VLAN技術(shù)在寬帶接入系統(tǒng)里面地運(yùn)用

１引言

實(shí)現(xiàn)寬帶接入的技術(shù)有很多種，其中ＦＴＴｘ＋ＬＡＮ的方案是目前最熱門(mén)的幾種技術(shù)之一。所謂ＦＴＴｘ＋ＬＡＮ技術(shù)，就是在光纖到小區(qū)的基礎(chǔ)上，采用計(jì)算機(jī)局域網(wǎng)接入終端用戶(hù)，利用光纖加５類(lèi)線，以及以太網(wǎng)交換技術(shù)，實(shí)現(xiàn)“千兆到小區(qū)、百兆到大樓、十兆到家庭”。這種寬帶建設(shè)方案可提供基于ＩＰ技術(shù)的多種寬帶業(yè)務(wù)。但是，由于ＦＴＴｘ＋ＬＡＮ是基于共享機(jī)制的以太網(wǎng)技術(shù)，在組網(wǎng)、計(jì)費(fèi)、安全性和可管理性方面都暴露出嚴(yán)重的不足。電信運(yùn)營(yíng)商發(fā)現(xiàn)了以下一些問(wèn)題。

１網(wǎng)絡(luò)安全性問(wèn)題：一些惡意用戶(hù)通過(guò)修改ＩＰ地址或ＭＡＣ地址等方式，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，造成網(wǎng)絡(luò)癱瘓或其他用戶(hù)的業(yè)務(wù)無(wú)法正常運(yùn)行。

２用戶(hù)數(shù)據(jù)的隔離問(wèn)題：社區(qū)中用戶(hù)之間的計(jì)算機(jī)內(nèi)部通信一般較少，為了保證數(shù)據(jù)的安全、方便接入控制和計(jì)費(fèi)等，要求所有數(shù)據(jù)均送往ＺＡＮＺｏｏｒＡｃｃｅｓｓＮｅｔｗｏｒｋ小區(qū)接入網(wǎng)側(cè)的多層交換機(jī)處理。

３用戶(hù)業(yè)務(wù)的服務(wù)質(zhì)量保證問(wèn)題（ＱｏＳ）：目前的以太網(wǎng)僅僅提供盡力而為的機(jī)制，擁塞時(shí)難以滿足實(shí)時(shí)業(yè)務(wù)的要求。

４用戶(hù)管理問(wèn)題。

５用戶(hù)計(jì)費(fèi)、認(rèn)證問(wèn)題。

此外，還有如何節(jié)省公網(wǎng)的合法ＩＰ地址、ＢＡＮ設(shè)備電源遠(yuǎn)供等問(wèn)題。本文的重點(diǎn)在于通過(guò)ＶＬＡＮ技術(shù)，提出了對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)隔離和用戶(hù)管理方面的解決方案。
２ＶＬＡＮ技術(shù)介紹

ＦＴＴｘ＋ＬＡＮ方案的基本結(jié)構(gòu)如下：在住宅小區(qū)建立千兆以太網(wǎng)交換機(jī)（ＺＡＮ設(shè)備），在樓內(nèi)設(shè)立二層以太網(wǎng)交換機(jī)，通過(guò)１００Ｍｂｉｔ／ｓ光口上連至ＺＡＮ設(shè)備。為了保證用戶(hù)的信息安全，電信部門(mén)要求寬帶接入設(shè)備各端口之間實(shí)現(xiàn)信息隔離，即任何兩端口之間的信息交換必須通過(guò)ＺＡＮ設(shè)備才能完成。而目前采用以太網(wǎng)交換機(jī)芯片設(shè)計(jì)的寬帶接入設(shè)備，需要依靠多層ＶＬＡＮ技術(shù)來(lái)實(shí)現(xiàn)隔離。

ＬＡＮ最原始的定義是位于同一建筑、同一大學(xué)或方圓幾公里的地域內(nèi)的專(zhuān)用網(wǎng)絡(luò)?，F(xiàn)在，ＬＡＮ通常被定義為單一的廣播域。也就是說(shuō)，用戶(hù)的廣播信息將被ＬＡＮ上的每一個(gè)用戶(hù)接收，但是不能傳出此廣播域之外。一般來(lái)講，廣播域依賴(lài)于物理連接，但是ＶＬＡＮ（ＶｉｒｔｕｒｅＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋｓ）技術(shù)卻改變了這一點(diǎn)。ＶＬＡＮ技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)ＬＡＮ從邏輯上劃分為幾個(gè)不同的廣播域。這是一個(gè)邏輯上的劃分，不是物理上的劃分。屬于同一個(gè)ＶＬＡＮ上的用戶(hù)，可以分布在不同的地方，而不必集中在一起。ＶＬＡＮ技術(shù)主要有以下的特性。

１簡(jiǎn)化了終端的刪除、增加和改動(dòng)操作。當(dāng)一個(gè)終端從物理上移動(dòng)到一個(gè)新的位置，它的特征可以從網(wǎng)絡(luò)管理工作站中重新定義。而對(duì)于僅在同一ＶＬＡＮ中移動(dòng)的終端來(lái)說(shuō)，它仍然保持以前定義的特征。

２控制通信活動(dòng)。廣播、多播通信被限制在ＶＬＡＮ內(nèi)部，屬于同一ＶＬＡＮ的終端才能接收到這些信息。

３提高了工作組和網(wǎng)絡(luò)的安全性。將網(wǎng)絡(luò)劃分為不同的域可以增加安全性，通過(guò)控制ＶＬＡＮ的大小和組成，可以限制同一廣播域的用戶(hù)數(shù)量。

充分利用ＶＬＡＮ的功能，靈活地設(shè)計(jì)ＶＬＡＮ的結(jié)構(gòu)，可以改善ＦＴＴｘ＋ＬＡＮ寬帶接入技術(shù)中由于以太網(wǎng)的共享性而帶來(lái)的一系列問(wèn)題。

３ＶＬＡＮ技術(shù)在ＦＴＴｘ＋ＬＡＮ方案中的應(yīng)用

ＢＡＮ設(shè)備目前一般選用的是具有多重ＶＬＡＮ功能的二層Ｃ２以太網(wǎng)交換機(jī)，交換機(jī)支持基于端口和８０２．１Ｑ協(xié)議的大容量的ＶＬＡＮ。為了實(shí)現(xiàn)端口數(shù)據(jù)隔離，我們可以將交換機(jī)的端口全部定義為ｕｎｔａｇｅｄ端口，并且每個(gè)端口劃分為一個(gè)獨(dú)立的基于端口的ＶＬＡＮ。因此，各個(gè)端口在接收數(shù)據(jù)包時(shí)，自動(dòng)會(huì)給無(wú)８０２．１Ｑ標(biāo)簽的數(shù)據(jù)包加上帶有基于端口ＶＬＡＮＩＤ的標(biāo)簽。由于不同端口屬于不同的ＶＬＡＮ，所以數(shù)據(jù)包不能在二層交換機(jī)內(nèi)部直接轉(zhuǎn)發(fā)給其他端口，ＶＬＡＮ之間的通信只有通過(guò)ＺＡＮ側(cè)的多層交換機(jī)路由后才能完成，這樣就解決了ＢＡＮ側(cè)數(shù)據(jù)隔離的問(wèn)題。

由于每個(gè)端口分配了不同的ＶＬＡＮＩＤ，在以太網(wǎng)中每一幀的標(biāo)簽中都有不同的ＶＬＡＮＩＤ，ＺＡＮ側(cè)的設(shè)備可以通過(guò)它來(lái)識(shí)別數(shù)據(jù)包是從ＢＡＮ側(cè)設(shè)備的哪一個(gè)端口發(fā)送來(lái)的，從而通過(guò)查詢(xún)ＺＡＮ設(shè)備中端口、ＭＡＣ、ＩＰ地址的綁定關(guān)系表，實(shí)現(xiàn)用戶(hù)的接入控制、計(jì)費(fèi)和管理，提高了網(wǎng)絡(luò)的安全性。

有時(shí)ＢＡＮ側(cè)的二層交換機(jī)上幾個(gè)用戶(hù)需要組成一個(gè)傳統(tǒng)意義上的ＶＬＡＮ，這就需要二層交換機(jī)支持多層ＶＬＡＮ，即每個(gè)ｕｎｔａｇｅｄ端口除了支持基于端口的ＶＬＡＮ以外，還要支持基于８０２．１Ｑ的ＶＬＡＮ。

４小結(jié)

綜上所述，采用多層ＶＬＡＮ技術(shù)，可以實(shí)現(xiàn)端口的數(shù)據(jù)隔離，提高網(wǎng)絡(luò)安全性，方便電信部門(mén)對(duì)用戶(hù)的管理。如果二層交換機(jī)支持ＩＧＭＰＳＮＯＯＰＩＮＧ，就可以實(shí)現(xiàn)ｍｕｌｔｉｃａｓｔ功能。不足之處在于，提供給用戶(hù)的端口必須為ｕｎｔａｇｅｄ端口，這對(duì)今后發(fā)展基于８０２．１Ｑ不同優(yōu)先級(jí)的多業(yè)務(wù)接入，實(shí)現(xiàn)用戶(hù)業(yè)務(wù)質(zhì)量保證有一定的影響；而且用ＶＬＡＮ實(shí)現(xiàn)數(shù)據(jù)隔離使得交換機(jī)的設(shè)置、管理較為復(fù)雜。