PON系统应具备哪些安全与保护功能？

PON系统应具备哪些安全与保护功能？

PON系统应确保用户数据的安全、业务的安全、设备自身的安全和上层网络的安全，以满足运营网络的要求。主要的安全与保护功能如下。

（1）PON接口下行数据安全性。PON系统下行方向采用广播方式，恶意用户很容易截获系统中其他用户的信息。为提高用户数据的保密性，下行方向应提供安全性机制，如三重搅动（EPON）、AES加密（GPON）。

（2）OLT对ONU的认证。

（3）ONU与OLT的PON接口之间的绑定功能，即OLT仅允许ONU在特定的PON口上注册。

（4）用户端口隔离。MDU、MTU应必须支持同一VLAN/SVLAN的不同用户端口之间的二层隔离，以确保用户的安全。

（5）用户接入线路/端口的标识。为实现对用户接入线路/端口的标识，OLT、MDU、MTU应支持PPPoE和DHCP用户认证方式并支持相应的用户接入线路（端口）标识功能（即PPPoE+和DHCP Option82）。

（6）MAC地址数量限制。限制MAC地址数量的目的是防止过多终端设备接入到网络中，导致网络性能下降和产生网络安全问题。OLT应支持基于LLID的MAC地址数量限制功能，限制的MAC地址数量应可灵活配置。HGU、MDU和MTU应支持基于端口的用户MAC地址数量限制的功能，限制的MAC地址数量应可灵活配置。

（7）过滤和抑制。OLT、MDU和MTU可以采用以下过滤或抑制机制：对特定物理端口的广播以太网帧、多播以太网帧、单播以太网帧根据（源或目的）MAC地址、VLAN ID、源/目的TCP或UDP端口等域的帧过滤和抑制；对非法帧的过滤和非法多播源的过滤；对IGMP、DHCP等协议报文的抑制。

（8）其他攻击的防护。例如防DoS攻击、防ARP攻击、防ICMP攻击、防BPDU攻击等。

（9）光链路保护功能。PON系统可采用光链路保护机制，通过光缆、光分路器甚至光模块和PON接口的冗余和倒换，以提高网络可靠性和生存性。

（10）设备保护功能。设备保护主要包括OLT设备的重要模块（主控板和电源模块等）的1+1冗余保护、ONU的备用电池保护、OLT的上联端口链路聚合等。