BBS1000千兆比以太网无源光网络系统

admin

1. 概述
1.1 PON技术简介
　　无源光网络(PON)技术是为了支持点到多点应用发展起来的光接入技术,PON由光线路终(OLT）、光网络单元（ONU）和光分配网络（ODN）组成。其本质特征为ODN全部由无源器件组成，无源的特性使得网络布放更加灵活，无需机房和电源等；共享光纤的特性能够节省大量的光纤资源，使得接入网线路成本更低；而纯光介质的结构，透明的光纤宽带网络，使得对未来业务扩展保持了技术的安全性。
　　PON技术自诞生以来，根据数据链路层协议的不同，分为APON（基于ATM）、BPON（基于ATM）、GPON（基于ATM和GEM）、GEPON（基于以太网），几种PON技术的比较如表(1)。


                GEPON      APON/BPON           GPON
标准           IEEE802.3ah ITU-T G.983         ITU-T G.984
线路速率(上行) 1.25G       155M,622M           155M,622M,1.24416G,2.48832G
线路速率(下行) 1.25G       155M,622M,1.24416G  1.24416G,2.48832G
线路码         8B/10B      Scrambled NRZ       Scrambled NRZ
封装格式       Ethernet    ATM                 ATM and GEM
安全标准       N/A         churning            AES
DBA标准        N/A         G.983.4             N/A
TDM业务        TDMoE        DM over ATM        TDM over GEM

在1998年由ITU－T制定了APON的技术标准，APON以ATM技术为基础，其承载的是53字节固定长度的ATM信元，因而能更快、更有效地实现同步。但因为APON中的信元长度固定，因此在承载IP数据流时，必须首先将数据包分割成48字节，然后加上5字节的信元头。这种处理过程既费时、复杂又浪费带宽，同时还增加了额外的成本，在IP业务量越来越大的今天，这已成为APON的致命伤,所以APON系统并未如预期的那样发展起来。当前技术上较先进的PON技术有GEPON与GPON，GPON是ITU提出的千兆比特级的无源光网络,ITU在2003年正式通过并颁布了GPON标准系列中的三个标准：G.984.1、G.984.2和G.984.3。由于GPON标准是ITU在APON标准之后推出的，因此G.984标准系列沿用了G.983标准的很多思想。
　　2000年11月，IEEE成立了802.3EFM（EFM——Ethernet in the First Mile，第一英里以太网即以太网接入网）工作组，开始了GEPON的技术标准化工作，2004年6月IEEE已经正式批准802.3ah为GEPON 千兆以太网无源光网标准。　　GEPON将以太网技术与PON技术结合,天生具有以太网的诸多优势，如技术简单、成熟、良好的兼容性及可对IP业务进行有效承载等。
　　关于GEPON和GPON除了有表(1)的一些区别外,还有下面几个不同点:
·IEEE的GEPON标准化工作比ITU-T的GPON标准化工作开展得早,并且IEEE关于Ethernet的802.3标准系列已经成为业界最重要的标准之一;
·GPON技术较复杂,而GEPON保持以太网特性,它的实现较简单;
·GEPON标准制定的更宽松,制造商在开发自己的产品时有更大的灵活性;
·从产业链的角度看,GEPON系统最核心部分-PON光发送/接收模块已经成熟,核心MAC控制芯片已经规模生产,而GPON系统的相应核心模块还不太成熟,其核心模块目前仅处于FPGA阶段,还难于实现规模商业,所以GPON成本比较高;现在业界商用量最大使用最成熟的是GEPON系统,严格遵循GPON标准的产品目前基本上还没有。

1.2 UTStarcom GEPON 产品简介
　　UT斯达康领导着GEPON技术的发展，现在GEPON产品的出货量已达数百万线,为业界最大GEPON产品供应商。UT斯达康根据市场的需求推出了更为先进的GEPON系统BBS1000产品系列，相对于普通的GEPON产品，它可以在保证相同的带宽前提下，提供更高的分路比，有效降低运营投资成本。BBS 1000系列是一款通过FTTH系统传送GE数据的创新产品，是业界第一款同时具备L2/L3交换功能的高集成度的GEPON系统设备。BBS1000系统为各种用户，如家庭用户、中小企业等，提供最大带宽达到1Gbps的传输平台。同时又由于无源光网络系统的天然优势，利用BBS 1000的新特性，运营商可以经济的造价和极少的光缆线路投资，方便地实现高带宽IP数据包传送。这无疑将为运营商的网络建设带来一轮新革命。
　　该系统主要由OLT设备BBS 1000和ONU设备ONU 100构成，BBS 1000提供到IP核心网的上行接口，同时提供8个GEPON下行端口，每端口在单根光纤上支持32个分路，因此单台BBS 1000设备即可支持256个最终用户，传输距离可达20km。其高度仅1U，安装方便灵活,BBS 1000产品应用如图(1) 。

图(1)BBS 1000产品应用图

1.2.1 光线路终端系统(BBS 1000)
　　BBS 1000提供PON接入到核心以太网/IP网的接口。除接入复用功能外，BBS 1000也提供有力的二、三层交换功能和路由功能，从而避免了对其它额外网络设备的需求。BBS 1000机盒外形结构如下图(2)所示。

图(2) BBS 1000外形结构图

BBS 1000产品主要特性:
基本要点：
·IEEE 802.3ah EPON协议
·32 条分路, 10km距离, 1 Gbps上下行传输速率
·一个紧凑的1U机盒可接入256
·支持VCCI, UL and FCC part 15B认证

二层交换功能：
·无阻塞线路速率交换
·灵活地址学习
·二层IGMP侦听
·VLAN 802.1 p & q
·IEEE 802.3ad 连接集合 (传输)
·每个入口/出口的包映射
·包缓存及高级流控制

三层功能：
·协议：TCP/IP, ICMP, ARP, Proxy ARP, OSPF v2, BGP-4, RIP v2, PIM-DM, PIM-SM, IGMP v2

QoS：
·每个用户有八个以上服务类队列
·802.1q & q
·IPv4 TOS 优先级
·出口速率调整
·动态带宽分配 (DBA)

安全：接入控制列表(ACL)

用户认证： IEEE802.1x/Radius

系统管理：
·FTP, SNMP v1 & v2c, DHCP, Telnet, 有CLI的控制界面
·波段内/波段外管理通道
·ONU的自动加入
·环境监测
·完整的FCAPS支持

1.2.2 光网络终端单元(ONU 101)
　　ONU是在用户端的PON终端设备，它给用户提供应用接口。内嵌的OAM功能允许进行远程的软件更新而不用任何硬件更换,ONU 101外形结构如图(3) 。

ONU 101背视图

图(3) ONU 101外形结构图

ONU 101产品关键特点:
·完全遵守IEEE 802.3ah协议
·最高速的PON：1Gbps 对称数据传输速率， Internet、VoIP及IP视频服务
·“即插即用”的自动识别与配置功能
·据SLA实现高级QoS功能
·通过ACL安全接入
·远程管理与高级OAM功能

1.2.3 UT斯达康的GEPON系统相对于其他宽带接入方式有以下特点
·为运营商提供更低的部署和运营成本——节省主干光纤、节能、节省CO空间
·解决终端用户的带宽瓶颈——为最终用户提供几十兆甚至百兆的上下行对称带宽
·解决远端用户的接入——可达10km-20km传输距离
·低维护——全程无源、光纤低干扰；
·高可靠性的接入——光纤损耗低、频带宽、传输距离远、不受电磁干扰，保证了信号传输质量
·支持多种业务的开展，针对不同业务提供良好的QoS保证
·更适合广播和组播等视频/音频业务的开展

1.2.4 相对于其他厂家的GEPON产品UT斯达康的设备有以下优势
·全球最大的GEPON供应商。截至2004年年底，全球订货以达数百万线, 已有数十万线的设备投入运营、经验丰富（网络部署、实践等）、设备成熟。
·性价比高——当前同类功能的产品，UT的GEPON的性价比是最高的。
·传输距离远——支持27到29dB衰减，大于802.3ah的要求（26dB），传输距离更远。
·支持完整的二、三功能——BBS1000不但具有二层功能，而且具备完整的 三层处理能力（下一软件版本实现全部三层功能），减轻上层汇聚设备的压力，提供更多的本地控制能力。
·端口密度高——1U结构提供8个PON口的接入能力，在标准的42U的机架上能提供4096个ONU接入。
·安全性高——除了提供128位AES加密技术以外，还提供强大的ACL功能，增强网络安全性。

1.3 802.3ah协议简介
　　为了支持点对多点(P2MP)拓扑的GEPON网络，IEEE制定了802.3ah协议，在其中定义了多点控制协议 (MPCP) ，点对点仿真 (RS 子层扩展),OAM，以及10km和20km两种PMD，规范分层结构如图4所示。

图(4) 802.3ah分层结构

1.3.1 MPCP协议
802.3ah协议中定义了多点控制协议(MPCP) ，通过MPCP协议操作，完成ONU的自动发现和注册，ONU的动态测距，ONU的带宽分配。MPCP协议定义了如下协议帧用于GEPON网络的管理和操作：
·GATE帧： 在Discovery过程和正常数据操作过程中发送授权时间片给 ONU，以便ONU根据所分配的时间片进行数据发送。
·REPORT帧: 从ONU发往OLT用于报告ONU的状态以及请求。
·REGISTER_REQ：ONU发给ONU在自动发现过程用于ONU注册请求。
·REGISTER：OLT发给ONU用于对REGISTER_REQ消息的响应。
·REGISTER_ACK：ONU发给OLT指示整个注册过程的结束。

1.3.2 RS子层
　　GEPON 协议帧是在802.3帧格式上扩展而来，与802.3帧的主要区别在于GEPON对MAC帧的前导码和起始定界符 (SFD) 这8个字节做了扩展，主要变化是在前导码中以SLD，LLID，和CRC8代替了前导码中的几个字节。SLD用来给接收方定位LLID和CRC8域；LLID为2字节长，最高位为模式位，剩下15位指明对应的MAC地址的LLID；CRC8域包含从SLD到LLID之间的CRC校验码。通过MAC地址和LLID的映射，完成了在P2MP拓扑上的点对点仿真。普通MAC帧和GEPON帧前导码的区别如表2所示。

<div align="center">

字节     前导码&SFD  GEPON扩展      注释
1        0x55         0x55         相同
2        0x55         0x55         相同
3        0x55         SLD          LLID起始定界符(SLD)
4        0x55         0x55   
5        0x55         0x55   
6        0x55         LLID [15:8]  最高位为mode位，低7位为LLID[14:8]
7        0x55         LLID [7:0]   LLID [7:0]
8        0xd5         CRC8         3－7字节的CRC校验和
表(2) GEPON帧前导码

1.3.3 OAM子层
　　GEPON在OLT和ONU之间定义了OAM子层，提供检测链路的操作比如远端故障指示和远端环回控制，OAM为网络管理员提供了监控网络以及快速故障定位和错误告警的能力。OAM功能的实现是可选的，可在系统的某些端口单独实现可选的OAM功能，OAM不包括状态管理、带宽分配和提供功能。
GEPON OAM主要功能要求包括：
a) 远端故障指示
1) 指示对端本地接收通道处于不工作状态；
2) 支持单向操作的物理层设备在故障期间可支持OAM远端故障指示；
3) 符合RS子层规定的用户接入物理层设备在故障期间可支持OLT至ONU的单向OAM远端故障指示操作；
4) 除上面列出的物理层设备外，其他设备在故障期间不支持OAM远端故障指示 单向操作，一些设备在物理层有专门的远端故障指示机制。
b) 远端环回：提供了一种支持数据链路层帧一级环回模式的机制。
c) 链路管理
1) 支持包括诊断信息的事件通知；
2) 支持轮询MIB变量。
d) 其他
1) OAM的实现和激活是可选的；
2) 完成OAM能力的发现；
3) 可扩展用于高层应用。

2. BBS 1000系统主要功能
2.1 ONU的自动发现过程 (Discovery)
　　在GEPON网络中，ONU并不总是在线的，因此OLT和ONU之间需要一个自动发现过程，以使得离线的ONU能够等录并访问PON网络。自动发现过程是由OLT来控制的，OLT周期性的发送Discovery GATE帧，其中包含了ONU可以利用的Discovery时隙窗口，使得离线ONU有机会发送消息以让OLT知道它的存在；Discovery GATE帧以广播的方式发送，在Discovery GATE帧中包含了发现窗口的起始时间和事件长度。
　　离线ONU在接收到Discovery GATE帧后，随机等待一段时间后发送REGISTER_REQ帧给OLT，由于Discovery窗口是唯一的，为了避免不同的ONU同时发送REGISTER_REQ消息而造成冲突，所有的ONU都必须实现一个随即退避算法以延迟它的REGISTER_REQ发送。在REGISTER_REQ帧中，包含了ONU的MAC地址和其他参数。OLT接收到一个有效的REGISTER_REQ消息后，注册该ONU，分配一个新的逻辑端口标识符 (LLID) 并与对应的MAC地址绑定。之后OLT发送REGISTER消息给新近发现的ONU，消息中包含分配给该ONU的LLID。这时OLT已经有足够的信息来调度ONU以访问PON网络，同时发送标准GATE帧以允许ONU发送REGISTER_ACK消息，在OLT接收到REGISTER_ACK消息后，该ONU的整个发现过程就完成了，整个交互过程见图5。
　　在ONU完成在BBS1000上的注册后，每个注册的ONU将获得1个LLID，用户MAC地址和LLID绑定，BBS1000的每个GEPON接口维护一个最大为8K的MAC地址表，GEPON接口对每个用户帧进行检查，并把源MAC地址信息加入到MAC地址表中，形成LLID<-->MAC地址关系表。

图(5) Discovery握手交互过程

2.2 同步和测距
　　GEPON系统是使用TDMA方式支持点到多点拓扑，因此所有的ONU都必须和OLT的全网时间保持同步，由于不同的ONU与OLT的距离各有不同，因此为了避免冲突，对此作一定的补偿，通过计算不同ONU到OLT之间的往返时间(RTT)来完成这一功能。
　　OLT和ONU都有一个本地计数器提供本地时间戳，OLT发送MPCP协议帧时，把计数器的值复制到报文的时间戳字段，在ONU接收到MPCP协议帧时，设置它本地计数器的值为接收到的MPCP协议帧的时间戳字段的值，通过这个过程，所有的ONU都同步到OLT的时钟。
　　同样，ONU发送MPCP协议帧时，也要把它本地计数器的值复制到MPCP协议帧的时间戳字段，OLT接收到MPCP协议帧后，用所接收到的时间戳来计算和验证OLT和ONU之间的RTT，图6演示了RTT的计算方法。

图(6) RTT计算

RTT计算过程：
·OLT 在绝对时间T1发送GATE
·ONU 在绝对时间T2 接收GATE，调整自身计数器显示为T1
·ONU 在绝对T3 发送报告，显示时间标记为T4
·OLT 在绝对时间T5 接收报告，报文中的时间戳为T4
RTT=下行时延+上行时延＝T2-T1+T5-T3＝T5-T4
T3-T2＝T4-T1

2.3 GATE/REPORT过程
　　ONU完成在OLT的注册后，就可以访问PON网络了，但在GEPON网络中，OLT负责控制每个ONU在何时发送数据，OLT通过给不同的ONU分配发送时间窗口来控制ONU的发送，即时分复用方式 (TDMA)，这是通过REPORT消息和GATE消息的交换来达到这个目的。
　　REPORT消息有几个功能，每个消息中的时间戳域由OLT用作RTT的计算。在消息中还带有ONU针对8个优先级队列的每个队列的带宽请求，同时，REPORT消息也用作从ONU到OLT的保持消息，ONU周期性的产生REPORT消息以维持在OLT中的链路信息，以保持ONU在OLT上的注册，ONU主动产生REPORT消息，OLT也可以向ONU请求一个REPORT消息。
　　GATE消息是OLT在自动发现过程和正常操作过程中用来给ONU授权发送窗口。 在每个GATE消息中最多可以有4个授权发送窗口。GATE也用作从OLT到ONU的保持消息。
　　ONU根据它的各上行优先级队列情况产生REPORT消息，OLT根据各个ONU的REPORT消息中各个队列请求的情况，以及它内部的带宽分配算法 (DBA) ，为每个ONU分配授权发送时隙窗口，包括启动时间和发送时间长度，以及OLT的时间戳，这些信息都通过GATE消息发送给每个ONU；另外OLT也要根据调度算法定时产生Discovery GATE消息，这个过程示意如图7所示。

图(7). GATE/REPORT过程

2.4 VLAN映射和管理
　　在BBS1000系统中，当用户连接到BBS 1000时，每个ONU将分配到一个唯一的逻辑链路编号(LLID)，以及对应的一个唯一的VLAN号；同时，BBS1000也支持对VLAN业务帧的透传。

下行通信
·当BBS1000上行GE口收到标记帧后，它根据帧中的目的MAC地址和VLAN标记查找MAC地址表。如果找到地址，而且VLAN的入口/出口规则检查通过 ，那么数据帧将转发到对应的端口并发送到对应的GEPON处理模块，否则该帧丢弃。
·GEPON模块收到帧，基于VLAN ID查找LLID/VLAN匹配表，如果存在对应的LLID，插入LLID到帧内并移去该VLAN。如果不匹配，说明该VLAN是种服务标识，BBS1000将基于目的MAC地址查找LLID/MAC表，并将结果LLID插入帧中，对VLAN不作处理。
·ONU收到数据帧时，它把该帧的LLID去掉后送入UNI接口。

上行通信
·ONU的UNI接口收到数据帧 (VLAN帧或非VLAN帧) 时，它把ONU的特定LLID插入帧内并把它送给OLT。
·OLT用接收帧中的LLID查找它的VLAN ID。如果找到，这个VLAN ID插入帧中并把该帧送到BBS1000内部交换模块的GE接口，如果该MAC地址/VLAN对可以在MAC表中找到，并且通过VLAN组的规则检查，那么交换模块会把该帧从对应的上行接口送出。
·如果接收帧本身带有VLAN，表明该VLAN是某种服务标识，BBS1000可以根据配置，帧头中的LLID移去后发送给交换模块根据目的MAC地址查找结果从某个上行接口送出，对帧中的VLAN不作改变

2.5 QOS处理
　　BBS 1000系统为了保证上下行数据流的QoS，在整个PON链路的两端ONU和OLT上都提供了完善的QoS机制。

上行方向
·BBS1000系统的ONU在上行链路上支持8个优先级队列，报文可以根据802.1Q/IPv4/IPv6优先级域进行不同的优先级类。
·BBS1000系统的OLT在上行链路上也支持8个优先级队列，根据报文的802.1Q/IPv4/IPv6优先级域进行分类。
·上行业务流进入交换模块的接入端口，经过交换后到达BBS1000的上连输出端口，并通过上连端口接入骨干IP网络，交换模块支持如下特性：
·每个出口支持8个优先级队列
·线速支持L2－L7层的包分类和过滤
·支持128 8个流
·支持64k粒度的令牌桶算法
·支持对802.1Q/IPv4/IPv6优先级域的重新标记
·支持出口流量整形

下行方向
·下行业务流经上连端口进入交换模块，经过交换后到达BBS1000的下行输出端口，并通过GEPON端口到达PON网络，交换模块支持如下特性：
·每个端口支持8个优先级队列
·线速支持L2－L7层的包分类和过滤
·支持128 x 8个流
·支持64k粒度的令牌桶算法
·支持对802.1Q/IPv4/IPv6优先级域的重新标记
·支持输入/输出的流量整形
·BBS1000系统的OLT在每个GEPON口下行链路上支持8个优先级队列，根据报文的802.1Q/IPv4/IPv6优先级域进行分类。
·BBS1000系统的ONU在 下行方向支持64k字节大小的队列，满足对突发业务流的支持。

2.6 组播支持
2.6.1接入侧GEPON口的组播支持
　　针对在PON口注册的ONU，BBS1000提供了对组播业务的支持，PON口支持对IGMPv1和IGMPv2的IGMP snooping操作，BBS1000在上行和下行链路上抓取目的MAC地址前缀为01-00-5E以及类型为IGMP查询或IGMP报告的IGMP协议帧，以此获得每个ONU所登记的组播地址，构成组播MAC地址表，同时地址信息通过OAM消息发送给对应的ONU，在下行方向ONU根据组播MAC地址表对组播业务流进行过滤，但对各种协议组播MAC地址帧即后缀为00-00-XX的允许通过。

2.6.2 L2/L3层的组播支持
　　BBS1000支持对二层和三层组播的线速转发，二层支持IGMP snooping，在二层建立和维护MAC组播地址表，以后从路由器下发的组播报文就根据MAC组播地址表进行转发，支持IGMP proxy协议。在三层支持PIM-SM，PIM-DM组播路由协议

2.7 BBS1000 L2/L3层的支持
　　BBS1000支持L2/L3线速交换和路由.在路由协议上支持RIP/OSPF/BGP4，支持静态路由和缺省路由。

2.8 BBS1000用户接入系统
2.8.1 PPPOE认证技术
　　传统接入设备使用的是PPPOE用户认证 系统，PPPOE是目前xDSL网络和以太网接入中广泛使用的认证协议，图8显示了典型的PPPOE接入的网络连接示意图，主要由用户终端设备，运营商接入设备(交换机/DSLAM等)，接入服务器(BRAS)，和Radius 服务器构成。

图(8). PPPOE接入网络示意

PPPOE接入整个过程如图9所示：

图(9). PPPOE接入流程

　　在Discovery阶段发现通讯双方的以太网地址，这是利用广播方式来完成的，建立唯一的会话(Session)；Session承载用户接入的PPP连接，此时PPP承载域PPPOE的Session上；用户数据承载于PPPOE会话的在BRAS上终结并最终由BRAS转发。 采用宽带接入服务器BRAS和PPPOE技术的用户管理方式目前存在如下问题：
1） 由于BRAS要终结大量的PPP会话，并转发IP数据包，使宽带接入服务器成为网络性能和网络可靠性的“瓶颈”，这可以通过合理的组网方式部分解决问题。
2） 宽带接入服务器通常放置在端局的位置，其下是巨大的广播域，从用户安全角度考虑，需要通过VLAN（虚拟局域网）技术来实现用户的隔离，但是目 前的设备多数只能支持最大4096个虚拟局域网。采用SuperVLAN或者Primary VLAN等方式可以解决用户隔离的问题，但是会带来其它问题和网络管理的复杂；
3） 由于PPPOE的点到点特性，使城域网组播业务和基于流媒体的新型业务的开展受到极大的限制；
4） 多层封装导致PPPOE的净荷只有1,492byte，对于标准的1500byte MTU的以太帧，PPPOE对以太帧的分拆和重组会耗费大量的处理器资源，从而导致转发效率下降；
5） BRAS设备昂贵，增加了城域网建设的投资。

2.8.2 802.1x认证技术及BBS1000的实现
2.8.2.1 802.1x认证技术
　　802.1x认证采用基于端口的用户访问控制技术，可以克服PPPOE方式带来的诸多问题，并避免引入集中式宽带接入服务器所带来的巨大投资。
　　802.1x认证协议用于接入设备和用户接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑用户端口，主要功能是限制未授权设备访问运营商网络，IEEE 802.1x的体系结构包括三部分：
·Supplicant System 客户端
·Authenticator System 接入层设备
·Authentication Server System 认证服务器
　　802.1x系统的客户端一般安装在用户PC机中，典型为Windows XP的802.1x客户端。接入层设备需要实现802.1x的认证系统部分，即Authenticator。它为客户端提供接入网络的端口，该端口可以是物理端口，也可以是逻辑端口(如用户的MAC地址，VLAN ID)。 802.1x的认证服务器系统 (Authentication Server) 一般驻留在运营商的AAA中心，即传统的Radius服务器，实现用户的认证，授权和计费。
　　接入层设备依据用户接入端口决定该用户是否能接入网络。802.1x系统将接入设备分为非受控端口和受控端口，非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证Suppliant始终可以收发802.1x消息。受控端口只有在认证通过后才打开，以传送用户业务流。802.1x体系结构如图10所示。

图(10). 802.1x体系结构

　　IEEE 802.1x认证系统利用EAP协议，作为客户端和认证服务器之间交换认证信息的手段；在客户端和接入设备之间，EAP协议使用EAPOL封装格式，直接承载与链路层环境中；在接入设备和RADIUS服务器之间，EAP协议报文使用EAPoRADIUS封装格式(EAP over RADIUS) ，承载于RADIUS协议中，EAP协议也可以由接入设备进行终结，而在接入设备和RADIUS服务器之间传送PAP协议报文或CHAP协议报文。认证服务器完成对客户端的认证，通知接入层设备该用户端口的授权/非授权状态。整个认证过程如图11所示。

图(11) 802.1x认证系统的EAP方式业务流程

2.8.2.2 BBS1000 认证系统特点
　　BBS1000支持基于802.1x的本地认证和远端RADIUS服务器认证，在完成用户认证后，BBS1000会根据RADIUS服务器有关该ONU的服务等级协定 (SLA) ，配置ONU的SLA参数：
·最小保证带宽
·最大允许带宽
·突发业务大小
·用户业务优先级
　　通过认证后，使用该ONU的用户通过DHCP方式获得地址，并得到网络访问的权限。

2.9 BBS1000安全管理
　　为了保护系统的安全性能，BBS1000在整个光接入网的各个环节都实施了完整安全控制策略。
2.9.1 PON链路的加密
　　GEPON是个P2MP拓扑的光网络，它的安全弱点在于：
·下行方向上所有用户都能接收到信息，使得用户信息容易泄漏。
·上行方向是多个用户的业务流，为不合法用户提供了访问网络的可能。
　　为了解决GEPON网络的安全问题，BBS1000采用下列机制来解决：
·用户认证-用户身份在ONU注册时将被验证
·业务加密-保证在没有密钥时接收到的帧将不可用。
　　BBS1000在GEPON上/下行链路上都支持AES-128加密算法，OLT在上行方向上支持解密而在下行链路上支持加密，ONU在上行方向加密而在下行方向支持解密，加密内容包括整个MAC帧但不包括前导码。
　　AES-128支持128位长加密密钥，可以通过配置，或者结合802.1X系统在用户认证后进行动态协商，BBS1000系统的ONU支持802.1x客户端，用于ONU注册后的身份认证。

2.9.2 访问控制列表(ACL)
　　BBS1000支持灵活的ACL机制，每个端口支持128个ACL规则，每个ACL规则可以根据如下信息进行匹配：
·源MAC地址
·目的MAC地址
·L2 Ethernet Type
·L2 VLAN
·DSCP
·IP协议类型
·源IP地址/子网
·目的IP地址/子网
·TCP/UDP源端口
·TCP/UDP目的端口

2.10 BBS1000系统动态带宽分配机制 (DBA)
　　动态带宽分配对有效运行GEPON网络来说是最基本的一个要素，DBA可以允许在超过链路带宽的负荷下保证网络的性能。BBS1000提供几种可选择的DBA算法，并提供扩展机制以运营商自己的DBA机制。DBA根据相关的SLA信息进行设定,一个SLA的中心管理块负责处理所有和授权实体、通信类型的相关信息，以及其它实现不同SLA的相关信息。SLA的定义为：
·最小带宽(与比特率服务一致)(MIN)
·最大带宽(可变比特率服务)(MAX)
·要求的服务延迟(DELAY)
·延迟变量(JITTER)
　　DBA算法决定了带宽分配方案，而DBA构架是这种方案的运行实现，它在网络中产生所要求的授权给每个ONU。DBA功能通过硬件高速实现，通过软件来做灵活控制。硬件DBA加速器负责仲裁DBA算法,在OLT这些硬件装置提供：
·在MPCP协议中解释REPORT消息
·在MPCP协议中产生GATE信息(授权协议单元)
·对要求微秒反应的算法进行快速反应
·信息统计
　　在ONU端，这些硬件装置提供：
·在MPCP协议中解释GATE消息
·在MPCP协议中产生REPORT消息
·智能队列管理
·信息统计
　　系统软件负责以下功能：
·为片上DBA方案配置SLA参数
·对网络运行接入管理以保证配置的SLA参数不超过潜在统计增益
·运行具有系统循环性能的DBA扩展算法。
　　大多DBA算法依赖于一个周期或伪周期行为。一个授权周期是一个预算带宽分配的周期。典型的周期由三个阶段组成，进而构造一种DBA结构。

图(12) DBA算法周期的三个阶段

　　在周期n-1，ONU产生报告帧REPORT，而OLT收集这些报告。在周期n，DBA算法做决定并产生授权，这些授权将在周期n+1有效。换句话说，在当前周期里，DBA对前一周期收集到的信息进行计算，并做好下一周期有效的决定,下图(13)为该行为流程。

图(13) DBA算法行为流程

2.11 BBS1000的OAM功能
　　BBS1000支持标准的802.3ah OAM功能，包括OAM自动协商机制和正常的OAM 操作，运行时，OLT作为主设备，ONU作为从设备。通过OAM，BBS1000的OLT和ONU可以支持以下操作：
·交换DBA算法的参数
·交换加密密钥
·控制ONU的开与关，如果ONU被关闭，该ONU不能注册到PON网络和注册
·在下行方向上OLT向ONU发布该ONU的组播成员信息
·交换ONU的产商代码/型号信息以及用户端口配置信息
·启用/停止上行和下行的加密功能
·交换认证信息
·ping/pong测试，检查网络的连通性
·Loopback测试
·远端统计查询
·告警和指示信息：包括:
·本地链路故障指示
·温度告警指示
·电源/电压告警指示
·Dying Gasp