ZXMP M721城域边缘OTN产品与ZXUCP A200智能光网络控制平面产品的区别

随着5G新业务的发展，接入业务的带宽需求飞速增长，中兴通讯可以提供端到端的传输解决方案，构建一个涵盖城域接入层、城域汇聚层、城域核心层以及长途干线层的“端到端”网络，实现承载业务“光速直达”，是未来网络发展的必然趋势。

通信网络分为三层，由下至上分别是接入层、汇聚层、核心层。承载网就是处于接入网和核心网之间的网络部分。

承载网在通信网络中的位置

为了满足接入业务的带宽需求飞速增长，承载网光传送网产品应运而生，光传送网（optical transport network）简称OTN。中兴通讯的承载网OTN产品分为：

（1）ZXONE 9700分组OTN产品

ZXONE 9700系列产品，支持10G/40G/100G/400G传输速率，可实现28.8T/14.4T/9.2T/4.4T ODUk的大容量电层交叉和10G/40G/100G/400G波长的光层交叉及分组交换功能。其适用于骨干核心层以及本地/城域网络，可充分满足运营商对大颗粒数据业务的透明传输、灵活调度、汇聚处理以及对业务管理监控的需求。

（2）ZXONE 19700产品

面向100G和超100G的超大交叉容量OTN设备ZXONE 19700系列产品，支持10G/40G/100G/200G/400G/1T传输速率，具备业界最大的电层交叉容量和10G/40G/100G/400G/1T波长的光层交叉及分组交换功能，适用于国干、省干和城市核心调度节点，可充分满足运营商对大颗粒数据业务的透明传输、灵活调度、汇聚处理以及对业务管理监控的需求。

（3）ZXWM M920骨干OTN产品

ZXWM M920设备是中兴通讯推出的新一代大容量、超长距的智能骨干网OTN产品，该设备应用了先进的传输技术与高度的集成技术，面向全IP化传输，全面支持OTN标准，支持GMPLS/WASON控制平面的加载，应用于国际、国家、省际、省内干线，本地交换网以及各种专网的建设。

（4）ZXMP M721城域边缘OTN产品

ZXMP M721是定位于城域汇聚接入层的新一代OTN光网络产品，具有小身材、大能耐、低功耗、高可靠特性。支持80×10G/100G/200G DWDM系统，并支持模块化平滑升级。DWDM系统支持多跨段无电中继传输（18×22 dB、7×30 dB 、1×45dB等）。可支持2Mbit/s~100Gbit/s的全业务接入：STM-1/4/16/64；FE， GE， 10GE WAN，10GE LAN，100GE；1G/2G/4G/8G/10G/16G FC，ESCON，FICON，DVB-ASI，SD-SDI/HD-SDI/3G-SDI；OTU1/2/2e/1f/1IB/4；E1等。ZXMP M721是一款高集成度的紧凑型OTN产品，其单子架为DX61（1U）、DX62（2U）、DX63（3U）、CX62A（2U）、CX63A（3U）、CX66（6U）和CX66A（6U），可以节约机房面积，有效降低电源功耗，显著降低运行和维护费用，适应网络的绿色环保需求。

（5）ZXUCP A200智能光网络控制平面产品

ZXUCP A200是中兴通讯推出的基于WDM/OTN的WASON控制平面软件产品，基于波长交叉和ODUk电交叉技术，能够实现网络的自动化、智能化，以及更加高效可靠的业务承载。

承载网OTN产品在实际使用中以网元（Network Element，简称NE）的属性存在，每个网元就是由一个独立的设备或者多个设备按照主从子架进行级联共同组成，业务就通过在不同网元之间进行传递。每个网元都存在北向接口，用户可以通过设备的北向接口使用如下服务与设备进行通信与管理，比如sftp，ssh，netconf，snmp，网络管理接口（EMS口）服务等。

承载网OTN网络中网元组网和北向接口服务

网元的这些北向接口服务都需要进行登录，认证授权。因此在每个网元设备上都存在AAA模块来实现对北向接口服务的登录认证，授权。AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。

（1）Authentication（认证）：验证用户的身份与可使用的网络服务。

（2）Authorization（授权）：依据认证结果开放预先配置的操作权限级别的网络服务给用户。

（3）Accounting（计费）：记录用户对各种网络服务的用量，并提供给计费系统。

AAA又分为AAA本地认证和AAA远程认证两种模式。

（1）AAA本地认证：将用户信息配置在接入服务器上。

（2）AAA远程认证：与RADIUS，TACACS+等协议配合使用，接入服务器作为客户端，与RADIUS，TACACS+服务器通信，用户的配置信息存放在RADIUS，TACACS+服务器上。

RADIUS：RADIUS（Remote Authentication Dial-In User Server，远程认证拨号用户服务）是一种分布式的、C/S架构的信息交互协议，能包含网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入等。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。

TACACS+：TACACS+（Terminal Access Controller Access Control System，终端访问控制器控制系统协议）是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似，采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。

RADIUS与TACACS+的比较：

对比RADIUS与TACACS+

AAA远程认证原理：

AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。AAA的基本组网结构如下图4。

当用户想要通过某网络与NAS建立连接，从而获得访问其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器（RADIUS服务器或TACACS+服务器），RADIUS协议或TACACS+协议规定了NAS与服务器之间如何传递用户信息。

TACACS+的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为TACACS+的客户端，将用户名和密码发给TACACS+服务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。

AAA远程认证原理

中兴通讯的承载网光传送网络产品支持以上三种认证方式，详见如下：

（1）支持AAA本地认证。

（2）支持基于RADIUS的AAA 远程认证。

（3）支持基于TACACS+的AAA远程认证。

在过去很长一段时间，通信网络中广泛应用的是本地AAA认证。图中每个网元（NE）上都存在一个AAA模块，用户的认证授权利用每个网元自身的用户数据库来实现对北向接口提供的服务用户进行登录认证，授权。这个认证授权过程都是在每个网元上单独完成的。这种本地AAA认证方式存在以下几个问题：

（1）账号维护工作量大。用户需要新增或者修改，删除账号信息，需要逐个登录每个网元进行配置，工作量很大，操作起来非常耗时。

（2）存在后门账号引起安全风险。由于通信网络中网元数量很多，维护管理人员可能不会及时发现某个网元上残留的账号，导致存在客户未知账号导致入侵风险。

为了解决以上2个AAA本地认证存在的多网元用户信息维护问题，中兴通讯现在已经在承载网光传送网络中使用AAA远程认证。并且推荐使用更为安全的基于TCP协议的TACACS+协议。中兴通讯承载网光传送网络中的每个网元启用AAA远程TACACS+认证功能后，每个网元的功能相当于AAA远程认证中的NAS角色。网元设备作为TACACS+的客户端，将远程用户登录输入的用户名和密码发给TACACS+服务器进行验证。在TACACS+服务器上对收到的用户账号数据与TACACS+服务器里存储的用户账号数据进行比对，用户验证通过并得到授权之后可以登录到设备上进行操作。

承载网OTN网络中启用AAA 远程TACACS+认证后的网元组网和北向接口服务

中兴通讯在承载网光传送网络中，通过启用AAA远程TACACS+认证功能，维护多个网元的账号信息只需要在一台TACACS+服务器上进行维护，从而减轻了运维人员的工作量，同时减少了某个网元上残余后门账号的风险。
责任编辑:pj