что означает термин пассивный прием построения сети
Пассивный анализ сети
Пока меры безопасности действуют как барьеры сдерживания и ограничения доступа от известных и определенных типов атак, они практически не защищают от неизвестных угроз, существующих внутри предприятия
Все это прекрасные меры безопасности. Но почему же они считаются «передовой практикой» в индустрии, если все они также плохи для защиты, как замки в Средневековье. Пока меры безопасности действуют как барьеры сдерживания и ограничения доступа от известных и определенных типов атак, они практически не защищают от неизвестных угроз, существующих внутри предприятия. Кроме того, эти меры безопасности не дают нам дополнительных знаний о структуре наших сетей. Наше преимущество «игры на своем поле» заключается в том, чтобы знать о наших сетях больше, чем о них знают наши противники, и использовать их методы против них же.
Паранойя? Или, возможно, только благоразумие
По сути, крупные компании испытывают большие проблемы в этой области, особенно если их бизнес-модель роста включает в себя приобретение других компаний. Иногда ИТ-сотрудники даже не знают всех способов доступа сотрудников к Интернет, что сильно осложняет организацию системы безопасности в таких объединенных корпорациях. Эта проблема особенно остро стоит в организациях, которые часто осуществляют слияния и поглощения.
Теория пассивного анализа
Ключом для понимания методов пассивного анализа сети является понимание того, что они работает почти так же, как и активные методы построения карт. Все пассивные методы основываются на сценарии «запрос-ответ», они полагаются на чужой запрос, а затем собирают ответы (рис. 1).
Figure 1 – Active and Passive Network Analysis
В активном сценарии объект (А) отвечает на запрос приложения, который строит карты сети, что является эффективным, но для этого примера мы создали искусственные условия наблюдения. В пассивном сценарии объект (А) отвечает на запросы в результате нормального функционирования. В обоих случаях мы получаем данные об используемых портах и службах, потоках соединений, информацию о времени, по которым можно сделать предположение о рабочих характеристиках нашей сети. Но пассивный метод позволяет также сделать то, что невозможно сделать с помощью активного метода: мы можем видеть сеть с точки зрения пользователя и изучать поведение приложений в ходе обычных операций.
Пассивный метод имеет несколько преимуществ по сравнению активным методом сканирования. Пассивные методы не генерируют трафик при мониторинге сети, что может иметь важное значение для сетевых приложений или в случаях, когда сеть не способна обработать большие объемы информации, передаваемые по сети при сканировании. Пассивные методы не генерируют предупреждения систем обнаружения атак и журналы записей в хостах и серверах при мониторинге сети, сокращая общую аналитическую нагрузку. В некоторых случаях пассивный метод анализа может выявить наличие брандмауэров, маршрутизаторов и NAT коммутаторов, и, возможно, охарактеризовать хосты, находящиеся за ними.
Несмотря на все преимущества, связанные с пассивными методами, у него есть и недостатки. Для проведения пассивного анализа всегда требуется вставить аппаратный или программный датчика в исследуемую сеть. Датчики должны быть размещены в топологии сети так, чтобы через них проходил полезный трафик, что является не тривиальной задачей в современных коммутируемых сетях. И наконец, инструментарий для пассивного анализа гораздо менее развит, чем традиционные методы активного анализа, т.к. требуют значительных усилий от аналитика для размещения датчиков, сбора данных и анализа результата.
рисунок 2 = перехват трафика веб сессии, используя Ethereal
Благодаря тому, что TCP/IP fingerprinting работает в пассивном режиме почти также, как и в активном, мы можем выдвинуть некоторые гипотезы об операционных системах, используя системы перехвата трафика. Этот метод работает, потому что различные операционные системы имеют разные реализации TCP / IP стека. В своей статье «Know Your Enemy: Passive Fingerprinting» Спицнер (4 марта 2002 года) обсуждал четыре параметра, которые, постоянно варьировались между операционными системами: TTL, размер окна, DF и TOS. Программа Залевского p0f 2.0 расширяет эти параметры, позволяя проводить гораздо более точных тестов для выявления операционных систем в пассивном режиме (рис. 3).
Figure 3 – Типичная сигнатура p0f
При повторном запуске p0f для захваченного ранее трафика мы определяем вебсервер как систему FreeBSD 6.x для данного Web сервера.
Этот пример демонстрирует основные принципы пассивного анализа сети. Мы можем использовать аналогичные приемы и методы для описания статистики трафика (процент запросов TCP, UDP, ARP и т.д.), отслеживания состояние соединения, используемой полосы пропускания, числа и размера передаваемых пакетов и т.д.
Потенциальные возможности использования пассивного анализа
Преимущество пассивного анализа заключается в том, что вам не придется ничего делать для сбора данных – они будут собираться во время обычной эксплуатации сети. В конце концов, если бы пользователи и приложения не нуждались в данных на серверах, сети не стояли бы на первом месте. Наши сети постоянно отправляют данные с узлов по всей корпорации, и каждая из этих транзакций является потенциальным источником сбора и анализа данных. Задача нас – аналитиков – состоит в том, чтобы выяснить, какую информацию мы хотим получить из этих данных:
Осведомленность о ситуации
Пассивные методы анализа могут многое сказать нам о нашей сети и о том, как она работает в нормальной ситуации. Без четкого понимания инфраструктуры очень сложно разработать эффективную политику в области безопасности. Например, если вы не знаете адресное пространство, способы доступа в Интернет из сети или операционные системы, установленные в сети, как можно оценить возможность влияния уязвимости и последствия с точки зрения безопасности сети? Или правильно ли размещены у Вас брандмауэры и IDS-датчики в сети?
Политика форсирования.
Обнаружения утечки инсайдерской информации
Пассивный анализ может помочь выявить уязвимости в системе безопасности, не обнаруженные внутри периметра. Хорошим примером может быть Wualess BackDoor, о котором сообщил Symantec [11, Backdoor.Wualess.C]. Эта угроза открывала BackDoor и пыталась установить связь с IRC-сервером через TCP-порт 5202 в домене dnz.3322.org, используя канал «# Phantom». Существует три дискретных критерия, по которым мы можем легко определить эту угрозу: присутствие TCP 5202, IRC-протокола в целом и исходящего соединения на этот домен. Если мы осведомлены о ситуации в сети (какие виды трафика разрешается использовать в сети нашего предприятия), то будет легко выявить данную угрозу.
Реакция на инцидент
Пассивный анализ является бесценным инструментом при реагировании на инцидент. Злоумышленники не устанавливают системы, они только их используют. В большинстве случаев исполняемый код злоумышленника работает по тому же принципу. Мониторинг сети в режиме реального времени позволяет определять зону копроментации, какие системы могут быть затронуты нападением и, возможно, как это нападение произошло.
Определения и предупреждения
Данные методы остаются громоздкими, в основном потому, что на рынке представлено не так много комплексного ПО, предоставляющего весь спектр инструментов для пассивного анализа. Тем не менее, они имеют огромный потенциал и легко внедряются в большинство малых и средних сетей с использованием открытого программного обеспечения. Зная, как выглядят наши сети и как они используются, мы можем использовать «преимущество игры на своем поле» и предотвратить нападение на наши системы.
Содержание:
Технология PON
PON (Passive optical network) — технология пассивных оптических сетей.
Одна из главных задач, стоящих перед современными телекоммуникационными сетями доступа – так называемая проблема «последней мили», предоставление как можно большей полосы пропускания индивидуальным и корпоративным абонентам при минимальных затратах.
Суть технологии PON заключается в том, что между приемопередающим модулем центрального узла OLT (Optical line terminal) и удаленными абонентскими узлами ONT (Optical network terminal) создается полностью пассивная оптическая сеть, имеющая топологию дерева. В промежуточных узлах дерева размещаются пассивные оптические разветвители (сплиттеры) – компактные устройства, не требующие питания и обслуживания. Один приемопередающий модуль OLT позволяет передавать информацию множеству абонентских устройств ONT. Число ONT, подключенных к одному OLT, может быть настолько большим, насколько позволяет бюджет мощности и максимальная скорость приемопередающей аппаратуры.
Рис. 1. Архитектура PON сети
Для передачи прямого и обратного каналов используется одно оптическое волокно, полоса пропускания которого динамически распределяется между абонентами, или два волокна в случае резервирования. Нисходящий поток (downstream) от центрального узла к абонентам идет на длине волны 1490 нм и 1550 нм для видео. Восходящие потоки (upstream) от абонентов идут на длине волны 1310 нм с использованием протокола множественного доступа с временным разделением (TDMA).
Центральный узел PON может иметь сетевые интерфейсы ATM, SDH (STM-1), Gigabit Ethernet для подключения к магистральным сетям. Абонентский узел может предоставлять сервисные интерфейсы 10/100Base-TX, FXS (2, 4, 8 и 16 портов для подключения аналоговых ТА), E1, цифровое видео, ATM (E3, DS3, STM-1c).
| APON | BPON | EPON (GEPON) | GPON | |
| Стандарт | G.983 | ITU G.983 | IEEE 802.3ah | ITU G.984.6 |
| Полоса пропускания для нисходящего потока | 155 Мбит/с | 622 Мбит/с | 1,244 Гбит/с | 2,488 Гбит/с |
| Полоса пропускания для восходящего потока | 155 Мбит/с | 155 Мбит/с | 1,244 Гбит/с | 1,244 Гбит/с |
| Емкость | 32 | 32 | 64 | |
| Максимальная длина передачи, км | 20 | 20 | 60 | |
| Затухание линии PON | 26 дБ | 22 дБ |
Рис.2. Сравнение технологий
Тестирование PON сети
При тестировании сети PON оператора обычно волнуют два основных вопроса:
Для ответа на первый вопрос достаточно провести простые измерения с помощью оптического тестера. Второй вопрос более сложен и требует применения оптического рефлектометра (OTDR), а также определенного опыта расшифровки рефлектограмм.
Как правило, желательно, чтобы все необходимые измерения могли проводиться на работающей сети PON без отключения абонентов (кроме, возможно, тестируемого). Такое тестирование осуществляется на нерабочей длине волны с применением дополнительных устройств (волновых мультиплексоров DWDM, фильтров), чтобы излучение измерительной аппаратуры не вносило помех в полезный сигнал. Как уже упоминалось, в сети PON для прямого канала (от центра к абонентам) используется длина волны 1490 или 1550 нм (для видео), для обратного – 1310 нм. Для тестирования сети PON обычно используют длину волны 1625 нм.
Излучение измерительной аппаратуры (тестера, рефлектометра) вводится в волокно сразу после OLT с использованием волнового мультиплексора (DWDM). Это излучение способно вызвать помехи на оптическом приемнике абонентского устройства, поэтому перед каждым абонентским устройством ONT необходимо установить фильтр. Для того чтобы можно было проводить тестирование без отключения сети, волновой мультиплексор и фильтры должны быть стационарно включены в оптический тракт, (см. Рис. 3).
Рис. 3. Схема подключения волнового мультиплексора и фильтров к PON
Для измерения затухания в оптической линии между OLT и ONT используется оптический тестер на 1625 нм. Передатчик тестера подключается к свободному концу волнового мультиплексора на OLT. Приемник тестера подключается к свободному концу волокна перед фильтром, (см. Рис. 4).
Рис. 4. Измерение затухания с отключением абонентского устройства
Можно измерять затухание и без отключения абонентского устройства. Для этого на ONT нужно использовать не фильтр, а волновой мультиплексор, как на центральном узле, (см. Рис. 5).
Рис. 5. Измерение затухания без отключения абонентского устройства
Затухание на длине волны 1625 нм несколько выше, чем на 1550 и 1490 нм (в среднем на 10%). Поэтому тестирование затухания на длине волны 1625 нм дает оценку сверху для затухания на рабочих длинах волн. Если эта оценка укладывается в допустимый бюджет (23 дБ), то затухание на рабочих длинах волн заведомо удовлетворяет требованиям по бюджету. Если затухание на длине волны 1625 нм превышает допустимое значение, то для точного определения затухания на рабочих длинах волн необходимо провести перерасчет на основе паспорта оптического кабеля.
Измерение в PON с помощью оптического тестера позволяет получить реальное значение затухания на участке от OLT до ONT, но не дает ответа на вопрос, где находится проблемный участок, если это затухание оказалось выше ожидаемого (расчетного или опорного). Для локализации проблемного участка используется более сложное устройство – оптический рефлектометр (OTDR).
Рефлектометр с тестовым модулем на 1625 нм подключается к свободному концу волнового мультиплексора на OLT, (см. Рис. 6). Излучение рефлектометра распространяется по дереву PON и за счет отражения на препятствиях и обратного рассеивания в оптическом волокне частично поступает обратно на вход рефлектометра. Таким образом, снимается рефлектограмма дерева PON – график затухания в линии в зависимости от расстояния. Каждый пик или скачок затухания на этом графике соответствует определенному элементу сети, либо событию в волокне.
Рис. 6. Снятие рефлектограммы дерева PON
Методика тестирования сети PON с использованием рефлектометра заключается в следующем. После каждого изменения топологии сети (подключения нового абонента, замены сплиттера и т.п.) снимается опорная (эталонная) рефлектограмма, соответствующая нормальному состоянию сети. При обнаружении проблем в сети (например, если затухание, измеренное оптическим тестером, оказалось выше расчетного) снимается новая рефлектограмма, которая сравнивается с опорной. Новые события на рефлектограмме локализуют местоположение проблемного участка, (см. Рис. 7).
0.4 дБ/км, 0.5 дБ на коннектор
0.03 дБ на точку сварки
3.5 дБ на сплиттер 1:2
7.2 дБ на сплиттер 1:4
10.7 дБ на сплиттер 1:8
14.4 дБ на сплиттер 1:16
Рис. 7. Анализ новых событий на рефлектограмме.
С помощью рефлектометра можно вести мониторинг сети PON и обнаруживать деградации волокна еще до того, как возникнут проблемы. Для этого необходимо регулярно (например, раз в неделю) снимать рефлектограмму сети и сравнивать ее с опорной рефлектограммой. При появлении любых отклонений и тем более новых событий на рефлектограмме необходимо анализировать их возможные причины и при необходимости проводить адекватные профилактические мероприятия.
Основные преимущества технологии PON
Измерения в FTTx PON / GPON сетях
В процессе строительства сетей FTTx PON необходимо выполнять четыре основных измерения:
В процессе ввода в эксплуатацию сетей FTTx PON необходимо выполнять два основных измерения:
В чем разница между активным и пассивным сетевым оборудованием
Чтобы можно было получить доступ в сеть необходимо иметь установленное и правильно настроенное сетевое оборудование, которое бывает как активным, так и пассивным.
Главная задача активного сетевого оборудования это обеспечение устойчивой передачи данных от компьютера к компьютеру. Типичным примером такого оборудования являются маршрутизаторы, благодаря которым подключенные к ним компьютеры имеют возможность выходить в интернет. Любой, так сказать, представитель активного сетевого оборудования оперирует пакетной передачей данных. При этом каждый пакет несет полную информацию о местонахождении, целостности содержащихся данных и иные важные сведения. Все это дает возможность надежно и в полном объеме доставить данные куда требуется.
От качества сетевого оборудования во многом зависит надежность передачи сигнала с данными. И здесь важно найти надежную компанию, специализация которой продажа сетевого оборудования. Компании, давно работающие на рынке телекоммуникаций способны предоставить своим клиентам массу преимуществ от значительной экономии денег до последующего эксплуатационного обслуживания.
Помимо функции передачи данных активное сетевое оборудование также может создавать каналы передачи данных. Это необходимо по той причине, что в сети существует бесчисленное множество способов пересылки данных, прямо зависящих как от текущей нагрузки на сеть, так и занятых или свободных устройств.
Задачу подключения к сети решают сетевые адаптеры. За прием и усиление сигнала отвечают усилители или репитеры, при этом оператор всегда может разветвить полученный сигнал. Если сигнал сформирован по одной технологии, а приемное устройство работает по другой, то в дело вступают преобразователи. Хотя сфера их деятельности относительно ограничена и их используют лишь там, где передача данных невозможна по какой-то технологии, и таким образом приходится преобразовывать сигнал.
Чтобы создать единую сеть между несколькими компьютерами, используют специальные сетевые устройства, вроде коммутаторов и концентраторов. При этом распределением пакетов данных между компьютерами и сегментами сети занимаются маршрутизаторы.
Таким образом, активное сетевое оборудование позволяет создать распределенную информационную структуру, благодаря которой пользователи могут отправлять и получать некие объемы данных на большом расстоянии.
все о пассивных оптических сетях (PON)
Пару лет назад мы уже публиковали краткий ознакомительный материал о пассивных оптических сетях (PON). Однако в те времена рынок еще только присматривался к этой относительно молодой технологии – в мире только-только появлялись первые инсталляции PON-сетей и счет их шел на единицы. О приходе же PON в Беларусь тогда еще и речи не было. Сегодня ситуация изменилась: PON отлично показал себя в крупных операторских сетях по всему миру, и постепенно идет в массы, становясь доступным и привлекательным решением последней мили и для более мелких провайдеров.
В Беларуси тоже наметилась подвижка – оборудованием PON производства компании Terawave Communications занялась фирма Solo. О чем с радостью и сообщила на семинаре, проходившем в Минске 9 августа.
Вот вам и хороший повод для большого, подробного и доходчивого технического материала по PON, вступление к которому вы сейчас и читаете 🙂
Об оборудовании же мы расскажем в ближайших номерах, следите за рубрикой hardware.
архитектура сетей PON
Развитие сети Internet, в том числе появление новых услуг связи, способствует росту передаваемых по сети потоков данных и заставляет операторов искать пути увеличения пропускной способности транспортных сетей. При выборе решения необходимо учитывать:
— разнообразие потребностей абонентов;
— потенциал для развития сети;
— экономичность.
На развивающемся телекоммуникационном рынке опасно как принимать поспешные решения, так и дожидаться появления более современной технологии. Тем более, что на взгляд авторов такая технология уже появилась – это технология пассивных оптических сетей PON (passive optical network).
Распределительная сеть доступа PON, основанная на древовидной волоконной кабельной архитектуре с пассивными оптическими разветвителями на узлах, возможно, представляется наиболее экономичной и способной обеспечить широкополосную передачу разнообразных приложений. При этом архитектура PON обладает необходимой эффективностью наращивания как узлов сети, так и пропускной способности в зависимости от настоящих и будущих потребностей абонентов.
Строительство сетей доступа в настоящее время главным образом идет по четырем направлениям:
— сети на основе существующих медных телефонных пар и технологии xDSL;
— гибридные волоконно-коаксиальные сети (HFC);
— беспроводные сети;
— волоконно-оптические сети.
Использование постоянно совершенствующихся технологий xDSL – это самый простой и недорогой способ увеличения пропускной способности существующей кабельной системы на основе медных витых пар. Для операторов когда требуется обеспечить скорость до 1-2 Мбит/c такой путь является наиболее экономичным и оправданным. Однако, скорость передачи до десятков мегабит в секунду на существующих кабельных системах, с учетом больших расстояний (до нескольких км) и низкого качества меди, представляется непростым и достаточно дорогим решением.
Другое традиционное решение – гибридные волоконно-коаксиальные сети (HFC, Hybrid Fiber-Coaxial). Подключение множества кабельных модемов на один коаксиальный сегмент приводит к снижению средних затрат на построение инфраструктур сети в расчете на одного абонента и делает привлекательным такие решения. В целом же здесь сохраняется конструктивное ограничение по полосе пропускания.
Беспроводные сети доступа могут быть привлекательны там, где возникают технические трудности для использования кабельных инфраструктур. Беспроводная связь по своей природе не имеет альтернативы для мобильных служб. В последние годы наряду с традиционными решениями на основе радио- и оптического Ethernet доступа, все более массовой становится технология WiFi, позволяющая обеспечить общую полосу до 10 Мбит/c и в ближайшей перспективе до 50 Мбит/c.
Следует отметить, что для трех перечисленных направлений дальнейшее увеличение пропускной способности сети связано с большими трудностями, которые отсутствуют при использовании такой среды передачи, как волокно.
Таким образом, единственный путь, который позволяет заложить способность сети работать с новыми приложениями, требующими все большей скорости передачи – это прокладка оптического кабеля (ОК) от центрального офиса до дома или до корпоративного клиента. Это весьма радикальный подход. И еще 5 лет назад он считался крайне дорогим. Однако в настоящее время благодаря значительному снижению цен на оптические компоненты этот подход стал актуален. Сегодня прокладывать ОК для организации сети доступа стало выгодно и при обновлении старых, и при строительстве новых сетей доступа (последних миль). При этом имеется множество вариантов выбора волоконно-оптической технологии доступа. Наряду со ставшими традиционными решениями на основе оптических модемов, оптического Ethernet, технологии Micro SDH появились новые решения с использованием архитектуры пассивных оптических сетей PON.
основные топологии оптических сетей доступа
Существуют четыре основные топологии построения оптических сетей доступа: «точка-точка», «кольцо», «дерево с активными узлами», «дерево с пассивными узлами».
Топология P2P (рис.1) не накладывает ограничения на используемую сетевую технологию. P2P может быть реализована как для любого сетевого стандарта, так и для нестандартных (proprietary) решений, например оптические модемы. С точки зрения безопасности и защиты передаваемой информации при соединении P2P обеспечивается максимальная защищенность абонентских узлов. Поскольку ОК нужно прокладывать индивидуально до абонента, этот подход является наиболее дорогим и привлекателен в основном для крупных абонентов.
Кольцевая топология (рис. 2.) на основе SDH положительно зарекомендовала себя в городских телекоммуникационных сетях. Однако в сетях доступа не все обстоит также хорошо. Если при построении городской магистрали расположение узлов планируется на этапе проектирования, то в сетях доступа нельзя заранее знать где, когда и сколько абонентских узлов будет установлено. При случайном территориальном и временном подключении пользователей кольцевая топология может превратится в сильно изломанное кольцо с множеством ответвлений, подключение новых абонентов осуществляется путем разрыва кольца и вставки дополнительных сегментов. На практике часто такие петли совмещаются в одном кабеле, что приводит к появлению колец, похожих больше на ломаную – “сжатых” колец (collapsed rings), что значительно снижает надежность сети. Фактически, главное преимущество кольцевой топологии сводится к минимуму.
Рис. 2. Топология «кольцо».
дерево с активными узлами
Дерево с активными узлами (рис. 3.) – это экономичное с точки зрения использования волокна решение. Это решение хорошо вписывается в рамки стандарта Ethernet с иерархией по скоростям от центрального узла к абонентам 1000/100/10 Мбит/с (1000Base-LX, 100Base-FX, 10Base-FL). Однако в каждом узле дерева обязательно должно находиться активное устройство (применительно к IP-сетям, коммутатор или маршрутизатор). Оптические сети доступа Ethernet, преимущественно использующие данную топологию, относительно недороги. К основному недостатку следует отнести наличие на промежуточных узлах активных устройств, требующих индивидуального питания.
Рис. 3. Топология «дерево с активными узлами».
дерево с пассивным оптическим разветвлением PON (P2MP)
Решения на основе архитектуры PON (рис. 4.) используют логическую топологию «точка-многоточка» P2MP (point-to-multipoint), которая положена в основу технологии PON, к одному порту центрального узла можно подключать целый волоконно-оптический сегмент древовидной архитектуры, охватывающий десятки абонентов. При этом в промежуточных узлах дерева устанавливаются компактные, полностью пассивные оптические разветвители (сплиттеры), не требующие питания и обслуживания.
Рис. 4. Топология «Дерево с пассивным оптическим разветвлением».
Общеизвестно, что PON позволяет экономить на кабельной инфраструктуре за счет сокращения суммарной протяженности оптических волокон, так как на участке от центрального узла до разветвителя используется всего одно волокно. В меньшей степени обращают внимание на другой источник экономии – сокращение числа оптических передатчиков и приемников в центральном узле. Между тем экономия второго фактора в некоторых случаях оказывается даже более существенной. Так, по оценкам компании NTT конфигурация PON с разветвителем в центральном офисе в непосредственной близости к центральному узлу оказывается экономичнее, чем сеть точка-точка, хотя сокращение длины оптического волокна практически нет! Более того, если расстояния до абонентов не велики (как в Японии) с учетом затрат на эксплуатацию (в Японии это существенный фактор) оказывается, что PON с разветвителем в центральном офисе экономичнее, чем PON с разветвителем, приближенным к абонентским узлам.
Преимущества архитектуры PON:
— отсутствие промежуточных активных узлов; экономия волокон;
— экономия оптических приемопередатчиков в центральном узле;
— легкость подключения новых абонентов и удобство обслуживания (подключение, отключение или выход из строя одного или нескольких абонентских узлов никак не сказывается на работе остальных).
Древовидная топология P2MP позволяет оптимизировать размещение оптических разветвителей исходя из реального расположения абонентов, затрат на прокладку ОК и эксплуатацию кабельной сети.
К недостаткам можно отнести возросшую сложность технологии PON и отсутствие резервирования в простейшей топологии дерева.
прицип действия PON
Основная идея архитектуры PON – использование всего одного приемо-передающего модуля в OLT для передачи информации множеству абонентских устройств ONT и приема информации от них. Реализация этого принципа показана на рис.5.
Число абонентских узлов, подключенных к одному приемо-передающему модулю OLT, может быть настолько большим, насколько позволяет бюджет мощности и максимальная скорость приемопередающей аппаратуры. Для передачи потока информации от OLT к ONT – прямого (нисходящего) потока, как правило, используется длина волны 1550 нм. Наоборот, потоки данных от разных абонентских узлов в центральный узел, совместно образующие обратный (нисходящий) поток, передаются на длине волны 1310 нм. В OLT и ONT встроены мультиплексоры WDM, разделяющие исходящие и входящие потоки.
Рис. 5. Основные элементы архитектуры PON и принцип действия
Прямой поток на уровне оптических сигналов, является широковещательным. Каждый ONT, читая адресные поля, выделяет из этого общего потока предназначенную только ему часть информации. Фактически, мы имеем дело с распределенным демультиплексором.
Все абонентские узлы ONT ведут передачу в обратном потоке на одной и той же длине волны, используя концепцию множественного доступа с временным разделением TDMA (time division multiple access). Для того, чтобы исключить возможность пересечения сигналов от разных ONT, для каждого из них устанавливается свое индивидуальные расписания по передаче данных c учетом поправки на задержку, связанную с удалением данного ONT от OLT. Эту задачу решает протокол TDMA MAC.
Некоторые стандарты ITU-T, регламентирующие технологию xPON.
В середине 90-х годов общепринятой была точка зрения, что только протокол ATM способен гарантировать приемлемое качество услуг связи QoS между конечными абонентами. Поэтому FSAN, желая обеспечить транспорт мультисервисных услуг через сеть PON, выбрал за основу технологию ATM. В результате в октябре 1998 года появился первый стандарт ITU-T G.983.1, базирующийся на транспорте ячеек ATM в дереве PON и получивший название APON (ATM PON). Далее в течение нескольких лет появляется множество новых поправок и рекомендаций в серии G.983.x (x=1–7), скорость передачи увеличивается до 622 Мбит/c. В марте 2001 года появляется рекомендация G.983.3, добавляющая новые сущности в стандарт PON:
— передачу разнообразных приложений (голоса, видео, данные) – это фактически позволило производителям добавлять соответствующие интерфейсы на OLT для подключения к магистральной сети и на ONT для подключения к абонентам;
— расширение спектрального диапазона – открывает возможность для дополнительных услуг на других длинах волн в условиях одного и того же дерева PON, например, шировещательное телевидение на третьей длине волны (triple play).
За расширенным таким образом стандартом APON закрепляется название BPON (broadband PON).
APON сегодня допускает динамическое распределение полосы DBA (dynamic bandwidth allocation) между различными приложениями и различными ONT и рассчитан на предоставление как широкополосных, так и узкополосных услуг.
Оборудование APON разных производителей поддерживает магистральные интерфейсы: SDH (STM-1), ATM (STM-1/4), Fast Ethernet, Gigabit Ethernet, видео (SDI PAL), и абонентские интерфейсы E1 (G.703), Ethernet 10/100Base-TX, телефония (FXS).
Из-за шировещательной природы прямого потока в дереве PON и потенциально существующей возможности несанкционированного доступа к данным со стороны ONT, которому эти данные не адресованы в APON предусмотрена возможность данных в прямом потоке с использованием техники шифрования с открытыми ключами. Необходимости в шифровании обратного потока нет, поскольку OLT находится на территории оператора.
Основные сведения стандарта PON G.983.1
GPON
Архитектуру сети доступа GPON (Gigabit PON) можно рассматривать как органичное продолжение технологии APON. При этом реализуется как увеличение полосы пропускания сети PON, так и повышение эффективности передачи разнообразных мультисервисных приложений. Стандарт GPON ITU-T Rec. G.984.3 GPON был принят в октябре 2003 года.
GPON предоставляет масштабируемую структуру кадров при скоростях передачи от 622 Мбит/с до 2,5 Гбит/c, поддерживает как симметричную битовую скорость в дереве PON для нисходящего и восходящего потоков, так и ассиметричную и базируется на стандарте ITU-T G.704.1 GFP (generic framing protocol, общий протокол кадров), обеспечивая инкапсуляцию в синхронный транспортный протокол любого типа сервиса (в том числе TDM). Исследования показывают, что даже в самом худшем случае распределения трафика и колебаний потоков утилизация полосы составляет 93% по сравнению с 71% в APON, не говоря уже о EPON.
Если в SDH деление полосы происходит статично, то GFP (generic framing protocol), сохраняя структуру кадра SDH, позволяет динамически распределять полосу.
сравнение технологий APON, EPON, GPON
В таблице представлен сравнительный анализ этих трех технологий.
Примечания:
1 – обсуждается в проекте.
2 – стандарт допускает наращивание сети до 128 ONT.
3 – допускается передача в прямом и обратном направлении на одной и той же длине волны.
4 – осуществляется на более высоких уровнях.
А теперь – немного чисто технической конкретики о том, как работают сети PON. В качестве примера взята разновидность APON.
Взаимодействие абонентского узла с центральным начинается с установления соединения. После чего происходит передача данных. Все это выполняется в соответствии с протоколом APON MAC. В процессе установления соединения запускается процедура ранжирования (ranging), которая включает в себя: ранжирование по расстоянию, ранжирование по мощности и синхронизацию. Центральный узел, словно дирижер, обеспечивает слаженную работу всех абонентских узлов – оркестрантов.
Протокол MAC для систем доступа APON решает три задачи:
— исключение коллизий между передачами в обратном потоке;
— четкое, эффективное, динамическое деление полосы обратного потока;
— поддержание наилучшего согласования для транспорта приложений, инициированных конечными пользователями.
Протокол APON MAC основан на механизме запрос/разрешение. Основная идея состоит в отправке со стороны ONT запросов на требуемую полосу. На основании знаний о том, как загружен обратный поток, и какие услуги a priori закреплены за тем или иным ONT, OLT принимает решение по обработке эти запросов.
В основе инициализации сети PON лежат три процедуры: определение расстояний от OLT до разных ONT (distance ranging); синхронизация всех ONT (clock ranging); и определение при приеме на OLT интенсивностей оптических сигналов от разных ONT (power ranging).
ранжирование по расстоянию
Ранжирование по расстоянию (distance ranging) – определение временной задержки, связанной с удалением ONT от OLT – выполняется на этапе регистрации абонентских узлов, и требуется для того, чтобы обеспечить безколлизионный транспорт и создать единую синхронизацию в обратном потоке.
Сначала администратор сети заносит в OLT данные о новом ONT, его серийный номер, параметры предоставляемых ONT услуг. Затем после физического подключения к сети PON этого абонентского узла и включения питания на нем, центральный узел начинает процесс ранжирования. Ранжирование с ONT, который прописан в реестре OLT происходит каждый раз при включении ONT. При выключении и включении питания на OLT ранжирование происходит со всеми зарегистрированными ONT.
ОLT, посылая сигнал ранжируемому ONT, слушает отклик от него и на основании этого вычисляет временную задержку на двойном пробеге RTT (round trip time), затем в прямом потоке передает ONT вычисленное значение. На основании этого абонентский узел ONT вносит соответствующую задержку, которая предшествует началу отправки кадра в обратном потоке. Абонентские узлы, находящиеся на разном расстоянии будут вносить разные задержки. При этом одинаковой по всем абонентским узлам будет сумма вносимой аппаратной задержки и задержки распространения светового сигнала по оптическому пути от ONT к OLT.
С учетом того, что расстояния OLT-ОNT могут изменяться в больших пределах (стандарт G.983.1 определяет диапазон 0-20 км), оценим возможные вариации задержки. Если учесть, что скорость света в волокне составляет 2*105 км/c, то приросту расстояния OLT-ONT на 1 км будет соответствовать увеличение времени задержки на двойном пробеге на 10 мкс. А для расстояния 20 км RTT составит 0,2 мс. Фактически это минимальное теоретическое время, которое требуется OLT, чтобы выполнить ранжирование с одним ONT. Ранжирование по расстоянию большего числа абонентских узлов происходит последовательно и требует пропорционального возрастания суммарного времени ранжирования. В течение этого времени обратный поток не может использоваться для передачи данных другими ONT.
После того, как ранжирование по расстоянию выполнено, OLT на основании прописанных услуг для каждого ONT и с использованием протокола МАС принимает решение, какому абонентскому узлу передавать в каждом конкретном временном слоте.
Заметим, что общая задержка при отправлении кадра в обратный поток вносится не только конечным временем распространения сигнала по волокну, но и элементами электроники OLT и ONT. Задержка со стороны последних может испытывать небольшой дрейф, например вследствие колебаний температуры оборудования. По этому на этапе передачи данных OLT сообщает ONT о небольших подстройках задержки, вносимой в обратный поток – микроранжирование (micro ranging). В результате точность, с которой стабилизируются отправляемые кадры от разных ONT, составляет 2–3 бита.
ранжирование по мощности
Ранжирование по мощности (power ranging) – изменение порога дискриминации фотоприемника с целью повышения чувствительности фотоприемника или во избежании его нежелательного насыщения. Поскольку ONT удалены на разные расстояния от OLT, то и вносимые потери в оптические сигналы, при распространении по дереву PON будут разными. Это может привести к нарушению работы фотоприемников из-за слабости сигнала либо из-за перегрузки.
Возможны два варианта выхода из сложившейся ситуации – либо подстраивать мощность передатчиков ONT, либо подстраивать порог срабатывания на фотоприемнике OLT. Был выбран второй вариант как более надежный.
Подстройка порога срабатывания фотоприемника OLT происходит каждый раз при получении нового пакета ATM из обратного потока по преамбуле на основе измерения интегральной мощности в преамбуле пакета.
Подстройка по мощности также необходима на всех ONT. Она выполняется аналогичным путем, но только один раз прежде чем синхронизировать приемник на для работы с синхронным TDM потоком от OLT. Затем непрерывно подсчитывается интегральная мощность на ONT, и делается плавная подстройка порога дискриминации фотоприемника.
Синхронизация или ранжирование по фазе (phase ranging) необходима как для прямого, так и для обратного потока.
Абонентские узлы ONT синхронизируются вначале своей инициализации и затем все время поддерживают синхронизацию, подстраиваясь под непрерывный TDM трафика от OLT, и осуществляя, как принято называть, синхронный прием данных.
Напротив центральный узел OLT синхронизируется каждый раз по преамбуле вновь приходящего пакета ATM. Знания вычисленной на этапе ранжирования по расстоянию временной задержки со стороны ONT, отправившего этот пакет, здесь не достаточно – требуется большая точность. Метод приема данных с синхронизацией по преамбуле принято называть асинхронным. Синхронизация по преамбуле аналогична решению в технологии десятимегабитного Ethernet с размером преамбулы 64 бита (8 байт). Однако сохранить такого же размера преамбулы для относительно небольшого пакета ATM (в обратном потоке) означало бы кране неэффективное использование полосы. Для технологии APON была разработана новая методика синхронизации, основанная на методе CPA (clock phase alignment), позволяющая провести необходимую синхронизацию по получению всего трех бит! Больший размер преамбулы пакета ATM в обратном потоке был выбран постольку, поскольку преамбула также несет функцию обеспечения процедуры ранжирования по мощности.
структура кадра APON для прямого и обратного потока
Для управления механизмом запрос/разрешение, FSAN определил структуру кадра APON для прямого и обратного потока. Этот формат был стандартизирован ITU-T в рекомендации G.983.1. На рис. 6 представлен формат кадра APON для симметричного режима трафика 155/155Мбит/c. Кадр прямого потока состоит из 56 ячеек ATM по 53 байта. Кадр обратного потока состоит из 52 пакетов ATM по 56 байт и одного слота MBS общей длины также 56 байт, рассмотренного ниже.
Разрешения на передачу посылаются пачками (bursts) в специальных служебных ячейках ATM – двух на один кадр, которые называются ячейками работы и обслуживания физического уровня PLOAM (physical layer operation and maintenance). Они следуют строго регулярно, чередуясь с 27 ячейками данных. В одной ячейке PLOAM размещается 26 разрешений для ONT, каждое на передачу всего одного (!) пакета ATM. Оставшиеся 54 ячейки в кадре прямого потока несут данные и не задействуются для работы механизма запрос/разрешение.
Обратный поток представляет совокупность пачек данных (bursts) от разных ONT. Абонентский узел может передавать данные только после получения соответствующего разрешения прочитанного из ячейки PLOAM. Пачки данных от ONT в APON передаются пакетами ATM. Единственное отличие пакета ATM от ячейки в том, что пакет имеет дополнительно преамбулу 3 байта. Таким образом длина пакета ATM 56 байт. Преамбула не нужна для ячеек в прямом потоке из-за синхронного режима приема данных, как указывалось выше. Первые два бита преамбулы не содержат оптического сигнала, что является достаточным для устранения перекрытие пакетов от разных ONT – в линии неизбежны небольшие колебания задержки при распространении сигнала.
Если принять во внимание, что разрешение на передачу необходимо для каждого пакета ATM, то суммарное число прописанных в ячейках PLOAM разрешений за продолжительное время должно соответствовать числу пакетов ATM, испущенных всеми ONT за это время. Почему в PLOAM помещается 26 разрешений? Две ячейки PLOAM могут дать разрешения на передачу 52 пакетов ATM, ровно столько, сколько их есть в кадре ATM для обратного потока.
слот MBS
Слот многократных запросов MBS (multi burst slot) в обратном потоке является служебным. Он информирует OLT о характере запросов по передаче со стороны ONT. Этот слот имеет 8 подполей или минислотов, соответствующих различным ONT (рис. 7). Если система PON рассчитана на 32 абонентских узла, то передать свои сведения о запросах на передачу все 32 ONT смогут только после четырех последовательно переданных слотов MBS, что составляет цикл. В системе из 64 ONT, цикл состоит из восьми слотов MBS. Передача одного кадра при скорости 155 Мбит/с длится 0,15 мс. На передачу всего цикла при 32 ONT потребуется 0,6 мс Другими словами, с периодичностью 0,6 мс ONT посылает служебные запросы о намерениях передавать. Запрос ONT посылает, когда в его выходном буфере сформировалась очередь для передачи. Поскольку ОNT сможет передавать только после получения разрешения в ячейке PLOAM, то чтобы оценить максимальное время с момента, кода в буфере подготовлена очередь, до момента начала передачи, следует к времени цикла 0,6 мс добавить задержку на двойном пробеге RTT (для сети с радиусом 20 км RTT составляет 0,2 мс), и получается 0,8 мс. К этому значению могут быть добавлены аппаратные задержки на OLT и ONT.
Рис. 7. Структура слота MBS.
Минислот состоит и 4-х полей: преамбулы (3 байта), аналогичной преамбуле в пакете ATM; двух полей ABR/GFR и VBR, длиной 8 и 16 бит, соответствующих двум типам запросов на полосу; поля контрольной суммы CRC (8 бит).
надежность и резервирование в APON
Слабой стороной систем доступа APON с топологией простого дерева является отсутствие резервирования. Самым неблагоприятным в этом случае мог бы быть сценарий с повреждением волокна, идущего от OLT к ближайшему разветвителю (фидерного волокна). Теряет связь весь сегмент, подключенный по этому волокну – десятки абонентских узлов, сотни абонентов остаются без сети. Среднее время ремонта (MTTR, Mean Time To Repair) может варьироваться в больших пределах от нескольких дней до нескольких недель в зависимости от оператора. В указанном случае однократного повреждения волокна наиболее отчетливо проявляется недостаток сети PON по сравнению с кольцевой топологией SDH.
Поэтому в уже в первой рекомендации G.983.1 в приложении IV обсуждался вопрос о построении защищенных систем APON. В силу специфики топологии PON, эта задача не является столь простой как в кольцевых топологиях SDH, поскольку полоса обратного потока в PON является общей и формируется множеством абонентских узлов. В рекомендациях G.983.1 предложено было изучить четыре различных топологии. Только две из них окончательно были выбраны для проработки в более поздней рекомендации G.983.5.
На рис. 8-10 показаны основные варианты построения резервных систем PON. Первое решение (рис. 8) обеспечивает частичное резервирование со стороны центрального узла. Для реализации данного решения требуется разветвитель 2xN. Центральный узел оснащается двумя оптическими модулями LT-1 и LT-2, в которых происходит терминирование двух волокон. В нормальном режиме при отсутствии повреждений волокон основной канал является активным, и по нему организуется дуплексная передача. Резервный канал – неактивный – лазерный диод на LT-2 выключен. Фотоприемник на LT-2 при этом может прослушивать обратный поток. Если повреждается идущее от центрального узла волокно основного канала, то автоматически активизируется приемо-передающая система LT-2, и на нее переключается модуль мультиплексирования, коммутации и кросс-коннекта на OLT, обеспечивая транспорт от интерфейсов магистрали. Для повышения надежности целесообразно брать фидерные волокна от разных, физически разнесенных оптических кабелей.
Рис. 8. Защищенная топология PON. Частичное резервирование со стороны центрального узла.
Частичное резервирование со стороны абонентского узла (рис. 9) позволяет повысить надежность работы абонентского узла. В этом случае требуется два оптических модуля LT-1 и LT-2 на абонентский узел. Переключение на резервный канал происходит аналогично предыдущему варианту. При резервировании абонентских узлов не обязательно подключать все абонентские узлы по резервному потоку. Различие по стоимости абонентских узлов с резервированием (два модуля LT-1 и LT-2 ) и без него (один модуль LT) позволяет дифференцированно предлагать услуги различным категориям абонентов.
Рис. 9. Защищенная топология PON. Частичное резервирование со стороны абонентского узла.
На рис. 10 показан вариант с полным резервированием системы PON. Система становится устойчивой как к выходу из строя приемо-передающего оборудования OLT и ONT, так и к повреждению любого участка волоконно-оптической кабельной системы. Информационные потоки на ONT генерируются одновременно обеими узлами LT-1 и LT-2 и передаются в два параллельных обратных потока. На OLT только одна версия двух копий сигналов передается дальше на магистраль. Аналогично происходит дублирование трафика в прямом потоке. При повреждении волокна или приемо-передающих интерфейсов переключение на резервный поток будет очень быстрым и не приведет к прерыванию связи.
Петренко И.И, Убайдуллаев Р.Р., к.ф-м.н, Телеком Транспорт.
обсуждение статьи
Сетевые решения. Статья была опубликована в номере 08 за 2004 год в рубрике технологии