SDH专线是一种目前广泛应用的企业专线,对于重要企业和部门,其安全性至关重要。
一、SDH专线的特点和应用
1、SDH专线
现有企业专线的一般是租用电信运营商的DDN、帧中继、ATM、SDH线路,或者采用VPN(虚拟专用网)的方式。目前,DDN、帧中继、ATM的市场占有率越来越低,比较主流的是SDH专线和VPN。相对于VPN,SDH专线以其具有固定的带宽、低时延、对上层业务透明等特点,受到一些对服务质量和安全性要求较高的企业用户的青睐。
SDH,即同步数字系列,是针对PDH(准同步数字系列)的不足而发展起来的一种传送网技术,上世纪九十年代以来,SDH在我国得到了迅猛的发展,已经成为传输网的主流和成熟技术,前面提到的DDN、ATM及IP网,其广域传输都是采用SDH技术。最初SDH主要用于传输网,发展到现在,SDH越来越向网络边缘渗透,甚至直接提供给终端用户,作为一种业务出现,这就是SDH专线业务。目前,国内电信运营商都有SDH专线业务供租赁,根据用户的需求,有多种速率可以提供。在实际应用中,由于技术体制的相似,通常将PDH系列也划归在SDH系列中,从而构成速率由低到高、适应各种需求的速率系列。常用的速率有E1 (2Mbit/s)、STM-1( 155 Mbit/s)、STM-4( 622 Mbit/s)和STM-16(2.5 Gbit/s)等。
2、SDH专线的主要特点
SDH专线的主要特点如下:
①多业务透明传输:SDH处于OSI模型的物理层,与上层业务无关,可以支持几乎所有的通信业务;
②支持混合业务组网:SDH内部可拆分成独立的多个虚容器,分别承载不同业务,实现混合业务组网及综合接入;
③对实时业务的良好支持:SDH专线基于时分复用方式,针对话音等实时业务设计的,无阻塞、低时延;
④支持IP数据业务:通过POS (Packet over SDH)和虚容器级联等技术,可以较好地支持IP等数据业务。
3、SDH专线的应用方式
SDH专线可构成点对点或点对多点的组网方式。对于只有两个部门的企业,可采用点对点的线形网络。业务量少的情况,2M专线即可满足要求;如果需要更多的带宽,可以使用多条2M合并的方式,如4个2M构成8M;如果需要的带宽远高于2M,可以使用155M专线,甚至622M、2.5G专线。对于具有总部和多个分部的企业,其企业专线组网形式为点对多点的星形,总部接入的带宽高,分部接入的带宽低,总部与每个分部独立通信,分部之间不通信。对于这种非对称速率的应用,SDH专线也可以方便地实现。其原理是SDH的复用技术,即高速率是由低速率复用而成,反之,低速率可由高速率拆分而成。当前比较常用的点对多点组网方式是155M-2M,根据SDH复用体系,155 M可拆分为63个2M,这样,就可以构成一个总部和63个分部的星形网络,总部带宽是155 M,每个分部则是2M。对于业务量更大的需求,可以构建2.5 G-155 M的点对多点网络。
二、基于虚容器的SDH加密技术
1、SDH专线加密
采用SDH专线意味着获得了相对较高的安全性,因为SDH专线具有独立的信道和固定的带宽,与VPN不同,不易受到诸如流量攻击的威胁。但由于它仍然运行于公共网络上,在网络节点都有安全隐患,并且铜缆、光纤都可能被窃听(尽管光纤窃听的难度更大),因此,对SDH专线进行加密是有必要的。根据加密层次的不同,SDH加密可有多种方法。
SDH专线的协议栈可分为承载、业务、应用三个层次。
(1)承载层
包括SDH通道层、段层(群路)及传送介质(光纤、铜缆)。对应OSI模型的物理层。在本层的加密可以采用虚容器加密、段层加密甚至光信号加密的方式。
(2)业务层
包括IP、ATM、帧中继等业务,对应OSI模型的数据链路层和网络层。在本层的加密方法有IPSec、ATM信元加密等。
(3)应用层
包括IP应用和TDM应用,如文件传输、Web浏览、视频会议、话音等,对应OSI模型的上层。在本层的加密一般是端到端的,如文件加密、话音加密等。
当前,IP技术逐渐占据主导地位,从应用(如VoIP)到业务(如VPN)都逐渐向基于IP发展,但承载层还是以SDH为主,因此,IP over SDH得到了广泛应用。它的原理是采用POS技术将IP包通过PPP或HDLC等链路层协议映射到SDH的虚容器内。基于IP的SDH专线协议栈如图1所示。
在SDH专线诸多的加密方法中,现在比较普遍使用的一般是在应用层或业务层,如对话音、视频、文件的端到端加密,又如采用IPSec隧道模式或ATM信元加密。它们的优点是组网和配置安全策略较为灵活,但这些方法还是有局限性的。首先,应用层的加密无法对信令实施保护,易被流量分析。其次,IPSec的实现要占用部分用户带宽,目前市场上的IP加密机都对网络有显著影响,无法实现线速处理。因此,对于很多对服务质量要求较高、网络相对简单的用户,虚容器加密是很好的选择。
2、虚容器加密的原理
虚容器是SDH网络中传输的基本单元,它在网内传输中保持不变。上层业务为了在SDH网络中传输,必须将特定的帧、包结构映射到容器(C)中,容器添加上通道开销(POH)即构成虚容器(VC)。我国常用的虚容器有VC4、VC12两种,速率分别是150.336 M、2.24 M。VC4和VC12都可以装载IP数据包、ATM信元;另外,VC12还可以装载PDH系列中常用的E1 (2.048 M)。POH的地位相当于VC
的帧头,包含校验、定位等信息。为了保证VC在网内的顺利传输,POH不能加密。一般的加密对象是容器(C),对于一端是E1接入,而另一端是STM-1接入的情况,为了保证加密解密端的一致性,加密对象应为E1,因为贯穿网络全程保持不变的是E1,而不是C12。
3、虚容器加密的实现
虚容器加密有两种实现方法,一种是在路由器和传输设备之间增加加密设备,如SDH加密机;另一种可在路由器广域网侧或传输设备接入侧加入密码模块。二者均可实现对虚容器的链路保护。下文以SDH加密机为例说明。
图2示意了SDH专线的两种典型应用方式,分别是155M-155M的点对点和155M-2M的点对多点方式。
A地和B地之间是155 M专线,用户侧各放置一台具有POS端口的路由器,路由器通过SDH传输网的虚容器VC4连接功能实现对接。这里的加密设备为155 M加密机,加密对象是C4。E地和C、D二地之间构成点对多点的2M专线。E地放置一台具有cPOS( channelized Packet over SDH)端口的路由器,以155 M的速率接入SDH传输网。此处的155 M是信道化的,可将数据包分别映射到相应虚容器VC12中;C、D二地放置具有E1端口的路由器,以2M的速率接入SDH传输网。SDH传输网可将E1映射至VC12中。路由器通过SDH传输网内部的VC12的交叉连接功能,实现了点对多点的对接。这里,E地的加密设备是信道化155M加密机,可对每个VC12中装载的E1单独加密,C、D两地的加密设备是2M加密机,加密对象是E1。
加密设备(模块)主要由SDH协议解析、数据加(解)密(包括算法实现)、SDH协议封装三部分组成。由于对速度有较高要求,适合用FPGA及通信专用芯片实现。
4、性能分析
对于虚容器加密和IPSec作了测试对比,测试网络拓扑如图3所示。两部背对背连接的Cisco路由器(内置IPSec加密模块),广域网接口是2.5G POS口,通过2.5G SDH连接,路由器的局域网侧使用网络测试仪发送和接收测试IP包。图3 (a)中,分别测试关闭和开启IPSec加密模块两种情形,作为基准测试和IPSec加密的结果,基准测试即不做加密处理的情况。图3 (b)中,关闭IPSec加密模块,而改用虚容器加密,方法是在路由器中插入一对SDH加密机,测试虚容器加密的性能。
测试结果表明:
①吞吐量:虚容器加密与基准测试结果完全一致,IPSec加密相对基准则有明显损失;
②时延:虚容器加密相对基准有较小的固定时延,IPSec加密的延时很大,且跟包长有关,并不固定;
⑨丢包率:虚容器加密与基准测试结果完全一致,IPSec加密相对基准则有明显增加,尤其是包长较小的情况。
以上测试结果可以通过理论分析加以证实。虚容器加密不增加额外的开销,将SDH上承载的链路层以上的所有业务全部加密,因此不会在吞吐量、丢包率上造成影响,可达到线速处理;由于是对TDM数据加密,具有延时小且固定的特点。IPSec则不同,它需要在包头增加一些字节作为必不可少的开销(每包约50字节),因此会明显影响原有网络。
当然,虚容器加密也有缺点,它的加密单元颗粒较大,无法实现细粒度的加密,在应用场合上会有一定的限制。
小知识之虚容器
在SDH中,虚容器是一种用来支持通道层连接的信息结构。它由被安排在重复周期为125 μs 或500 μs的块状帧结构中的信息净负荷和通道开销(POH)信息区组成,识别VC帧起点的定位信息由服务网络提供。