《vlan技术在宽带接入系统中的应用》由会员分享,可在线阅读,更多相关《vlan技术在宽带接入系统中的应用(2页珍藏版)》请在金锄头文库上搜索。
1、VLAN 专题之实例应用专题之实例应用VLAN 技术在宽带接入系统中的应用技术在宽带接入系统中的应用1 引言引言实现宽带接入的技术有很多种,其中 FTTX+LAN 的方案是目前最热门的几种技术之一。所谓 FTTX+LAN 技术,就是在光纤到小区的基础上,采用计算机局域网接入终端用户,利用光纤加5类线,以及以太网交换技术,实现“千兆到小区、百兆到大楼、十兆到家庭”。这种宽带建设方案可提供基于 IP 技术的多种宽带业务。但是,由于 FTTX+LAN 是基于共享机制的以太网技术,在组网、计费、安全性和可管理性方面都暴露出严重的不足。电信运营商发现了以下一些问题。(1)网络安全性问题:一些恶意用户通过
2、修改 IP 地址或 MAC 地址等方式,对网络进行攻击,造成网络瘫痪或其他用户的业务无法正常运行。(2)用户数据的隔离问题:社区中用户之间的计算机内部通信一般较少,为了保证数据的安全、方便接入控制和计费等,要求所有数据均送往 ZAN(Zoor Access Network,小区接入网)侧的多层交换机处理。(3)用户业务的服务质量保证问题(QoS):目前的以太网仅仅提供尽力而为的机制,拥塞时难以满足实时业务的要求。(4)用户管理问题。(5)用户计费、认证问题。此外,还有如何节省公网的合法 IP 地址、ban 设备电源远供等问题。本文的重点在于通过 VLAN 技术,提出了对网络安全、数据隔离和用户
3、管理方面的解决方案。2 VLAN 技术介绍技术介绍FTTX+LAN 方案的基本结构如下:在住宅小区建立千兆以太网交换机(ZAN 设备) ,在楼内设立二层以太网交换机,通过100Mbit/s 光口上连至 ZAN 设备。为了保证用户的信息安全,电信部门要求宽带接入设备各端口之间实现信息隔离,即任何两端口之间的信息交换必须通过 ZAN 设备才能完成。而目前采用以太网交换机芯片设计的宽带接入设备,需要依靠多层 VLAN 技术来实现隔离。LAN 最原始的定义是位于同一建筑、同一大学或方圆几公里的地域内的专用网络。现在,LAN 通常被定义为单一的广播域。也就是说,用户的广播信息将被 LAN 上的每一个用户
4、接收,但是不能传出此广播域之外。一般来讲,广播域依赖于物理连接,但是VLAN(Virture Local Area Networks)技术却改变了这一点。VLAN 技术允许网络管理者将一个 LAN 从逻辑上划分为几个不同的广播域。这是一个逻辑上的划分,不是物理上的划分。属于同一个 VLAN 上的用户,可以分布在不同的地方,而不必集中在一起。VLAN 技术主要有以下的特性。(1)简化了终端的删除、增加和改动操作。当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站中重新定义。而对于仅在同一 VLAN 中移动的终端来说,它仍然保持以前定义的特征。(2)控制通信活动。广播、多播通信被限
5、制在 VLAN 内部,属于同一 VLAN 的终端才能接收到这些信息。(3)提高了工作组和网络的安全性。将网络划分为不同的域可以增加安全性,通过控制VLAN 的大小和组成,可以限制同一广播域的用户数量。充分利用 VLAN 的功能,灵活地设计 VLAN 的结构,可以改善 FTTX+LAN 宽带接入技术中由于以太网的共享性而带来的一系列问题。3 VLAN 技术在技术在 FTTX+LAN 方案中的应用方案中的应用典型的信息化小区的网络结构如图1所示。ban 设备目前一般选用的是具有多重 VLAN 功能的二层(C2)以太网交换机,交换机支持基于端口和802.1Q 协议的大容量的 VLAN。为了实现端口数
6、据隔离,我们可以将交换机的端口全部定义为 untaged 端口,并且每个端口划分为一个独立的基于端口的 VLAN。因此,各个端口在接收数据包时,自动会给无802.1Q 标签的数据包加上带有基于端口 VLAN ID 的标签。由于不同端口属于不同的 VLAN,所以数据包不能在二层交换机内部直接转发给其他端口,VLAN 之间的通信只有通过 ZAN 侧的多层交换机路由后才能完成,这样就解决了 ban 侧数据隔离的问题。由于每个端口分配了不同的 VLAN ID,在以太网中每一帧的标签中都有不同的 VLAN ID,ZAN 侧的设备可以通过它来识别数据包是从 ban 侧设备的哪一个端口发送来的,从而通过查询
7、 ZAN 设备中端口、MAC、IP 地址的绑定关系表,实现用户的接入控制、计费和管理,提高了网络的安全性。 有时 ban 侧的二层交换机上几个用户需要组成一个传统意义上的 VLAN,这就需要二层交换机支持多层 VLAN,即每个 untaged 端口除了支持基于端口的 VLAN 以外,还要支持基于802.1Q 的 VLAN。4 小结小结综上所述,采用多层 VLAN 技术,可以实现端口的数据隔离,提高网络安全性,方便电信部门对用户的管理。如果二层交换机支持 IGMP SNOOPING,就可以实现 multicast功能。不足之处在于,提供给用户的端口必须为 untaged 端口,这对今后发展基于802.1Q不同优先级的多业务接入,实现用户业务质量保证有一定的影响;而且用 VLAN 实现数据隔离使得交换机的设置、管理较为复杂。
