今年4月刚刚被北电网络以3.4亿美元购并的Shasta网络公司是一个只有十几个人的小公司,成立仅一年,就因为它的其ISP的新一代用户业务网关(Subscriber Service Gateway)产品SSG-5000,使其身价倍增。简单地说,Shasta产品的功能就是简化了ISP的服务,使宽带接入变得容易,系统安全可靠,使ISP能针对用户的特殊要求提供个性化服务。另外,Shasta的产品还可以将服务管理费用从每月数千美元降到每月100美元。这些功能无疑对ISP具有很大的吸引力。Shasta的这套产品还包括IP服务操作系统和网络应用管理系统,是一套完整的解决方案。系统规模可以根据用户的需求进行剪裁。
以下概述Shasta用户业务系统——SSS(Subscriber Service System)的不同部署方案,主要探讨用户合并和作为一个ATM业务节点进行的部署。它还讨论包括Nortel的Contivity在内的端到端VPN结构,以及包含SSG和Nortel的Versalar 15K的ISP PoP。用户合并包括提供高灵敏度的DSL、拨号、有线、EtherLoop及无线业务。作为ATM业务节点的部署时,它独立于任何单独的接入技术。
一、用户汇聚
在最基本的部署方案中,ISP、IXC及一些ILEC和CLEC都将SSG-5000部署为功能强大的用户合并平台。在这里,它将从多种接入技术中合并业务,然后转发到ISP(或多个ISP)的骨干网中。
最早也是最引人注目的用途是当作DSL集合器(aggregator),它将来自多个DSLAM的业务组合并为用户业务提供增值服务。这里,DSL链路在客户地点设备(CPE)和DSLAM(如Nortel的UE9000)之间扩展,用户业务由DSLAM传输到地区性ATM网络中,最后终接在一个包括SSG的第三层PoP(Point of Presence)中。由于在DSL部署中,提供基本DSL连接的供应商通常不是控制用户(及SSG)的ISP,这使一个ISP可以与某个城区的多个DSL供应商相匹配,SSG-5000将同每一个供应商的ATM骨干网建立一条ATM链路。或者,如果ISP已经部署了ATM骨干网,SSG将通过一条线路与现有的ATM交换机相连。从SSG到ISP核心的上行链路可以是ATM、FE(Fast Ethernet),或在将来(1999年年底)可以是SONET/SDH上的PPP、GE(Gigabit Ethernet)或FRAME。
SSG还支持Nortel 1Meg调制解调器的连接,该技术若与SSG共同配置,可以提供一条FE上行链路。在大多数部署中,它被配置在远程CO(中心局)中。一种外部设备(如Alcatel/Xylan Omni Switch或Accelar)在将业务转发往地区性网络之前先从FE转换成ATM。在所有情况下,这个外部设备将用户PPPoE话路映射到ATM PVC上。1Meg调制解调器依赖CPE和SSG之间的PPPoE封装。与DSL一样,1Meg调制解调器也可由ISP以外的接入服务供应商运营。EtherLoop使用大体相同的结构,独立配置时提供FE上行链路;而在集成到UE9000机柜中时提供ATM链路。
在电缆部署中,发自有线电视调制解调器前端设备的FE上行链路将直接与SSG(如果)或外部FE-AT同转换器相连(如上述)。注意,在这种情况下很可能是处在同一地点,因为为某个城区提供服务的电缆供应商可以将前端设备合并为一个中心站点。还需注意,电缆前端设备的选择将决定SSG的作用。如果该设备只提供第2层功能,SSG将执行全套第3层处理功能。然而,某些电缆前端设备(如Cisco的UBR)还包括第3层终接功能,其中SSG有可能不在数据路径上。另外还需注意,现有的电缆封装不象拨号或DSL一样是面向会话的。在这种结构中,SSG将为桥接用户提供业务。
模拟和ISDN拨号用户接入RAS(远程接入服务器)通常参与第3层处理器(如PPP终接)。这里,一个通用的RADIUS数据库可以用于同时支持拨号和DSL用户,从而建立通用业务档案。然而在某些情况下,RAS可部署在远程CO中,只提供第2层业务。这时,拨号用户的第3层终接都在SSG上进行。
最后,SSG在以后将能够终接2.5G和3G无线业务用户。
二、ISP批发
在上述例子中,物理SSG平台由ISP控制,它同时负责系统运行和所有用户的设备配置。还有一种结构(如ILEC和CLEC所使用的)将SSG置于他们的物理控制之下。然后他们将SSG分成多个小分段(context)(虚拟路由器)供客户机ISP使用。这些客户机配置自己的DSL或拨号用户设备,并有效地控制SSG中属于各自的虚拟分段。这样,他们便不必为终接用户而部署一个专用系统,从而排除进入小市场的障碍。用户鉴别通过Proxy RADIUS进行,其中与SSG共同配置的一个服务器负责向各个ISP运营的服务器发出请求。SSG目前最多可支持16个ISP分段(context),但这一数字在将来会有所增加。
三、ATM业务节点
紧密相关的用户合并是作为ATM业务节点的SSG-5000部署。这里,它为整个ATM骨干网中的任何PVC或SVC用户提供增值业务。然而,与前述各种DSLAM和RAS可以直接与SSG连接的例子不同,该环境中的系统只通过一条线路与ATM交换机相连,从而处理从网络其它部分进入ATM骨干网的用户业务。所以,这种结构不排除DSL或拨号用户的集合。作为ATM业务节点时,SSG-5000通常部署用于支持ATM用户或在网络边缘与ATM互通的帧中继用户。现在,供应商首次拥有了可扩展的解决方案,可以为ATM用户提供高增值业务。SSG的可扩展性与核心路由器的ATM接口的有限性能形成了鲜明的对比,它排除了过去部署线速业务的可能性。
四、虚拟专用网(VPN)
SSG的一个主要用途在于为公司分支办事处和远程工作人员提供VPN连接。VPN可以提供两个或多个站点间的安全连接,在部署SSG的情况下,凭借带或不带DES56/3DES加密的IPSec就可保证安全性。虚拟专用路由网(VPRN)可以连接多个小企业站点或与总部站点相连(Internet),而不需要专用租用线路、帧中继或ATM连接。通过连接供应商和分销商,还可部署VPRN来支持企业Extranet。SSG支持基于网络的VPRN, VPRN的安全性通过IPSec加密/未加密实现,密钥交换通过IKE(Internet Key Exchange)进行,而交换拓扑更新(内部VPN覆盖能力)通过触发RIP实现。虚拟专用拨号网(VPDN)将远程用户与企业网络相连,这些用户在他们的PC机上安装有IPSec客户机,隧道终接在SSG上,具体取决于中心站点的规模(即有T1连接的小企业使用SSG作为基于网络边缘的VPDN终接系统)。或者,未安装IPSec客户机的用户与网络边缘的SSG连接,然后该系统可以建立IPSec隧道。虚拟租用线路(VLL)是SSG支持的一种简单VPN,VLL只连接两个站点,虽然依赖于IPSec,但它不包括自动密钥交换或拓扑发现功能。到1999年年底,SSG将支持带有基于硬件的DES56/3DES加密和Internet密钥交换(IKE)认证授权的VPDN和VPRN。值得注意的是,这种全面的VPN支持是一种独立于2个基于L2TP的SSG间的强制隧道的解决方案。
五、包含SSG和Versalar 15K的ISP PoP部署
一个大型ISP可在网络边缘发挥两种作用。它能够合并大量的拨号及DSL用户,提供高灵敏度业务,同时也能作为一个ISP批发商。这里,根据每一个ISP客户机提供的基本QoS已足够了。在这种PoP结构中,SSG及Nortel的Versalar 15k都适合部署,前者发挥用户合并的功能,后者则执行ISP合并的作用。根据ISP的规模,这两种设备将匹配进入骨干网。注意,一些用户(DS3或更高)将直接与该骨干网连接,因为不论是SSG还是Versalar 15k都不是设计用于以这样的速率合并用户。对这些高带宽用户的所有增值业务都由CLE(如Contivity)来提供。目前所有的用户业务都通过ATM或FE接口进入SSG。在1999年年底,随着信道化DS3接口的面世,SSG将能够直接为FT1及T1用户提供服务。