隨著5G新業務的發展，接入業務的帶寬需求飛速增長，中興通訊可以提供端到端的傳輸解決方案，構建一個涵蓋城域接入層、城域匯聚層、城域核心層以及長途干線層的“端到端”網絡，實現承載業務“光速直達”，是未來網絡發展的必然趨勢。

通信網絡分為三層，由下至上分別是接入層、匯聚層、核心層。承載網就是處于接入網和核心網之間的網絡部分。

圖1 承載網在通信網絡中的位置

為了滿足接入業務的帶寬需求飛速增長，承載網光傳送網產品應運而生，光傳送網（optical transport network）簡稱OTN。中興通訊的承載網OTN產品分為：

（1）ZXONE 9700分組OTN產品

ZXONE 9700系列產品，支持10G/40G/100G/400G傳輸速率，可實現28.8T/14.4T/9.2T/4.4T ODUk的大容量電層交叉和10G/40G/100G/400G波長的光層交叉及分組交換功能。其適用于骨干核心層以及本地/城域網絡，可充分滿足運營商對大顆粒數據業務的透明傳輸、靈活調度、匯聚處理以及對業務管理監控的需求。

（2）ZXONE 19700產品

面向100G和超100G的超大交叉容量OTN設備ZXONE 19700系列產品，支持10G/40G/100G/200G/400G/1T傳輸速率，具備業界最大的電層交叉容量和10G/40G/100G/400G/1T波長的光層交叉及分組交換功能，適用于國干、省干和城市核心調度節點，可充分滿足運營商對大顆粒數據業務的透明傳輸、靈活調度、匯聚處理以及對業務管理監控的需求。

（3）ZXWM M920骨干OTN產品

ZXWM M920設備是中興通訊推出的新一代大容量、超長距的智能骨干網OTN產品，該設備應用了先進的傳輸技術與高度的集成技術，面向全IP化傳輸，全面支持OTN標準，支持GMPLS/WASON控制平面的加載，應用于國際、國家、省際、省內干線，本地交換網以及各種專網的建設。

（4）ZXMP M721城域邊緣OTN產品

ZXMP M721是定位于城域匯聚接入層的新一代OTN光網絡產品，具有小身材、大能耐、低功耗、高可靠特性。支持80×10G/100G/200G DWDM系統，并支持模塊化平滑升級。DWDM系統支持多跨段無電中繼傳輸（18×22 dB、7×30 dB 、1×45dB等）。可支持2Mbit/s~100Gbit/s的全業務接入：STM-1/4/16/64；FE， GE， 10GE WAN，10GE LAN，100GE；1G/2G/4G/8G/10G/16G FC，ESCON，FICON，DVB-ASI，SD-SDI/HD-SDI/3G-SDI；OTU1/2/2e/1f/1IB/4；E1等。ZXMP M721是一款高集成度的緊湊型OTN產品，其單子架為DX61（1U）、DX62（2U）、DX63（3U）、CX62A（2U）、CX63A（3U）、CX66（6U）和CX66A（6U），可以節約機房面積，有效降低電源功耗，顯著降低運行和維護費用，適應網絡的綠色環保需求。

（5）ZXUCP A200智能光網絡控制平面產品

ZXUCP A200是中興通訊推出的基于WDM/OTN的WASON控制平面軟件產品，基于波長交叉和ODUk電交叉技術，能夠實現網絡的自動化、智能化，以及更加高效可靠的業務承載。

承載網OTN產品在實際使用中以網元（Network Element，簡稱NE）的屬性存在，每個網元就是由一個獨立的設備或者多個設備按照主從子架進行級聯共同組成，業務就通過在不同網元之間進行傳遞。每個網元都存在北向接口，用戶可以通過設備的北向接口使用如下服務與設備進行通信與管理，比如sftp，ssh，netconf，snmp，網絡管理接口（EMS口）服務等。

圖2 承載網OTN網絡中網元組網和北向接口服務

網元的這些北向接口服務都需要進行登錄，認證授權。因此在每個網元設備上都存在AAA模塊來實現對北向接口服務的登錄認證，授權。AAA是Authentication（認證）、Authorization（授權）和Accounting（計費）的簡稱。它提供對用戶進行認證、授權和計費三種安全功能。

（1）Authentication（認證）：驗證用戶的身份與可使用的網絡服務。

（2）Authorization（授權）：依據認證結果開放預先配置的操作權限級別的網絡服務給用戶。

（3）Accounting（計費）：記錄用戶對各種網絡服務的用量，并提供給計費系統。

AAA又分為AAA本地認證和AAA遠程認證兩種模式。

（1）AAA本地認證：將用戶信息配置在接入服務器上。

（2）AAA遠程認證：與RADIUS，TACACS+等協議配合使用，接入服務器作為客戶端，與RADIUS，TACACS+服務器通信，用戶的配置信息存放在RADIUS，TACACS+服務器上。

RADIUS：RADIUS（Remote Authentication Dial-In User Server，遠程認證撥號用戶服務）是一種分布式的、C/S架構的信息交互協議，能包含網絡不受未授權訪問的干擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。協議定義了基于UDP（User Datagram Protocol）的RADIUS報文格式及其傳輸機制，并規定UDP端口1812、1813分別作為認證、計費端口。RADIUS最初僅是針對撥號用戶的AAA協議，后來隨著用戶接入方式的多樣化發展，RADIUS也適應多種用戶接入方式，如以太網接入等。它通過認證授權來提供接入服務，通過計費來收集、記錄用戶對網絡資源的使用。

TACACS+：TACACS+（Terminal Access Controller Access Control System，終端訪問控制器控制系統協議）是在TACACS協議的基礎上進行了功能增強的安全協議。該協議與RADIUS協議的功能類似，采用客戶端/服務器模式實現NAS與TACACS+服務器之間的通信。

RADIUS與TACACS+的比較：

圖3 對比RADIUS與TACACS+

AAA遠程認證原理：

AAA一般采用客戶機/服務器結構，客戶端運行于NAS（Network Access Server，網絡接入服務器）上，服務器上則集中管理用戶信息。NAS對于用戶來講是服務器端，對于服務器來說是客戶端。AAA的基本組網結構如下圖4。

當用戶想要通過某網絡與NAS建立連接，從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時，NAS起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器（RADIUS服務器或TACACS+服務器），RADIUS協議或TACACS+協議規定了NAS與服務器之間如何傳遞用戶信息。

TACACS+的典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為TACACS+的客戶端，將用戶名和密碼發給TACACS+服務器進行驗證。用戶驗證通過并得到授權之后可以登錄到設備上進行操作。

圖4 AAA遠程認證原理圖

中興通訊的承載網光傳送網絡產品支持以上三種認證方式，詳見如下：

（1）支持AAA本地認證。

（2）支持基于RADIUS的AAA 遠程認證。

（3）支持基于TACACS+的AAA遠程認證。

如圖2所示，在過去很長一段時間，通信網絡中廣泛應用的是本地AAA認證。圖中每個網元（NE）上都存在一個AAA模塊，用戶的認證授權利用每個網元自身的用戶數據庫來實現對北向接口提供的服務用戶進行登錄認證，授權。這個認證授權過程都是在每個網元上單獨完成的。這種本地AAA認證方式存在以下幾個問題：

（1）賬號維護工作量大。用戶需要新增或者修改，刪除賬號信息，需要逐個登錄每個網元進行配置，工作量很大，操作起來非常耗時。

（2）存在后門賬號引起安全風險。由于通信網絡中網元數量很多，維護管理人員可能不會及時發現某個網元上殘留的賬號，導致存在客戶未知賬號導致入侵風險。

為了解決以上2個AAA本地認證存在的多網元用戶信息維護問題，中興通訊現在已經在承載網光傳送網絡中使用AAA遠程認證。并且推薦使用更為安全的基于TCP協議的TACACS+協議。中興通訊承載網光傳送網絡中的每個網元啟用AAA遠程TACACS+認證功能后，每個網元的功能相當于AAA遠程認證中的NAS角色。網元設備作為TACACS+的客戶端，將遠程用戶登錄輸入的用戶名和密碼發給TACACS+服務器進行驗證。在TACACS+服務器上對收到的用戶賬號數據與TACACS+服務器里存儲的用戶賬號數據進行比對，用戶驗證通過并得到授權之后可以登錄到設備上進行操作。

圖5 承載網OTN網絡中啟用AAA 遠程TACACS+認證后的網元組網和北向接口服務

中興通訊在承載網光傳送網絡中，通過啟用AAA遠程TACACS+認證功能，維護多個網元的賬號信息只需要在一臺TACACS+服務器上進行維護，從而減輕了運維人員的工作量，同時減少了某個網元上殘余后門賬號的風險。

責任編輯：gt