本發(fā)明涉及無源光網(wǎng)絡(luò)領(lǐng)域，具體是涉及一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的方法及系統(tǒng)。

背景技術(shù)：

PON(Passive Optical Network，無源光網(wǎng)絡(luò))技術(shù)是最新一代寬帶無源光綜合接入標準，具有高帶寬、高效率、大覆蓋范圍、用戶接口豐富等眾多優(yōu)點，被大多數(shù)運營商視為實現(xiàn)接入網(wǎng)業(yè)務(wù)寬帶化、綜合化改造的理想技術(shù)。參見圖1所示，PON系統(tǒng)可以為用戶提供數(shù)據(jù)、語音、IPTV(Internet Protocol Television，IP電視/交互式網(wǎng)絡(luò)電視)等多種業(yè)務(wù)，真正實現(xiàn)三網(wǎng)融合。

小基站是一種小型、低功率蜂窩技術(shù)，通過固網(wǎng)寬帶回程，主要用于家庭及中小企業(yè)辦公室等室內(nèi)場所，作為蜂窩網(wǎng)在室內(nèi)覆蓋的補充，為用戶提供話音及高速數(shù)據(jù)業(yè)務(wù)。后續(xù)小基站如規(guī)模部署，采用PON回傳是唯一可行的規(guī)模部署方案。由此，通過PON技術(shù)可實現(xiàn)未來住宅用戶固定寬帶、小基站一體化接入。

使用PON承載小基站回傳，網(wǎng)絡(luò)安全防護是一個亟待解決的重要問題。小基站所在的移動回傳網(wǎng)絡(luò)本身是一個封閉的網(wǎng)絡(luò)，需要防止有人對移動回傳網(wǎng)絡(luò)上的數(shù)據(jù)進行截獲和竊聽，從而獲取基站設(shè)備上的一些敏感數(shù)據(jù)，而PON由于可以承載多種業(yè)務(wù)，PON網(wǎng)絡(luò)上是存在多種業(yè)務(wù)混合的情況的，如何實現(xiàn)業(yè)務(wù)的隔離和不同業(yè)務(wù)之間的保護，特別是對移動回傳網(wǎng)絡(luò)的隔離，是需要重點解決的問題。

目前PON系統(tǒng)上實現(xiàn)業(yè)務(wù)隔離主要是通過劃分VLAN(Virtual Local Area Network，虛擬局域網(wǎng))的方法來實現(xiàn)，但是靜態(tài)的劃分VLAN容易被檢測到，使用相應的設(shè)備也可以發(fā)送相同VLAN的數(shù)據(jù)侵入到對應VLAN的網(wǎng)絡(luò)中，存在一定的安全隱患。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是為了克服上述背景技術(shù)的不足，提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的方法及系統(tǒng)，能夠在PON系統(tǒng)內(nèi)部實現(xiàn)不同業(yè)務(wù)之間的隔離。

本發(fā)明提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的方法，包括以下步驟：

S1、在無源光網(wǎng)絡(luò)PON系統(tǒng)中規(guī)劃一段虛擬局域網(wǎng)VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

S2、指定承載小基站回傳業(yè)務(wù)的光網(wǎng)絡(luò)單元ONU的端口號，被指定的ONU的端口被專用來承載小基站回傳；

S3、PON系統(tǒng)定期動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，并動態(tài)的將這個VLAN配置下發(fā)到相應的ONU的端口上；

S4、ONU接收到VLAN配置后，動態(tài)生成相應的配置，實現(xiàn)小基站回傳業(yè)務(wù)的通信。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池的范圍為：1～4095。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000。

在上述技術(shù)方案的基礎(chǔ)上，步驟S3中，所述PON系統(tǒng)中，OLT的主控盤每隔60秒，動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，VLAN號范圍從200～4000中隨機選取。

本發(fā)明還提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的系統(tǒng)，該系統(tǒng)包括虛擬局域網(wǎng)VLAN池劃分單元、光網(wǎng)絡(luò)單元ONU、端口號指定單元、VLAN動態(tài)分配單元，其中：

所述VLAN池劃分單元用于：在無源光網(wǎng)絡(luò)PON系統(tǒng)中規(guī)劃一段VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

所述端口號指定單元用于：指定承載小基站回傳業(yè)務(wù)的ONU的端口號，被指定的ONU的端口被專用來承載小基站回傳；

所述VLAN動態(tài)分配單元用于：定期動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，并動態(tài)的將這個VLAN配置下發(fā)到相應的ONU的端口上；

ONU接收到VLAN動態(tài)分配單元下發(fā)的VLAN配置后，動態(tài)生成相應的配置，實現(xiàn)小基站回傳業(yè)務(wù)的通信。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池的范圍為：1～4095。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000。

在上述技術(shù)方案的基礎(chǔ)上，所述VLAN動態(tài)分配單元每隔60秒，動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，VLAN號范圍從200～4000中隨機選取。

與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點如下：

(1)本發(fā)明在PON系統(tǒng)中規(guī)劃一段VLAN地址池，所述VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；指定承載小基站回傳業(yè)務(wù)的ONU的端口號，被指定的ONU的端口被專用來承載小基站回傳；PON系統(tǒng)定期動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，并動態(tài)的將這個VLAN配置下發(fā)到相應的ONU的端口上；ONU接收到VLAN配置后，動態(tài)生成相應的配置，實現(xiàn)小基站回傳業(yè)務(wù)的通信。本發(fā)明通過劃分VLAN池，動態(tài)分配VLAN，能夠在PON系統(tǒng)內(nèi)部實現(xiàn)不同業(yè)務(wù)之間的隔離。

(2)經(jīng)過實際測試，本發(fā)明能夠保證承載小基站回傳業(yè)務(wù)的VLAN不易被捕獲，起到網(wǎng)絡(luò)隔離和一定的防截獲和防竊聽功能。

(3)如果直接使用儀表測試數(shù)據(jù)業(yè)務(wù)，測試可以保證業(yè)務(wù)不會產(chǎn)生中斷，同時還不會增加數(shù)據(jù)延遲，能夠保證相應的操作不會影響到正常的數(shù)據(jù)業(yè)務(wù)。

附圖說明

圖1是PON系統(tǒng)的結(jié)構(gòu)框圖；

圖2是本發(fā)明實施例中PON承載小基站回傳的網(wǎng)絡(luò)安全防護的方法的流程圖。

圖3是本發(fā)明實施例中基于劃分VLAN池動態(tài)分配VLAN的應用實例示意圖。

具體實施方式

下面結(jié)合附圖及具體實施例對本發(fā)明作進一步的詳細描述。

參見圖2所示，本發(fā)明實施例提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的方法，包括以下步驟：

S1、在PON系統(tǒng)中規(guī)劃一段VLAN地址池，VLAN地址池的范圍為：1～4095，這段VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

參見圖3所示，VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000；

S2、指定承載小基站回傳業(yè)務(wù)的ONU(Optical Network Unit，光網(wǎng)絡(luò)單元)的端口號，被指定的ONU的端口被專用來承載小基站回傳，不能用來做其它的用途；

參見圖3所示，ONU1的端口用戶承載普通數(shù)據(jù)業(yè)務(wù)，ONU2專門用于承載小基站回傳，所有端口都是小基站回傳業(yè)務(wù)端口；

S3、PON系統(tǒng)定期動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，并動態(tài)的將這個VLAN配置下發(fā)到相應的ONU的端口上；

參見圖3所示，PON系統(tǒng)中，OLT的主控盤每隔60秒，動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，VLAN號范圍從200～4000中隨機選取，并下發(fā)到ONU2的4個端口上；

S4、ONU接收到VLAN配置后，動態(tài)生成相應的配置，實現(xiàn)小基站回傳業(yè)務(wù)的通信。

參見圖3所示，ONU2接收到OLT主控盤的配置后，動態(tài)修改ONU端口上的業(yè)務(wù)VLAN，這時在ONU的端口上會實現(xiàn)一個1:1的VLAN翻譯，將小基站發(fā)出的數(shù)據(jù)VLAN翻譯為PON系統(tǒng)內(nèi)部傳送的VLAN號，也就是主控盤下發(fā)的VLAN號，以保證小基站的配置可以不同動態(tài)改變，改變的是PON系統(tǒng)內(nèi)部的VLAN配置，相應的在OLT的上聯(lián)口也會有一個1:1的VLAN翻譯業(yè)務(wù)，將PON系統(tǒng)內(nèi)部傳遞的VLAN號轉(zhuǎn)換為上聯(lián)設(shè)備支持的VLAN。

經(jīng)過實際測試，該方法可以保證承載小基站回傳業(yè)務(wù)的VLAN不易被捕獲，起到網(wǎng)絡(luò)隔離和一定的防截獲和防竊聽功能，同時如圖3直接使用儀表測試數(shù)據(jù)業(yè)務(wù)，測試可以保證業(yè)務(wù)不會產(chǎn)生中斷，同時還不會增加數(shù)據(jù)延遲，能夠保證相應的操作不會影響到正常的數(shù)據(jù)業(yè)務(wù)。

本發(fā)明實施例還提供一種PON承載小基站回傳的網(wǎng)絡(luò)安全防護的系統(tǒng)，包括VLAN池劃分單元、ONU、端口號指定單元、VLAN動態(tài)分配單元，其中：

VLAN池劃分單元用于：在PON系統(tǒng)中規(guī)劃一段VLAN地址池，VLAN地址池的范圍為：1～4095，這段VLAN地址池專門供用戶小基站回傳網(wǎng)絡(luò)使用，與其他業(yè)務(wù)的VALN不重疊；

參見圖3所示，VLAN地址池中，配置普通數(shù)據(jù)業(yè)務(wù)的VLAN為100，用戶小基站回傳業(yè)務(wù)的VLAN池為200～4000；

端口號指定單元用于：指定承載小基站回傳業(yè)務(wù)的ONU(Optical Network Unit，光網(wǎng)絡(luò)單元)的端口號，被指定的ONU的端口被專用來承載小基站回傳，不能用來做其它的用途；

參見圖3所示，ONU1的端口用戶承載普通數(shù)據(jù)業(yè)務(wù)，ONU2專門用于承載小基站回傳，所有端口都是小基站回傳業(yè)務(wù)端口；

VLAN動態(tài)分配單元用于：定期動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，并動態(tài)的將這個VLAN配置下發(fā)到相應的ONU的端口上；

參見圖3所示，VLAN動態(tài)分配單元每隔60秒，動態(tài)指派小基站回傳業(yè)務(wù)的VLAN號，VLAN號范圍從200～4000中隨機選取，并下發(fā)到ONU2的4個端口上；

ONU接收到VLAN動態(tài)分配單元下發(fā)的VLAN配置后，動態(tài)生成相應的配置，實現(xiàn)小基站回傳業(yè)務(wù)的通信。

本領(lǐng)域的技術(shù)人員可以對本發(fā)明實施例進行各種修改和變型，倘若這些修改和變型在本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則這些修改和變型也在本發(fā)明的保護范圍之內(nèi)。

說明書中未詳細描述的內(nèi)容為本領(lǐng)域技術(shù)人員公知的現(xiàn)有技術(shù)。