EPON系统如何实现ONU认证？

EPON系统如何实现ONU认证？

在EPON系统中，每个PON接口上都连接了多个ONU。由于OLT和ONU之间是一对多的全无源光分配网络，这种光功率的分配使得任何接到光分路器上的ONU都有可能接到OLT上来，因此需要OLT对ONU的合法性进行认证以确保PON网络的安全。

需要进行ONU认证的另外一个原因是ONU是一个业务提供节点，设备本身存在着很多与自身运行、业务开展相关的属性（比如VLAN、QoS、多播等），这些属性都是由OLT进行远程控制与管理的。由于每个ONU的配置都可能是不同的，因此需要在ONU认证的基础上建立起配置数据与具体ONU的关联。

OLT对ONU的认证主要有两种方式：基于物理标识的认证和基于逻辑标识的认证。

物理标识指与设备硬件相关的标识。在EPON系统中，ONU的物理标识为MAC地址。基于物理标识的认证一般是由ONU利用MPCP消息本身携带的ONU MAC地址并由OLT进行鉴权的。由于ONU的物理标识是固定的、也是全局唯一的，因此存在一定的不灵活性：当安装新的ONU时，必须在安装完成后由后台运维人员对EPON网管、营账、运维支撑等系统的相关数据进行配置，难以实现预配置（预配置是指针对特定ONU或者特定用户，把所有相关配置都在PON网管、营账、运维支撑等系统上预先配好，在安装现场ONU即插即用，无需再对相关后台系统进行人工操作）；当更换ONU时，也必须由后台运维人员对EPON网管、营账、运维支撑等系统的相关数据进行一定的修改。

逻辑标识指与设备硬件无关的标识。逻辑标识是灵活的、可修改的ONU标识，包括LOID（Logical ONU ID）和“密码”两部分，其中LOID是基于规划生成的、用于标识ONU的一组字符（24字节），而密码是随机生成的、用于对LOID进行保护的一组字符（12字节）。基于逻辑标识的认证可由ONU利用专门的扩展OAM消息携带ONU的LOID和密码向OLT发送并由OLT进行鉴权。由于ONU的逻辑标识是独立于ONU物理设备的，所有与ONU自身运行、业务开展相关的属性都可以与逻辑标识进行关联，因此使用比较灵活：在ONU物理设备还没有安装的时候就可以在PON网管、营账、运维支撑等系统上依据ONU的逻辑标识进行相关数据的预配置，ONU安装好后配置自动生效，无需再对相关后台系统进行人工操作，也就是达到了“即插即用”的效果；当更换ONU物理设备时，也无需由后台运维人员进行任何操作，只需要在现场把ONU的逻辑标识（LOID和密码）配置到任何一个新的ONU上即可。

另外，当新部署ONU设备均采用逻辑标识认证时，为了兼容网络上已经部署的不支持逻辑标识认证的ONU设备，OLT还可以工作于第三种模式：混合模式，即OLT针对不同的ONU采用上述两种认证方式中的一种。这种模式下，OLT先基于ONU的MAC地址进行认证，在认证不通过时，OLT会发起对该ONU的基于逻辑标识的认证。