隔離拒絕服務源的方法及其無源光網絡系統的製作方法

2023-05-19 17:41:51 2

專利名稱：隔離拒絕服務源的方法及其無源光網絡系統的製作方法
技術領域：
本發明涉及無源光網絡技術，尤其涉及隔離拒絕服務源的方法及應用該方法的無源光網絡系統。無源光網絡，即PON(Passive Optical Network)，一種誕生於20世紀80年代末90年代初的技術，在經過了近20年的發展，逐漸得到運營商和設備商的一致青睞，尤其是在純介質網絡以及光分配網絡(ODNOptical Distribution Network)中不存在有源設備的特性，更是在當今博得運營商的讚譽，被認為是寬帶接入技術的發展方向。但無源光網絡的生存性卻總是受到包括設備運營商和設備商在內的許多人的質疑，原因是無源光網絡所採用的突發TDMA復用技術會導致無源光網絡出現拒絕服務(DOSDenial ofService)，甚至使無源光網絡陷入癱瘓狀態。


圖1為無源光網絡樹型拓撲圖，在無源光網絡中，下行方向採用廣播方式，光線路終端(OLTOptical Line Termination)通過無源光分路器的功率分配方式向所有的與之連接的光網絡單元(ONUOptical Network Unit)發送或者廣播數據，光網絡單元ONU根據系統內部預先定義的ID過濾接收屬於自身的數據而在上行方向，則每個無源光分路器接收來自每個光網絡單元ONU的上行數據，並通過無源光功率匯聚的原理將數據進行復用後傳送給光線路終端OLT。為了保證上行方向中各個光網絡單元ONU發送的上行數據不發生衝突，光線路終端OLT設備必須對各個光網絡單元ONU進行測距，同時根據測距結果控制每個光網絡單元ONU佔有上行光鏈路的時刻和時長，同時要求每個光網絡單元ONU必須採用突發的時分多址復用方式(TDMATime DivisionMultiple Access)發送上行數據。在正常情況下，每個光網絡單元ONU均按照光線路終端OLT的授權佔用上行通道發送數據，網絡不會出現信號衝突。但是，在光網絡單元ONU設備出現故障不響應光線路終端OLT的授權而隨機或永久佔用上行通道時，或者惡意用戶隨意佔用上行通道時，無源光網絡會陷入癱瘓狀態，即出現DOS問題。此時，OLT能夠識別系統已經陷入DOS狀態，但由於分支節點的無源特性，無法定位是哪個分支上的ONU設備出現了問題。為了解決上述問題，目前有兩種方法第一種方法是採用人工排查方式。在無源光網絡系統中設置一個識別拒絕服務(DOS)誤碼特徵值——某種閾值，之後OLT對上行數據的誤碼狀況進行監視，並與設定值進行比較。當發現越限時，OLT去激活所有ONU設備，或在某個相當長的時間內，禁止所有ONU佔用上行通道。此時，若OLT仍然能夠收到上行數據，則系統確實出現導致拒絕服務的故障ONU設備或惡意用戶，據此OLT通知網絡管理系統給出有效的告警信息，提醒系統操作員無源光網絡中存在故障ONU設備或惡意用戶並已經導致了拒絕服務狀態出現。
上述方案雖然能夠識別系統存在拒絕服務狀態，並且給出告警信息，但是仍然存在以下缺點不能定位引起的問題的故障ONU設備或惡意用戶，如果要定位故障ONU所在支路需要人工排查，從而導致效率低，成本高；不可能定位惡意用戶，因為人工排查時間太長，惡意用戶可能暫時離去，或自行修改為合法；網絡中斷時間很長，嚴重影響網絡服務質量。
第二種方法是在無源光網絡系統中引入上行光信號檢測模塊(DETDetector)。如圖2所示，在系統引入一個在線上行光纖狀態/信號檢測模塊DET，在線檢測來自各個ONU的上行信號。當OLT識別到系統出現DOS時，則通過通信通道C向DET模塊查詢DOS源位於哪個支路上，從而判定是哪個ONU設備故障或惡意用戶位於何處。
雖然此種方法能夠識別和定位拒絕服務源，但是不能夠斷開或隔離拒絕服務源，若要斷開或隔離拒絕服務源，則需要人工斷開或者其他的手段。
綜上所述，現有的無源光網絡存在以下缺點一方面，儘管現有的OLT設備能夠通過上行特性，識別和確認系統出現拒絕服務狀態，並給出告警信息，提醒系統操作員系統正處於拒絕服務狀態，但無法給出具體的故障ONU設備或惡意用戶的位置；儘管人工排查方法能夠找到故障ONU設備或惡意用戶的位置，但會導致網絡中斷時間長，工作效率低，成本高。另一方面，雖然能夠通過信號檢測模塊DET確定拒絕服務源的位置，但不能對拒絕服務源進行隔離，從而影響到網絡其他的用戶。本發明要解決的技術問題是提供一種隔離拒絕服務源的方法及應用該方法的無源光網絡系統，能夠識別和定位無源光網絡系統中的拒絕服務源，並對該拒絕服務源進行隔離。
本發明是通過下面的技術方案來實現的隔離拒絕服務源的方法，包括以下步驟101、信號檢測模塊對所有光網絡單元到光線路終端的上行數據通道進行實時檢測；102、若檢測結果顯示光網絡系統處於拒絕服務狀態，則控制模塊控制執行模塊斷開出現拒絕服務狀態的所述上行數據通道。
步驟102中進一步包括光線路終端通過通信通道向信號檢測模塊查詢出現拒絕服務狀態的光網絡單元在光網絡系統中的位置，最後通過通信通道向控制模塊發送斷開該光網絡單元對應的上行數據通道的信號。
步驟102中進一步包括信號檢測模塊把檢測結果發送給控制模塊，控制模塊根據預定的策略進一步控制執行模塊斷開出現拒絕服務狀態的光網絡單元對應的上行數據通道。
步驟101中進一步包括401、光線路終端通過光分配網絡以時分多址復用方式向所有的光網絡單元發送數據，所有的光網絡單元根據光網絡系統內部預先定義的ID過濾接收屬於自身的數據；402、所有的光網絡單元以突發時分多址復用方式共享上行數據通道。向光線路終端發送上行數據。
步驟401中光網絡系統內部預先定義的ID可以是地址，也可以是數據包歸屬的屬性標識。
應用隔離拒絕服務源的方法的無源光網絡系統，包括信號檢測模塊、能夠實現數據交互的光線路終端和光網絡單元；所述信號檢測模塊對光網絡單元到光線路終端的上行數據通道進行實時檢測，還包括根據檢測結果相應地控制所述上行數據通道開啟或關斷的開關單元。
本發明的進一步改進在於所述的開關單元包括控制模塊和執行模塊；所述控制模塊根據檢測結果相應地控制執行模塊開啟或關斷所述上行數據通道。
本發明的進一步改進在於，所述控制模塊至少包括用於與光線路終端和執行模塊進行通信的通信接口模塊；用於接收來自光線路終端的指令，並轉化成執行模塊能夠識別的指令的信息處理模塊。
本發明的進一步改進在於所述控制模塊位於光線路終端的內部。
本發明的進一步改進在於所述執行模塊為一個開關或者一個開關陣列。
本發明的進一步改進在於所述的開關單元為可調光分路器或者可控光開關陣列。
由於採用上述的技術方案，本發明不需要斷開無源光網絡就能夠實現對拒絕服務源的定位，提高了網絡的質量，不需要人工幹預，節約了工作程序，降低了網絡運行的成本；本發明能夠對拒絕服務源進行隔離，避免網絡其他的用戶受到影響。圖1是無源光網絡樹型拓撲圖。
圖2是具有信號檢測模塊DET的無源光網絡系統圖。
圖3是本發明的無源光網絡系統圖。
圖4是存在故障ONU設備的無源光網絡系統圖。
圖5是存在惡意用戶的無源光網絡系統圖。
圖6是控制模塊(CON)具體結構在無源光網絡系統中的連接示意圖。
圖7是使用可調光分路器的無源光網絡系統圖。
圖8是使用可控光開關陣列的無源光網絡系統圖。如圖3所示，本發明中的無源光網絡系統包括光通信子系統Subsys_0、控制模塊CON和執行模塊EXE，其中，光通信子系統Subsys_0至少包括一個信號檢測模塊DET。光線路終端OLT通過由主光分路器SP和從光分路器SP_sub0和SP_sub1以及主光纖FR、支路光纖(FB0_0，FB0_1，FB1_0，FB1_1)組成的光分配網絡ODN與光網絡單元ONU0和ONU1進行數據交互，信號檢測模塊DET分別通過從光分路器SP_sub0和SP_sub1對光網絡單元ONU0和ONU1到光線路終端OLT的上行數據通道進行實時檢測，信號檢測模塊DET和控制模塊CON都通過通信通道C與光線路終端OLT進行通信。其中，通信通道C可以是有線通道，還可以是無線通道。圖中，執行模塊EXE的位置位於從光分路器SP_sub0和SP_sub1的外側，也可以位於從光分路器SP_sub0和SP_sub1的內側。
當無源光網絡系統處於正常的狀態下，光線路終端OLT以時分多址復用方式TDMA向光網絡單元ONU0和ONU1廣播數據，即發送數據；光網絡單元ONU0和ONU1根據光網絡系統內部預先定義的ID過濾接收屬於自身的數據，其中，光網絡系統內部預先定義的ID可以是地址，也可以是數據包歸屬的屬性標識；在光線路終端OLT對光網絡單元ONU0和ONU1進行測距和註冊後，根據測距結果控制光網絡單元ONU0和ONU1佔用上行數據通道的時刻和時長；光網絡單元ONU0和ONU1以突發時分多址復用方式共享上行數據通道，向光線路終端OLT發送上行數據。從而實現光網絡單元ONU0和ONU1與光線路終端OLT之間的數據交互。同時，信號檢測模塊DET對光網絡單元ONU0和ONU1的上行數據通道進行實時檢測，在控制模塊CON的作用下，執行模塊EXE保持ONU0和ONU1的上行數據通道暢通。
當無源光網絡系統進入DOS狀態時，光線路終端OLT通過通信通道C獲知系統存在故障ONU設備或惡意用戶，並且能夠準確定位該設備或用戶對應的上行鏈路或光纖支路。無源光網絡系統存在故障ONU設備和惡意用戶，分別如圖4和圖5所示。
根據系統策略和控制模塊CON的實際能力有以下3種可採用的方法1、控制模塊CON對檢測結果不直接響應或信號檢測模塊DET與控制模塊CON之間無通信通道且執行模塊EXE與光線路終端OLT無通信鏈路光線路終端OLT通過通信通道C向控制模塊CON下達關閉ONU1上行光纖支路的命令，控制模塊CON則控制執行模塊EXE切斷光纖支路FB1_0和FB1_1之間的連接，從而斷開光網絡單元ONU1的上行數據通道。
2、控制模塊CON與信號檢測模塊DET模塊存在通信鏈路控制模塊CON根據預定的策略，直接控制執行模塊EXE斷開FB1_0和FB1_1之間的光纖連接，從而斷開光網絡單元ONU1的上行數據通道。
3、執行模塊EXE與光線路終端OLT存在通信鏈路執行模塊EXE直接在廣線路終端OLT的控制下，斷開FB1_0和FB1_1之間的光纖鏈路，從而斷開光網絡單元ONU1的上行數據通道。
前面兩種方法種的控制模塊CON相對獨立，成為一個單獨的模塊；而最後一種方法中的控制模塊CON可以看作是不存在或其功能很弱，甚至位於光線路終端OLT的內部。
如圖6所示，本發明的控制模塊CON至少包含以下模塊通信接口模塊CI、信息處理模塊IP，通信接口模塊CI分別通過本地控制接口C3和通信通道C與執行模塊EXE和光線路終端OLT模塊進行通信；信息處理模塊IP通過狀態和主控信息通道C1從通信接口模塊CI處接收來自光線路終端OLT的指令，並轉化成本地執行模塊EXE能夠識別的指令，然後通過本地控制信息通道C2把指令傳送給通信接口模塊CI，再由通信接口模塊CI發送給執行模塊EXE；在執行過程中控制模塊CON與DET模塊進行通信，能夠確保執行的效果。
執行模塊EXE則是由一些開關組成的，可以是一個開關，也可以是一個開關陣列，其作用是根據控制模塊CON的指令切斷或接通相應的光路。這些開關可以是機械的，也可以是其它意義的開關，如通過調整光路的衰減來切斷和開啟的光路。
如圖7所示，本發明採用了可調光分路器完成控制模塊CON和執行模塊EXE的功能，其位置在從光分路器的外側。正常工作情況下，可調光分路器處於50％∶50％的工作狀態，光網絡單元ONU0和ONU1都能夠與光線路終端OLT進行正常數據交互。
當光線路終端OLT發現系統進入DOS狀態時。通過通信通道C與信號檢測模塊DET通信，並得知系統中存在一個故障ONU設備(假設是ONU1)或一個故障用戶(也假設是ONU1)。此時光線路終端OLT向可調光分路器下達指令，指示可調光分路器改變光網絡單元ONU1的分光比，如調整到100％∶0％(假設光網絡單元ONU0的光接收模塊不會出現飽和狀態)，此時光網絡單元ONU1設備將會從電路中斷開，在光網絡單元ONU0不受影響的情況下，實現了對拒絕服務源的隔離。
如圖8所示，本發明採用了可控光開關陣列完成控制模塊CON和執行模塊EXE的功能，其工作原理與採用可調光分路器時基本一致。
權利要求
1.一種隔離拒絕服務源的方法，包括以下步驟101、信號檢測模塊(DET)對所有光網絡單元(ONU)到光線路終端(OLT)的上行數據通道進行實時檢測；102、若檢測結果顯示光網絡系統處於拒絕服務狀態，則控制模塊(CON)控制執行模塊(EXE)斷開出現拒絕服務狀態的所述上行數據通道。
2.根據權利要求1所述的隔離拒絕服務源的方法，其特徵在於，步驟102中進一步包括光線路終端(OLT)通過通信通道(C)向信號檢測模塊(DET)查詢出現拒絕服務狀態的光網絡單元(ONU)的位置，最後通過通信通道(C)向控制模塊(CON)發送斷開該光網絡單元(ONU)對應的上行數據通道的信號。
3.根據權利要求1所述的隔離拒絕服務源的方法，其特徵在於，步驟102中進一步包括信號檢測模塊(DET)把檢測結果發送給控制模塊(CON)，控制模塊(CON)根據預定的策略進一步控制執行模塊(EXE)斷開出現拒絕服務狀態的光網絡單元(ONU)對應的上行數據通道。
4.根據權利要求1所述的隔離拒絕服務源的方法，其特徵在於，步驟101中進一步包括401、光線路終端(OLT)通過光分配網絡(ODN)以時分多址復用方式向所有的光網絡單元(ONU)發送數據，所有的光網絡單元(ONU)根據光網絡系統內部預先定義的ID過濾接收屬於自身的數據；402、所有的光網絡單元(ONU)以突發時分多址復用方式共享上行數據通道，向光線路終端(OLT)發送上行數據。
5.根據權利要求4所述的隔離拒絕服務源的方法，其特徵在於步驟401中光網絡系統內部預先定義的ID可以是地址，也可以是數據包歸屬的屬性標識。
6.應用如權利要求1所述方法的無源光網絡系統，包括信號檢測模塊(DET)、能夠實現數據交互的光線路終端(OLT)和光網絡單元(ONU)；所述信號檢測模塊(DET)對光網絡單元(ONU)到光線路終端(OLT)的上行數據通道進行實時檢測，其特徵在於還包括根據檢測結果相應地控制所述上行數據通道開啟或關斷的開關單元。
7.根據權利要求6所述的無源光網絡系統，其特徵在於所述的開關單元包括控制模塊(CON)和執行模塊(EXE)；所述控制模塊(CON)根據檢測結果相應地控制執行模塊(EXE)開啟或關斷所述上行數據通道。
8.根據權利要求7所述的無源光網絡系統，其特徵在於所述控制模塊(CON)至少包括用於與光線路終端(OLT)和執行模塊(EXE)進行通信的通信接口模塊(CI)；用於接收來自光線路終端(OLT)的指令，並轉化成執行模塊(EXE)能夠識別的指令的信息處理模塊(IP)。
9.根據權利要求8所述的無源光網絡系統，其特徵在於所述控制模塊(CON)位於光線路終端(OLT)的內部。
10.根據權利要求7或8所述的無源光網絡系統，其特徵在於所述執行模塊(EXE)為一個開關或者一個開關陣列。
11.根據權利要求6所述的無源光網絡系統，其特徵在於所述的開關單元為可調光分路器或者可控光開關陣列。
全文摘要
本發明公開了隔離拒絕服務源的方法及應用該方法的無源光網絡系統，涉及無源光網絡技術。該方法包括信號檢測模塊對所有光網絡單元到光線路終端的上行數據通道進行實時檢測；若檢測結果顯示光網絡系統處於拒絕服務狀態，則控制模塊控制執行模塊斷開出現拒絕服務狀態的所述上行數據通道。對應的系統包括根據檢測結果相應地控制所述上行數據通道開啟或關斷的開關單元。所述的開關單元包括控制模塊和執行模塊；所述控制模塊根據檢測結果相應地控制執行模塊開啟或關斷所述上行數據通道。本發明能夠對拒絕服務源進行隔離，避免網絡其他的用戶受到影響。
文檔編號H04L12/56GK1859164SQ20051010065
公開日2006年11月8日 申請日期2005年10月20日 優先權日2005年10月20日
發明者趙峻, 譚培龍 申請人:華為技術有限公司