PON承载小基站回传的网络安全防护的方法及系统与流程

文档序号:12278663阅读:811来源:国知局
PON承载小基站回传的网络安全防护的方法及系统与流程

本发明涉及无源光网络领域,具体是涉及一种PON承载小基站回传的网络安全防护的方法及系统。



背景技术:

PON(Passive Optical Network,无源光网络)技术是最新一代宽带无源光综合接入标准,具有高带宽、高效率、大覆盖范围、用户接口丰富等众多优点,被大多数运营商视为实现接入网业务宽带化、综合化改造的理想技术。参见图1所示,PON系统可以为用户提供数据、语音、IPTV(Internet Protocol Television,IP电视/交互式网络电视)等多种业务,真正实现三网融合。

小基站是一种小型、低功率蜂窝技术,通过固网宽带回程,主要用于家庭及中小企业办公室等室内场所,作为蜂窝网在室内覆盖的补充,为用户提供话音及高速数据业务。后续小基站如规模部署,采用PON回传是唯一可行的规模部署方案。由此,通过PON技术可实现未来住宅用户固定宽带、小基站一体化接入。

使用PON承载小基站回传,网络安全防护是一个亟待解决的重要问题。小基站所在的移动回传网络本身是一个封闭的网络,需要防止有人对移动回传网络上的数据进行截获和窃听,从而获取基站设备上的一些敏感数据,而PON由于可以承载多种业务,PON网络上是存在多种业务混合的情况的,如何实现业务的隔离和不同业务之间的保护,特别是对移动回传网络的隔离,是需要重点解决的问题。

目前PON系统上实现业务隔离主要是通过划分VLAN(Virtual Local Area Network,虚拟局域网)的方法来实现,但是静态的划分VLAN容易被检测到,使用相应的设备也可以发送相同VLAN的数据侵入到对应VLAN的网络中,存在一定的安全隐患。



技术实现要素:

本发明的目的是为了克服上述背景技术的不足,提供一种PON承载小基站回传的网络安全防护的方法及系统,能够在PON系统内部实现不同业务之间的隔离。

本发明提供一种PON承载小基站回传的网络安全防护的方法,包括以下步骤:

S1、在无源光网络PON系统中规划一段虚拟局域网VLAN地址池,所述VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;

S2、指定承载小基站回传业务的光网络单元ONU的端口号,被指定的ONU的端口被专用来承载小基站回传;

S3、PON系统定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下发到相应的ONU的端口上;

S4、ONU接收到VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。

在上述技术方案的基础上,所述VLAN地址池的范围为:1~4095。

在上述技术方案的基础上,所述VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业务的VLAN池为200~4000。

在上述技术方案的基础上,步骤S3中,所述PON系统中,OLT的主控盘每隔60秒,动态指派小基站回传业务的VLAN号,VLAN号范围从200~4000中随机选取。

本发明还提供一种PON承载小基站回传的网络安全防护的系统,该系统包括虚拟局域网VLAN池划分单元、光网络单元ONU、端口号指定单元、VLAN动态分配单元,其中:

所述VLAN池划分单元用于:在无源光网络PON系统中规划一段VLAN地址池,所述VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;

所述端口号指定单元用于:指定承载小基站回传业务的ONU的端口号,被指定的ONU的端口被专用来承载小基站回传;

所述VLAN动态分配单元用于:定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下发到相应的ONU的端口上;

ONU接收到VLAN动态分配单元下发的VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。

在上述技术方案的基础上,所述VLAN地址池的范围为:1~4095。

在上述技术方案的基础上,所述VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业务的VLAN池为200~4000。

在上述技术方案的基础上,所述VLAN动态分配单元每隔60秒,动态指派小基站回传业务的VLAN号,VLAN号范围从200~4000中随机选取。

与现有技术相比,本发明的优点如下:

(1)本发明在PON系统中规划一段VLAN地址池,所述VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;指定承载小基站回传业务的ONU的端口号,被指定的ONU的端口被专用来承载小基站回传;PON系统定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下发到相应的ONU的端口上;ONU接收到VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。本发明通过划分VLAN池,动态分配VLAN,能够在PON系统内部实现不同业务之间的隔离。

(2)经过实际测试,本发明能够保证承载小基站回传业务的VLAN不易被捕获,起到网络隔离和一定的防截获和防窃听功能。

(3)如果直接使用仪表测试数据业务,测试可以保证业务不会产生中断,同时还不会增加数据延迟,能够保证相应的操作不会影响到正常的数据业务。

附图说明

图1是PON系统的结构框图;

图2是本发明实施例中PON承载小基站回传的网络安全防护的方法的流程图。

图3是本发明实施例中基于划分VLAN池动态分配VLAN的应用实例示意图。

具体实施方式

下面结合附图及具体实施例对本发明作进一步的详细描述。

参见图2所示,本发明实施例提供一种PON承载小基站回传的网络安全防护的方法,包括以下步骤:

S1、在PON系统中规划一段VLAN地址池,VLAN地址池的范围为:1~4095,这段VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;

参见图3所示,VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业务的VLAN池为200~4000;

S2、指定承载小基站回传业务的ONU(Optical Network Unit,光网络单元)的端口号,被指定的ONU的端口被专用来承载小基站回传,不能用来做其它的用途;

参见图3所示,ONU1的端口用户承载普通数据业务,ONU2专门用于承载小基站回传,所有端口都是小基站回传业务端口;

S3、PON系统定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下发到相应的ONU的端口上;

参见图3所示,PON系统中,OLT的主控盘每隔60秒,动态指派小基站回传业务的VLAN号,VLAN号范围从200~4000中随机选取,并下发到ONU2的4个端口上;

S4、ONU接收到VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。

参见图3所示,ONU2接收到OLT主控盘的配置后,动态修改ONU端口上的业务VLAN,这时在ONU的端口上会实现一个1:1的VLAN翻译,将小基站发出的数据VLAN翻译为PON系统内部传送的VLAN号,也就是主控盘下发的VLAN号,以保证小基站的配置可以不同动态改变,改变的是PON系统内部的VLAN配置,相应的在OLT的上联口也会有一个1:1的VLAN翻译业务,将PON系统内部传递的VLAN号转换为上联设备支持的VLAN。

经过实际测试,该方法可以保证承载小基站回传业务的VLAN不易被捕获,起到网络隔离和一定的防截获和防窃听功能,同时如图3直接使用仪表测试数据业务,测试可以保证业务不会产生中断,同时还不会增加数据延迟,能够保证相应的操作不会影响到正常的数据业务。

本发明实施例还提供一种PON承载小基站回传的网络安全防护的系统,包括VLAN池划分单元、ONU、端口号指定单元、VLAN动态分配单元,其中:

VLAN池划分单元用于:在PON系统中规划一段VLAN地址池,VLAN地址池的范围为:1~4095,这段VLAN地址池专门供用户小基站回传网络使用,与其他业务的VALN不重叠;

参见图3所示,VLAN地址池中,配置普通数据业务的VLAN为100,用户小基站回传业务的VLAN池为200~4000;

端口号指定单元用于:指定承载小基站回传业务的ONU(Optical Network Unit,光网络单元)的端口号,被指定的ONU的端口被专用来承载小基站回传,不能用来做其它的用途;

参见图3所示,ONU1的端口用户承载普通数据业务,ONU2专门用于承载小基站回传,所有端口都是小基站回传业务端口;

VLAN动态分配单元用于:定期动态指派小基站回传业务的VLAN号,并动态的将这个VLAN配置下发到相应的ONU的端口上;

参见图3所示,VLAN动态分配单元每隔60秒,动态指派小基站回传业务的VLAN号,VLAN号范围从200~4000中随机选取,并下发到ONU2的4个端口上;

ONU接收到VLAN动态分配单元下发的VLAN配置后,动态生成相应的配置,实现小基站回传业务的通信。

本领域的技术人员可以对本发明实施例进行各种修改和变型,倘若这些修改和变型在本发明权利要求及其等同技术的范围之内,则这些修改和变型也在本发明的保护范围之内。

说明书中未详细描述的内容为本领域技术人员公知的现有技术。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1