具有组播认证和控制功能的无源光网络系统及其实现方法

摘要

本发明公开了一种具有组播认证和控制功能的无源光网络系统及其实现方法，在该方法中，ONU侦听组播业务终端与BRAS之间的交互，获取组播业务终端的用户名和组播权限，并据此设置组播转发表，依据组播转发表对组播报文进行过滤，OLT对所有组播报文透传，并在主控盘上采用组播协议对组播报文进行处理，从而实现了无源光网络系统的组播用户认证和控制。

说明书

技术领域

本发明涉及无源光网络系统，具体涉及具有组播认证和控制功能的无源光网络系统及其实现方法。

背景技术

BRAS(Broadband Remote Access Server，宽带远程接入服务设备)。

随着通信技术的迅猛发展，宽带上网业务成为电信业务中最引人注目的业务。在众多的宽带上网业务中，组播(Multicast)业务尤为重要。以组播为代表的新兴的宽带业务都需要较大的带宽，较小的转发时延，这就对现有的电信网络提出了更高更快的需求。由于在前期对于骨干传输网的大力发展，接入网成为整个电信网络的瓶颈。现有的接入技术，包括数字用户线路(DigitalSubscriber Line，简称DSL)接入和以太网接入，由于DSL线路的接入速度随着距离的增加下降很快，在宽带业务超过接入速度时，对于业务的开展形成很大的障碍，而对于以太网接入，由于以太网交换机的距离较短，覆盖范围受到很大的限制。为了解决接入网的瓶颈问题，迫切需要新的接入技术。

随着光传输技术的发展，无源光网络(Passive Optical Network，简称PON)技术逐渐应用到接入技术中，该技术主要有以下几种特点：

1.点对多点的结构

2.下行采用广播方式

3.极高的带宽

作为一种新的接入技术，其所提供的带宽能够适应现在及将来10年内用户对带宽的需求。这种技术既可以使用SFU型的ONU，同时也可以使用MDU型的ONU，原有的DSL用户电缆也可以通过将原有的接入设备作为一个节点接入系统，从而使已有的双绞线资源得到充分的利用。无源光网络能够解决接入网目前的网络瓶颈问题，是接入技术发展的方向。

在无源光网络技术中，它的下行方向是广播的，这对于开展组播业务是非常有利的。在目前的组播实现方案中，从OLT(Optical Line Terminal，光线路终端，简称OLT)到ONU(Optical Network Unit，光网络单元，简称ONU)建立专门的组播传输通道。OLT通过分析来自用户侧的组播协议报文，获取用户所请求的组播节目。OLT将自己获取到的组播流向各个下行的PON光口发送。ONU接到组播流之后，将其转发到相应的用户口，实现组播业务。

在目前的组播方案中，组播的认证和控制成为一个亟待解决的问题，这是因为组播认证难，传统的组播协议并没有用户认证功能，用户可以随意加入和离开；业务计费难，组播协议没有涉及计费问题，运营商无法得知用户何时加入何时离开，也无法统计某个时间到底有多少用户在收看组播节目，无法准确计费。再加上组播用户是点对多点的，一个认证用户的组播业务数据下发之后，未授权用户只需要发出与该组播业务数据相应的组播协议报文即可直接在下层接入设备接受该组播业务，存在很大的安全隐患。正是由于上述原因，运营商大量采用的组播认证控制方法是通过BRAS(Broadband Remote AccessServer，宽带接入服务器)采用PPPOE进行认证，这种方法解决了用户认证太分散的问题，但是在接入网侧开始组播业务实际上是使用单播方式传送，组播方式节省带宽的优势无法得到发挥，同时也加剧了接入网的瓶颈问题。

发明内容

本发明所要解决的技术问题是解决目前的无源光网络接入设备实现组播认证和控制困难的问题。

为了解决上述技术问题，本发明所采用的技术方案是提供一种无源光网络系统实现组播认证和控制的方法，包括以下步骤：

A、各组播业务终端分别向BRAS发出请求接入报文，该请求接入报文中包含有组播业务终端的用户名和密码，BRAS收到上述请求接入报文后分别验证各组播业务终端的用户名和密码是否正确，如用户名和密码正确，则向该组播业务终端回复应答帧，并随应答帧下发电子节目菜单，即该应答帧中包含有组播组IP地址列表以及该组播业务终端的组播权限，所述组播组IP地址列表中的每一个IP地址对应电子节目菜单中的一个节目频道，用于据此接受该频道的节目流；如用户名和密码不正确，则丢弃该请求接入报文，不做任何回应；

B、ONU侦听各组播端口上的组播业务终端与BRAS的交互信息，根据上述交互信息获得该组播端口上的组播业务终端的用户名和组播权限，并根据上述用户名和组播放权限设置各组播端口的组播权限模板；

C、ONU根据各组播端口收到的报文类型，通过IGMP Snooping协议维护组播转发表，对收到的不同报文分别进行处理，所述组播转发表的表项包括组播端口、组播地址和组播VLAN；

D、OLT主控盘采用IGMP proxy组播协议对组播报文进行处理，即通过维护组播转发表对组播业务数据进行复制和分发；

E、BRAS将组播业务数据根据组播转发表经OLT和ONU逐级送至各组播业务终端。

上述方法中，步骤C包括以下步骤：

如果ONU收到的是组播业务终端发出的组播加入请求报文，则验证该组播业务终端的权限是否满足组播权限模板中设定的权限，若满足，则在ONU的组播转发表中增加一条表项，组播端口为收到组播加入请求报文的端口，组播地址为该组播加入请求报文所携带的组播组IP地址转化后的MAC地址，组播VLAN为局方规划的组播VLAN，并将该组播加入请求报文透传到OLT线卡；若不满足，则丢弃该组播加入请求报文；

如果ONU收到的是组播业务终端发出的离开报文，则在当前组播转发表中查找对应端口的组播表项，如果找到该表项，则立即开启一个组最后成员查询定时器，而后向上转发该离开报文。如果定时器超时，该组播端口无请求加入报文进行响应，则在组播转发表中删除该组播端口所在的表项；如果超时前收到该组播端口的请求加入报文，则不对该组播端口所在的表项进行任何操作；

当ONU收到的是OLT的查询报文时，则将其转发到该ONU的所有组播端口。

本发明还提供了一种具有组播认证和控制功能的无源光网络系统，包括BRAS、OLT、若干ONU和连接在每个ONU上的若干组播业务终端，所述BRAS，用于验证各组播业务终端接入请求报文中的用户名和密码是否正确，在验证通过后向该组播业务终端回复应答帧，并随应答帧下发电子节目菜单，即应答帧中包含有组播组IP地址列表以及该组播业务终端所需要的组播参数设置信息，其中，组播组IP地址列表中的每一个IP地址对应电子节目菜单中的一个节目频道，可以据此接受该节目频道的节目流，组播参数设置信息包括节目频道与组播组IP地址列表的对应表以及该组播业务终端的组播权限；

所述ONU上设有侦听模块、IGMP Snooping模块和报文处理模块，侦听模块侦听其各端口上的组播业务终端与BRAS的交互信息，根据上述交互信息获得各组播业务终端在该端口上的用户名和组播权限，并根据上述用户名和组播权限设置各用户端口的组播权限模板；IGMP Snooping模块设置、维护一个组播转发表，并根据收到的报文类型依据组播转发表向OLT和各组播业务终端转发数据，所述组播转发表的表项包括组播端口、组播地址和组播VLAN；报文处理模块根据收到的各端口报文类型调用IGMP Snooping模块处理组播加入报文、离开报文，并将OLT的查询报文转发到该ONU的所有组播端口；

所述OLT上设有IGMP proxy模块，该IGMP proxy模块对收到的报文根据组播转发表对数据进行复制和分发。

本发明，在无源光网络系统的OLT上运行IGMP代理，然后在无源光网络的ONU上运行IGMP侦听和组播模板过滤功能模块，于是该系统既具备组播代理的代理和收敛能力，也同时具有侦听和透传等高性能的特点，并实现了系统的组播认证和控制功能。

附图说明

图1为本发明提供的具有组播认证和控制功能的无源光网络系统的一种实施例示意图；

图2为本发明提供的具有组播认证和控制功能的无源光网络系统的另一种实施例示意图；

图3为本发明无源光网络接入设备实现组播认证和控制的方法流程图。

具体实施方式

本发明的目的在于提供一种无源光网络系统实现组播认证和控制的方法以及使用该方法的无源光网络系统，以便在实际使用中充分利用无源光网络系统带宽，下面以两个组播业务终端为例加以说明，对于多个组播业务终端，其实现方法相同，整个处理流程中，所有组播协议报文的处理严格遵循组播协议相关标准的规定。

图3为本发明提供的无源光网络系统实现组播认证和控制方法的流程图，在该流程中，组播业务终端1通过授权开展组播业务的交互，组播业务终端2未能通过授权，因此，组播业务终端2发出的组播协议报文被ONU拦截，详细步骤如下：

A、组播业务终端1(IP：192.168.0.101)和组播业务终端2(IP：192.168.0.102)分别向BRAS(IP：192.168.0.1)发起PPPoE请求，各自的PPPoE请求中包含有各自组播业务终端的用户名和密码，BRAS收到上述PPPoE请求接入报文后分别验证各组播业务终端的用户名和密码是否正确，如用户名和密码正确，则向该组播业务终端回复PPPoE应答帧，并随该PPPoE应答帧下发电子节目菜单，即PPPoE应答帧中包含有组播组IP地址列表以及该组播业务终端所需要的组播参数设置信息，其中，组播组IP地址列表中的每一个IP地址对应电子节目菜单中的一个节目频道，可以据此接受该节目频道的节目流，组播参数设置信息包括节目频道与组播组IP地址列表的对应表以及组播权限，如组播业务终端的用户名和密码不正确，则丢弃该报文，并设置该组播业务终端为禁止用户，阻止其组播报文上送。本例中组播业务终端1通过PPPoE应答帧获取到的组播组IP地址列表中包含有频道CCTV-1，CCTV-1的组播组地址为225.1.1.1，组播业务终端1的组播权限为允许访问CCTV-1频道；组播业务终端2通过PPPoE应答帧获取到的组播组IP地址列表中没有节目频道CCTV-1，CCTV-1的组播组地址为225.1.1.1，组播业务终端2的组播权限为不允许访问CCTV-1频道。B、ONU侦听其端口上的组播业务终端1和组播业务终端2与BRAS的PPPoE交互信息，根据PPPoE交互信息获得该端口上的组播业务终端的用户名和组播权限，并根据上述用户名和组播放权限设置各组播端口的组播权限模板；

C、ONU根据各端口收到的报文类型分别进行处理。

当组播业务终端1所在的端口接受到组播业务终端1的组播加入请求报文时，验证该组播业务终端的组播权限是否满足组播权限模板中设定的权限，因为组播业务终端1的组播权限为允许访问CCTV-1频道，因此，在ONU的组播转发表中增加一条表项，组播端口为收到请求加入报文的端口，组播地址为请求加入报文所携带的组播组IP地址转化后的MAC地址，具体的转化参考TCP/IP协议D类地址的MAC映射关系即可，可查看TCP/IP协议，此处不再详述，组播VLAN为局方规划的组播VLAN，并将该请求加入报文透传到OLT线卡；组播业务终端2所在的端口接受到组播业务终端2的组播加入请求报文时，验证该组播业务终端的组播权限是否满足组播权限模板中设定的权限，因为组播业务终端2的组播权限为不允许访问CCTV-1频道，因此，ONU验证其无权观看该节目，丢弃组播业务终端2的组播加入请求报文，并上送组播业务终端2加入失败的信息。

当组播业务终端1所在的端口接受到组播业务终端1发出的离开报文时，在当前组播转发表中查找对应端口的组播表项，如果找到该表项，则立即开启一个组最后成员查询定时器，等待OLT主控盘发送的组特定查询，如果定时器超时，该组播端口无请求加入报文进行响应，则在组播转发表中删除该组播端口所在的表项；如果超时前收到该组播端口的请求加入报文，则不对该组播端口所在的表项进行任何操作，同时将该离开报文透传到OLT线卡；

如果ONU收到的是OLT的查询报文时，则将其转发到该ONU的所有组播端口。

D、OLT主控盘采用IGMP proxy组播协议对组播报文进行处理，即通过维护组播地址转发表对数据进行复制和分发，该组播地址转发表的表项包括组播端口、组播地址和组播VLAN；

E、BRAS根据收到的组播组成员报文，向组播服务器请求相应的业务流，并下发；组播业务流沿着建立好的组播地址转发表通道，逐级通过OLT、ONU，送抵组播业务终端。本例中，最终组播业务终端1接收到了CCTV-1的组播业务流。

根据以上分析，采用上述方法，无源光网络系统就可以将组播业务传递至用户终端1，并阻止用户2使用组播业务。

上述方法中，ONU和OLT均具有成员老化机制，当某个端口超过老化时间没有收到加入报文，将该端口从组播地址转发表中删除。主控盘上运行IGMP代理的模块也具有成员老化机制，当某个端口超过老化时间没有收到加入报文，将该端口从组播地址表删除。

本发明还提供的具有组播认证和控制功能的无源光网络系统具有两种实施例，图1为该系统的第一种实施例示意图。该实施例中，ONU的类型为SFU(Single Family Unit，单住户单元，简称SFU)型ONU，每个组播业务终端独占一个ONU开展业务，此时，ONU侦听该组播业务终端与BRAS之间的交互，设置该组播业务终端的组播模板权限，从而对该组播业务终端的组播业务进行管理和控制。

图2为具有组播认证和控制功能的无源光网络系统的另一种实施例示意图。该系统中的ONU类型为MDU(Multi.Dwelling Unit，多住户单元，简称MDU)型ONU，从具体实现上，可以是DSL型ONU，也可以是LAN型ONU，此时ONU下有多个组播业务终端，ONU侦听每一个组播业务终端与BRAS之间的交互，为每一个组播业务终端设置组播权限模板，从而实现对组播业务的管理和控制。

结合图1和图2，具有组播认证和控制功能的无源光网络系统包括BRAS、OLT、若干ONU和连接在每个ONU上的若干业务终端。BRAS验证各组播业务终端接入请求报文中的用户名和密码是否正确，在验证通过后向该组播业务终端回复应答帧，并随应答帧下发电子节目菜单，即应答帧中包含有组播组IP地址列表以及该组播业务终端所需要的组播参数设置信息，其中，组播组IP地址列表中的每一个IP地址对应电子节目菜单中的一个节目频道，可以据此接受该节目频道的节目流，组播参数设置信息包括节目频道与组播组IP地址列表的对应表以及该组播业务终端的组播权限。ONU上设有侦听模块、IGMPSnooping模块和报文处理模块，侦听模块侦听其各端口上的组播业务终端与BRAS的交互信息，根据上述交互信息获得各组播业务终端在该端口上的用户名和组播权限，并根据上述用户名和组播放权限设置各端口的组播权限模板；IGMP Snooping模块设置、维护一个组播地址转发表，并依据组播地址转发表向OLT和各组播业务终端转发数据，所述组播地址转发表的表项包括组播端口、组播地址和组播VLAN。报文处理模块根据收到的各端口报文类型分别进行如下处理：

当组播业务终端所在的ONU端口接受到该组播业务终端的组播加入请求报文时，验证该组播业务终端的组播权限是否满足组播权限模板中设定的权限，当组播业务终端的组播权限为允许时，调用IGMP Snooping模块在ONU的组播地址转发表中增加一条表项，组播端口为收到请求加入报文的端口，组播地址为请求加入报文所携带的组播组IP地址转化后的MAC地址，组播VLAN为局方规划的组播VLAN，并将该请求加入报文透传到OLT线卡；当组播业务终端的组播权限为不允许访问时，则丢弃组播业务终端的组播加入请求报文，并上送该组播业务终端加入失败的信息。

当组播业务终端所在的ONU端口接受到该组播业务终端发出的离开报文时，调用IGMP Snooping模块在当前组播地址转发表中查找对应端口的组播表项，如果找到该表项，则立即开启一个组最后成员查询定时器，等待OLT主控盘发送的组特定查询，如果定时器超时，该组播端口无请求加入报文进行响应，则在组播地址转发表中删除该组播端口所在的表项；如果超时前收到该组播端口的请求加入报文，则不对该组播端口所在的表项进行任何操作，同时将该离开报文透传到OLT线卡；

当收到的是OLT的查询报文时，则将其转发到该ONU的所有组播端口。

OLT上设有IGMP proxy模块，该IGMP proxy模块对收到的报文根据组播地址转发表对数据进行复制和分发。

本发明中也可采用DHCP协议实现组播业务终端与BRAS的交互，具体的实现方法与上述描述类似，不再赘述。

本发明不局限于上述最佳实施方式，任何人应该得知在本发明的启示下作出的简单结构变化或修改，凡是与本发明具有相同或相近的技术方案，均落入本发明的保护范围之内。