VLAN技術在寬帶接入系統(tǒng)里面地運用

１引言

實現(xiàn)寬帶接入的技術有很多種，其中ＦＴＴｘ＋ＬＡＮ的方案是目前最熱門的幾種技術之一。所謂ＦＴＴｘ＋ＬＡＮ技術，就是在光纖到小區(qū)的基礎上，采用計算機局域網(wǎng)接入終端用戶，利用光纖加５類線，以及以太網(wǎng)交換技術，實現(xiàn)“千兆到小區(qū)、百兆到大樓、十兆到家庭”。這種寬帶建設方案可提供基于ＩＰ技術的多種寬帶業(yè)務。但是，由于ＦＴＴｘ＋ＬＡＮ是基于共享機制的以太網(wǎng)技術，在組網(wǎng)、計費、安全性和可管理性方面都暴露出嚴重的不足。電信運營商發(fā)現(xiàn)了以下一些問題。

１網(wǎng)絡安全性問題：一些惡意用戶通過修改ＩＰ地址或ＭＡＣ地址等方式，對網(wǎng)絡進行攻擊，造成網(wǎng)絡癱瘓或其他用戶的業(yè)務無法正常運行。

２用戶數(shù)據(jù)的隔離問題：社區(qū)中用戶之間的計算機內(nèi)部通信一般較少，為了保證數(shù)據(jù)的安全、方便接入控制和計費等，要求所有數(shù)據(jù)均送往ＺＡＮＺｏｏｒＡｃｃｅｓｓＮｅｔｗｏｒｋ小區(qū)接入網(wǎng)側(cè)的多層交換機處理。

３用戶業(yè)務的服務質(zhì)量保證問題（ＱｏＳ）：目前的以太網(wǎng)僅僅提供盡力而為的機制，擁塞時難以滿足實時業(yè)務的要求。

４用戶管理問題。

５用戶計費、認證問題。

此外，還有如何節(jié)省公網(wǎng)的合法ＩＰ地址、ＢＡＮ設備電源遠供等問題。本文的重點在于通過ＶＬＡＮ技術，提出了對網(wǎng)絡安全、數(shù)據(jù)隔離和用戶管理方面的解決方案。
２ＶＬＡＮ技術介紹

ＦＴＴｘ＋ＬＡＮ方案的基本結構如下：在住宅小區(qū)建立千兆以太網(wǎng)交換機（ＺＡＮ設備），在樓內(nèi)設立二層以太網(wǎng)交換機，通過１００Ｍｂｉｔ／ｓ光口上連至ＺＡＮ設備。為了保證用戶的信息安全，電信部門要求寬帶接入設備各端口之間實現(xiàn)信息隔離，即任何兩端口之間的信息交換必須通過ＺＡＮ設備才能完成。而目前采用以太網(wǎng)交換機芯片設計的寬帶接入設備，需要依靠多層ＶＬＡＮ技術來實現(xiàn)隔離。

ＬＡＮ最原始的定義是位于同一建筑、同一大學或方圓幾公里的地域內(nèi)的專用網(wǎng)絡。現(xiàn)在，ＬＡＮ通常被定義為單一的廣播域。也就是說，用戶的廣播信息將被ＬＡＮ上的每一個用戶接收，但是不能傳出此廣播域之外。一般來講，廣播域依賴于物理連接，但是ＶＬＡＮ（ＶｉｒｔｕｒｅＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋｓ）技術卻改變了這一點。ＶＬＡＮ技術允許網(wǎng)絡管理者將一個ＬＡＮ從邏輯上劃分為幾個不同的廣播域。這是一個邏輯上的劃分，不是物理上的劃分。屬于同一個ＶＬＡＮ上的用戶，可以分布在不同的地方，而不必集中在一起。ＶＬＡＮ技術主要有以下的特性。

１簡化了終端的刪除、增加和改動操作。當一個終端從物理上移動到一個新的位置，它的特征可以從網(wǎng)絡管理工作站中重新定義。而對于僅在同一ＶＬＡＮ中移動的終端來說，它仍然保持以前定義的特征。

２控制通信活動。廣播、多播通信被限制在ＶＬＡＮ內(nèi)部，屬于同一ＶＬＡＮ的終端才能接收到這些信息。

３提高了工作組和網(wǎng)絡的安全性。將網(wǎng)絡劃分為不同的域可以增加安全性，通過控制ＶＬＡＮ的大小和組成，可以限制同一廣播域的用戶數(shù)量。

充分利用ＶＬＡＮ的功能，靈活地設計ＶＬＡＮ的結構，可以改善ＦＴＴｘ＋ＬＡＮ寬帶接入技術中由于以太網(wǎng)的共享性而帶來的一系列問題。

３ＶＬＡＮ技術在ＦＴＴｘ＋ＬＡＮ方案中的應用

ＢＡＮ設備目前一般選用的是具有多重ＶＬＡＮ功能的二層Ｃ２以太網(wǎng)交換機，交換機支持基于端口和８０２．１Ｑ協(xié)議的大容量的ＶＬＡＮ。為了實現(xiàn)端口數(shù)據(jù)隔離，我們可以將交換機的端口全部定義為ｕｎｔａｇｅｄ端口，并且每個端口劃分為一個獨立的基于端口的ＶＬＡＮ。因此，各個端口在接收數(shù)據(jù)包時，自動會給無８０２．１Ｑ標簽的數(shù)據(jù)包加上帶有基于端口ＶＬＡＮＩＤ的標簽。由于不同端口屬于不同的ＶＬＡＮ，所以數(shù)據(jù)包不能在二層交換機內(nèi)部直接轉(zhuǎn)發(fā)給其他端口，ＶＬＡＮ之間的通信只有通過ＺＡＮ側(cè)的多層交換機路由后才能完成，這樣就解決了ＢＡＮ側(cè)數(shù)據(jù)隔離的問題。

由于每個端口分配了不同的ＶＬＡＮＩＤ，在以太網(wǎng)中每一幀的標簽中都有不同的ＶＬＡＮＩＤ，ＺＡＮ側(cè)的設備可以通過它來識別數(shù)據(jù)包是從ＢＡＮ側(cè)設備的哪一個端口發(fā)送來的，從而通過查詢ＺＡＮ設備中端口、ＭＡＣ、ＩＰ地址的綁定關系表，實現(xiàn)用戶的接入控制、計費和管理，提高了網(wǎng)絡的安全性。

有時ＢＡＮ側(cè)的二層交換機上幾個用戶需要組成一個傳統(tǒng)意義上的ＶＬＡＮ，這就需要二層交換機支持多層ＶＬＡＮ，即每個ｕｎｔａｇｅｄ端口除了支持基于端口的ＶＬＡＮ以外，還要支持基于８０２．１Ｑ的ＶＬＡＮ。

４小結

綜上所述，采用多層ＶＬＡＮ技術，可以實現(xiàn)端口的數(shù)據(jù)隔離，提高網(wǎng)絡安全性，方便電信部門對用戶的管理。如果二層交換機支持ＩＧＭＰＳＮＯＯＰＩＮＧ，就可以實現(xiàn)ｍｕｌｔｉｃａｓｔ功能。不足之處在于，提供給用戶的端口必須為ｕｎｔａｇｅｄ端口，這對今后發(fā)展基于８０２．１Ｑ不同優(yōu)先級的多業(yè)務接入，實現(xiàn)用戶業(yè)務質(zhì)量保證有一定的影響；而且用ＶＬＡＮ實現(xiàn)數(shù)據(jù)隔離使得交換機的設置、管理較為復雜。