SDH專線是一種目前廣泛應(yīng)用的企業(yè)專線，對(duì)于重要企業(yè)和部門，其安全性至關(guān)重要。

一、SDH專線的特點(diǎn)和應(yīng)用

1、SDH專線

現(xiàn)有企業(yè)專線的一般是租用電信運(yùn)營(yíng)商的DDN、幀中繼、ATM、SDH線路，或者采用VPN（虛擬專用網(wǎng)）的方式。目前，DDN、幀中繼、ATM的市場(chǎng)占有率越來(lái)越低，比較主流的是SDH專線和VPN。相對(duì)于VPN，SDH專線以其具有固定的帶寬、低時(shí)延、對(duì)上層業(yè)務(wù)透明等特點(diǎn)，受到一些對(duì)服務(wù)質(zhì)量和安全性要求較高的企業(yè)用戶的青睞。

SDH，即同步數(shù)字系列，是針對(duì)PDH（準(zhǔn)同步數(shù)字系列）的不足而發(fā)展起來(lái)的一種傳送網(wǎng)技術(shù)，上世紀(jì)九十年代以來(lái)，SDH在我國(guó)得到了迅猛的發(fā)展，已經(jīng)成為傳輸網(wǎng)的主流和成熟技術(shù)，前面提到的DDN、ATM及IP網(wǎng)，其廣域傳輸都是采用SDH技術(shù)。最初SDH主要用于傳輸網(wǎng)，發(fā)展到現(xiàn)在，SDH越來(lái)越向網(wǎng)絡(luò)邊緣滲透，甚至直接提供給終端用戶，作為一種業(yè)務(wù)出現(xiàn)，這就是SDH專線業(yè)務(wù)。目前，國(guó)內(nèi)電信運(yùn)營(yíng)商都有SDH專線業(yè)務(wù)供租賃，根據(jù)用戶的需求，有多種速率可以提供。在實(shí)際應(yīng)用中，由于技術(shù)體制的相似，通常將PDH系列也劃歸在SDH系列中，從而構(gòu)成速率由低到高、適應(yīng)各種需求的速率系列。常用的速率有E1 (2Mbit/s)、STM-1( 155 Mbit/s)、STM-4( 622 Mbit/s)和STM-16(2.5 Gbit/s)等。

2、SDH專線的主要特點(diǎn)

SDH專線的主要特點(diǎn)如下：

①多業(yè)務(wù)透明傳輸：SDH處于OSI模型的物理層，與上層業(yè)務(wù)無(wú)關(guān)，可以支持幾乎所有的通信業(yè)務(wù)；

②支持混合業(yè)務(wù)組網(wǎng)：SDH內(nèi)部可拆分成獨(dú)立的多個(gè)虛容器，分別承載不同業(yè)務(wù)，實(shí)現(xiàn)混合業(yè)務(wù)組網(wǎng)及綜合接入；

③對(duì)實(shí)時(shí)業(yè)務(wù)的良好支持：SDH專線基于時(shí)分復(fù)用方式，針對(duì)話音等實(shí)時(shí)業(yè)務(wù)設(shè)計(jì)的，無(wú)阻塞、低時(shí)延；

④支持IP數(shù)據(jù)業(yè)務(wù)：通過(guò)POS (Packet over SDH)和虛容器級(jí)聯(lián)等技術(shù)，可以較好地支持IP等數(shù)據(jù)業(yè)務(wù)。

3、SDH專線的應(yīng)用方式

SDH專線可構(gòu)成點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)的組網(wǎng)方式。對(duì)于只有兩個(gè)部門的企業(yè)，可采用點(diǎn)對(duì)點(diǎn)的線形網(wǎng)絡(luò)。業(yè)務(wù)量少的情況，2M專線即可滿足要求；如果需要更多的帶寬，可以使用多條2M合并的方式，如4個(gè)2M構(gòu)成8M；如果需要的帶寬遠(yuǎn)高于2M，可以使用155M專線，甚至622M、2.5G專線。對(duì)于具有總部和多個(gè)分部的企業(yè)，其企業(yè)專線組網(wǎng)形式為點(diǎn)對(duì)多點(diǎn)的星形，總部接入的帶寬高，分部接入的帶寬低，總部與每個(gè)分部獨(dú)立通信，分部之間不通信。對(duì)于這種非對(duì)稱速率的應(yīng)用，SDH專線也可以方便地實(shí)現(xiàn)。其原理是SDH的復(fù)用技術(shù)，即高速率是由低速率復(fù)用而成，反之，低速率可由高速率拆分而成。當(dāng)前比較常用的點(diǎn)對(duì)多點(diǎn)組網(wǎng)方式是155M-2M，根據(jù)SDH復(fù)用體系，155 M可拆分為63個(gè)2M，這樣，就可以構(gòu)成一個(gè)總部和63個(gè)分部的星形網(wǎng)絡(luò)，總部帶寬是155 M，每個(gè)分部則是2M。對(duì)于業(yè)務(wù)量更大的需求，可以構(gòu)建2.5 G-155 M的點(diǎn)對(duì)多點(diǎn)網(wǎng)絡(luò)。

二、基于虛容器的SDH加密技術(shù)

1、SDH專線加密

采用SDH專線意味著獲得了相對(duì)較高的安全性，因?yàn)镾DH專線具有獨(dú)立的信道和固定的帶寬，與VPN不同，不易受到諸如流量攻擊的威脅。但由于它仍然運(yùn)行于公共網(wǎng)絡(luò)上，在網(wǎng)絡(luò)節(jié)點(diǎn)都有安全隱患，并且銅纜、光纖都可能被竊聽(tīng)（盡管光纖竊聽(tīng)的難度更大），因此，對(duì)SDH專線進(jìn)行加密是有必要的。根據(jù)加密層次的不同，SDH加密可有多種方法。

SDH專線的協(xié)議?？煞譃槌休d、業(yè)務(wù)、應(yīng)用三個(gè)層次。

(1)承載層

包括SDH通道層、段層（群路）及傳送介質(zhì)（光纖、銅纜）。對(duì)應(yīng)OSI模型的物理層。在本層的加密可以采用虛容器加密、段層加密甚至光信號(hào)加密的方式。

(2)業(yè)務(wù)層

包括IP、ATM、幀中繼等業(yè)務(wù)，對(duì)應(yīng)OSI模型的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。在本層的加密方法有IPSec、ATM信元加密等。

(3)應(yīng)用層

包括IP應(yīng)用和TDM應(yīng)用，如文件傳輸、Web瀏覽、視頻會(huì)議、話音等，對(duì)應(yīng)OSI模型的上層。在本層的加密一般是端到端的，如文件加密、話音加密等。

當(dāng)前，IP技術(shù)逐漸占據(jù)主導(dǎo)地位，從應(yīng)用（如VoIP）到業(yè)務(wù)(如VPN)都逐漸向基于IP發(fā)展，但承載層還是以SDH為主，因此，IP over SDH得到了廣泛應(yīng)用。它的原理是采用POS技術(shù)將IP包通過(guò)PPP或HDLC等鏈路層協(xié)議映射到SDH的虛容器內(nèi)?；贗P的SDH專線協(xié)議棧如圖1所示。

在SDH專線諸多的加密方法中，現(xiàn)在比較普遍使用的一般是在應(yīng)用層或業(yè)務(wù)層，如對(duì)話音、視頻、文件的端到端加密，又如采用IPSec隧道模式或ATM信元加密。它們的優(yōu)點(diǎn)是組網(wǎng)和配置安全策略較為靈活，但這些方法還是有局限性的。首先，應(yīng)用層的加密無(wú)法對(duì)信令實(shí)施保護(hù)，易被流量分析。其次，IPSec的實(shí)現(xiàn)要占用部分用戶帶寬，目前市場(chǎng)上的IP加密機(jī)都對(duì)網(wǎng)絡(luò)有顯著影響，無(wú)法實(shí)現(xiàn)線速處理。因此，對(duì)于很多對(duì)服務(wù)質(zhì)量要求較高、網(wǎng)絡(luò)相對(duì)簡(jiǎn)單的用戶，虛容器加密是很好的選擇。

2、虛容器加密的原理

虛容器是SDH網(wǎng)絡(luò)中傳輸?shù)幕締卧?，它在網(wǎng)內(nèi)傳輸中保持不變。上層業(yè)務(wù)為了在SDH網(wǎng)絡(luò)中傳輸，必須將特定的幀、包結(jié)構(gòu)映射到容器(C)中，容器添加上通道開(kāi)銷(POH)即構(gòu)成虛容器(VC)。我國(guó)常用的虛容器有VC4、VC12兩種，速率分別是150.336 M、2.24 M。VC4和VC12都可以裝載IP數(shù)據(jù)包、ATM信元；另外，VC12還可以裝載PDH系列中常用的E1 (2.048 M)。POH的地位相當(dāng)于VC
的幀頭，包含校驗(yàn)、定位等信息。為了保證VC在網(wǎng)內(nèi)的順利傳輸，POH不能加密。一般的加密對(duì)象是容器(C)，對(duì)于一端是E1接入，而另一端是STM-1接入的情況，為了保證加密解密端的一致性，加密對(duì)象應(yīng)為E1，因?yàn)樨灤┚W(wǎng)絡(luò)全程保持不變的是E1，而不是C12。

3、虛容器加密的實(shí)現(xiàn)

虛容器加密有兩種實(shí)現(xiàn)方法，一種是在路由器和傳輸設(shè)備之間增加加密設(shè)備，如SDH加密機(jī)；另一種可在路由器廣域網(wǎng)側(cè)或傳輸設(shè)備接入側(cè)加入密碼模塊。二者均可實(shí)現(xiàn)對(duì)虛容器的鏈路保護(hù)。下文以SDH加密機(jī)為例說(shuō)明。

圖2示意了SDH專線的兩種典型應(yīng)用方式，分別是155M-155M的點(diǎn)對(duì)點(diǎn)和155M-2M的點(diǎn)對(duì)多點(diǎn)方式。

A地和B地之間是155 M專線，用戶側(cè)各放置一臺(tái)具有POS端口的路由器，路由器通過(guò)SDH傳輸網(wǎng)的虛容器VC4連接功能實(shí)現(xiàn)對(duì)接。這里的加密設(shè)備為155 M加密機(jī)，加密對(duì)象是C4。E地和C、D二地之間構(gòu)成點(diǎn)對(duì)多點(diǎn)的2M專線。E地放置一臺(tái)具有cPOS( channelized Packet over SDH)端口的路由器，以155 M的速率接入SDH傳輸網(wǎng)。此處的155 M是信道化的，可將數(shù)據(jù)包分別映射到相應(yīng)虛容器VC12中；C、D二地放置具有E1端口的路由器，以2M的速率接入SDH傳輸網(wǎng)。SDH傳輸網(wǎng)可將E1映射至VC12中。路由器通過(guò)SDH傳輸網(wǎng)內(nèi)部的VC12的交叉連接功能，實(shí)現(xiàn)了點(diǎn)對(duì)多點(diǎn)的對(duì)接。這里，E地的加密設(shè)備是信道化155M加密機(jī)，可對(duì)每個(gè)VC12中裝載的E1單獨(dú)加密，C、D兩地的加密設(shè)備是2M加密機(jī)，加密對(duì)象是E1。

加密設(shè)備（模塊）主要由SDH協(xié)議解析、數(shù)據(jù)加（解）密（包括算法實(shí)現(xiàn)）、SDH協(xié)議封裝三部分組成。由于對(duì)速度有較高要求，適合用FPGA及通信專用芯片實(shí)現(xiàn)。

4、性能分析

對(duì)于虛容器加密和IPSec作了測(cè)試對(duì)比，測(cè)試網(wǎng)絡(luò)拓?fù)淙鐖D3所示。兩部背對(duì)背連接的Cisco路由器（內(nèi)置IPSec加密模塊），廣域網(wǎng)接口是2.5G POS口，通過(guò)2.5G SDH連接，路由器的局域網(wǎng)側(cè)使用網(wǎng)絡(luò)測(cè)試儀發(fā)送和接收測(cè)試IP包。圖3 (a)中，分別測(cè)試關(guān)閉和開(kāi)啟IPSec加密模塊兩種情形，作為基準(zhǔn)測(cè)試和IPSec加密的結(jié)果，基準(zhǔn)測(cè)試即不做加密處理的情況。圖3 (b)中，關(guān)閉IPSec加密模塊，而改用虛容器加密，方法是在路由器中插入一對(duì)SDH加密機(jī)，測(cè)試虛容器加密的性能。

測(cè)試結(jié)果表明：

①吞吐量：虛容器加密與基準(zhǔn)測(cè)試結(jié)果完全一致，IPSec加密相對(duì)基準(zhǔn)則有明顯損失；

②時(shí)延：虛容器加密相對(duì)基準(zhǔn)有較小的固定時(shí)延，IPSec加密的延時(shí)很大，且跟包長(zhǎng)有關(guān)，并不固定；

⑨丟包率：虛容器加密與基準(zhǔn)測(cè)試結(jié)果完全一致，IPSec加密相對(duì)基準(zhǔn)則有明顯增加，尤其是包長(zhǎng)較小的情況。

以上測(cè)試結(jié)果可以通過(guò)理論分析加以證實(shí)。虛容器加密不增加額外的開(kāi)銷，將SDH上承載的鏈路層以上的所有業(yè)務(wù)全部加密，因此不會(huì)在吞吐量、丟包率上造成影響，可達(dá)到線速處理；由于是對(duì)TDM數(shù)據(jù)加密，具有延時(shí)小且固定的特點(diǎn)。IPSec則不同，它需要在包頭增加一些字節(jié)作為必不可少的開(kāi)銷（每包約50字節(jié)），因此會(huì)明顯影響原有網(wǎng)絡(luò)。

當(dāng)然，虛容器加密也有缺點(diǎn)，它的加密單元顆粒較大，無(wú)法實(shí)現(xiàn)細(xì)粒度的加密，在應(yīng)用場(chǎng)合上會(huì)有一定的限制。

admin

收藏 海報(bào)分享