fā)明通過劃分VLAN池，動(dòng)態(tài)分配VLAN，能夠在PON系統(tǒng)內(nèi)部實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離。

(2)經(jīng)過實(shí)際測試，本發(fā)明能夠保證承載小基站回傳業(yè)務(wù)的VLAN不易被捕獲，起到網(wǎng)絡(luò)隔離和一定的防截獲和防竊聽功能。

(3)如果直接使用儀表測試數(shù)據(jù)業(yè)務(wù)，測試可以保證業(yè)務(wù)不會(huì)產(chǎn)生中斷，同時(shí)還不會(huì)增加數(shù)據(jù)延遲，能夠保證相應(yīng)的操作不會(huì)影響到正常的數(shù)據(jù)業(yè)務(wù)。

附圖說明

圖1是PON系統(tǒng)的結(jié)構(gòu)框圖；

圖2是本發(fā)明實(shí)施例中PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的方法的流程圖。

圖3是本發(fā)明實(shí)施例中基于劃分VLAN池動(dòng)態(tài)分配VLAN的應(yīng)用實(shí)例示意圖。

具體實(shí)施方式

下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述。

參見圖2所示，本發(fā)明實(shí)施例提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的方法，包括以下步驟：

S1、在PON系統(tǒng)中規(guī)劃一段VLAN地址池，VLAN地址池的范圍為：1～4095，這段VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

參見圖3所示，VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000；

S2、指定承載小基站回傳業(yè)務(wù)的ONU(Optical Network Unit，光網(wǎng)絡(luò)單元)的端口號(hào)，被指定的ONU的端口被專用來承載小基站回傳，不能用來做其它的用途；

參見圖3所示，ONU1的端口用戶承載普通數(shù)據(jù)業(yè)務(wù)，ONU2專門用于承載小基站回傳，所有端口都是小基站回傳業(yè)務(wù)端口；

S3、PON系統(tǒng)定期動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，并動(dòng)態(tài)的將這個(gè)VLAN配置下發(fā)到相應(yīng)的ONU的端口上；

參見圖3所示，PON系統(tǒng)中，OLT的主控盤每隔60秒，動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，VLAN號(hào)范圍從200～4000中隨機(jī)選取，并下發(fā)到ONU2的4個(gè)端口上；

S4、ONU接收到VLAN配置后，動(dòng)態(tài)生成相應(yīng)的配置，實(shí)現(xiàn)小基站回傳業(yè)務(wù)的通信。

參見圖3所示，ONU2接收到OLT主控盤的配置后，動(dòng)態(tài)修改ONU端口上的業(yè)務(wù)VLAN，這時(shí)在ONU的端口上會(huì)實(shí)現(xiàn)一個(gè)1:1的VLAN翻譯，將小基站發(fā)出的數(shù)據(jù)VLAN翻譯為PON系統(tǒng)內(nèi)部傳送的VLAN號(hào)，也就是主控盤下發(fā)的VLAN號(hào)，以保證小基站的配置可以不同動(dòng)態(tài)改變，改變的是PON系統(tǒng)內(nèi)部的VLAN配置，相應(yīng)的在OLT的上聯(lián)口也會(huì)有一個(gè)1:1的VLAN翻譯業(yè)務(wù)，將PON系統(tǒng)內(nèi)部傳遞的VLAN號(hào)轉(zhuǎn)換為上聯(lián)設(shè)備支持的VLAN。

經(jīng)過實(shí)際測試，該方法可以保證承載小基站回傳業(yè)務(wù)的VLAN不易被捕獲，起到網(wǎng)絡(luò)隔離和一定的防截獲和防竊聽功能，同時(shí)如圖3直接使用儀表測試數(shù)據(jù)業(yè)務(wù)，測試可以保證業(yè)務(wù)不會(huì)產(chǎn)生中斷，同時(shí)還不會(huì)增加數(shù)據(jù)延遲，能夠保證相應(yīng)的操作不會(huì)影響到正常的數(shù)據(jù)業(yè)務(wù)。

本發(fā)明實(shí)施例還提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護(hù)的系統(tǒng)，包括VLAN池劃分單元、ONU、端口號(hào)指定單元、VLAN動(dòng)態(tài)分配單元，其中：

VLAN池劃分單元用于：在PON系統(tǒng)中規(guī)劃一段VLAN地址池，VLAN地址池的范圍為：1～4095，這段VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

參見圖3所示，VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000；

端口號(hào)指定單元用于：指定承載小基站回傳業(yè)務(wù)的ONU(Optical Network Unit，光網(wǎng)絡(luò)單元)的端口號(hào)，被指定的ONU的端口被專用來承載小基站回傳，不能用來做其它的用途；

參見圖3所示，ONU1的端口用戶承載普通數(shù)據(jù)業(yè)務(wù)，ONU2專門用于承載小基站回傳，所有端口都是小基站回傳業(yè)務(wù)端口；

VLAN動(dòng)態(tài)分配單元用于：定期動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，并動(dòng)態(tài)的將這個(gè)VLAN配置下發(fā)到相應(yīng)的ONU的端口上；

參見圖3所示，VLAN動(dòng)態(tài)分配單元每隔60秒，動(dòng)態(tài)指派小基站回傳業(yè)務(wù)的VLAN號(hào)，VLAN號(hào)范圍從200～4000中隨機(jī)選取，并下發(fā)到ONU2的4個(gè)端口上；

ONU接收到VLAN動(dòng)態(tài)分配單元下發(fā)的VLAN配置后，動(dòng)態(tài)生成相應(yīng)的配置，實(shí)現(xiàn)小基站回傳業(yè)務(wù)的通信。

本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明實(shí)施例進(jìn)行各種修改和變型，倘若這些修改和變型在本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則這些修改和變型也在本發(fā)明的保護(hù)范圍之內(nèi)。

說明書中未詳細(xì)描述的內(nèi)容為本領(lǐng)域技術(shù)人員公知的現(xiàn)有技術(shù)。