同天科技Ethernet接入解決方案

　　在網(wǎng)絡(luò)建設(shè)中，各個接入層交換機的功能是解決多服務信息流的分流及匯聚，一方面，網(wǎng)絡(luò)接入層通過和匯聚層及主干網(wǎng)絡(luò)的連接，將大樓或分區(qū)內(nèi)的所有信息點連接起來，另一方面，各種形式的網(wǎng)絡(luò)信息都匯聚起來，向主干輸送，這里也是網(wǎng)絡(luò)管理員應用網(wǎng)絡(luò)策略隔離網(wǎng)絡(luò)流量之處，包括安全、路由匯聚、網(wǎng)絡(luò)故障隔離等。

　　網(wǎng)絡(luò)接入層還負責將用戶流量引入網(wǎng)絡(luò)，并且實現(xiàn)接入控制，包括接入速度限制等。我們建議可以根據(jù)不同網(wǎng)絡(luò)接入點的不同要求，在每個網(wǎng)絡(luò)接入點采用不同類型的交換機，如Catalyst 4000、3500、2900等交換機系列。

　　為了更有效地對接入的用戶提供管理和安全控制，我們推薦在接入層劃分VLAN(虛擬網(wǎng))，讓不同功能的部門、用戶分布在不同的虛擬網(wǎng)上，虛擬網(wǎng)間的通信主要由匯聚層和主干層的Catalyst6x00多層交換機來實現(xiàn)。要實現(xiàn)在不同虛擬網(wǎng)用戶之間，甚至同一虛擬網(wǎng)內(nèi)部不同用戶之間的的訪問控制，可在Catalyst6x00上設(shè)置訪問控制列表 (Access Control List) 來實現(xiàn)。配合Catalyst6x00上的PFC和MSFC，我們可以在實現(xiàn)L3交換的同時，線速進行ACL的處理。

　　小區(qū)用戶的上網(wǎng)業(yè)務：

　　該用戶群體為當前寬帶業(yè)務的主要服務對象，且為今后切實的利潤增長點。

　　小區(qū)用戶的接入方法

　　我們?yōu)樵撚脩籼峁┑慕尤敕绞綖�，光纖接入小區(qū)。10M以太網(wǎng)接入家庭的桌面。具體接入方式如下：

　　采用光纖接入小區(qū)，提供100M或1000M的上聯(lián)接口;

　　小區(qū)內(nèi)部可在每個大樓方置一臺以太網(wǎng)交換機，提供10M用戶接口;該接入方式用戶端所需設(shè)備與價格：小區(qū)內(nèi)部需鋪設(shè)五類線纜，用戶終端配一10口網(wǎng)卡，價格為70-100元;

　　該接入方式的特點：為最終用戶提供最為廉價的高速出口帶寬，且用戶端的成本可以忽略不計，十分適合大規(guī)模的推廣使用。

　　小區(qū)的接入在技術(shù)實現(xiàn)上有一定的復雜性。對此我們進行詳細分析如下：各小區(qū)為邊緣層接入點，根據(jù)用戶的接入情況采用不同的接入帶寬和方法。對于用戶上網(wǎng)量大的小區(qū)，采用交換能力較大的交換機通過千兆端口連到核心點交換機;而對于目前用戶上網(wǎng)量還不大的小區(qū)，采用中型交換機通過百兆端口連到核心點交換機，將來根據(jù)用戶的需求情況可以加裝千兆模塊來擴展上連容量。樓層網(wǎng)絡(luò)設(shè)備可采用小型以太網(wǎng)交換機。

　　實現(xiàn)該網(wǎng)絡(luò)所需條件：

　　光纖已經(jīng)鋪入小區(qū);

　　小區(qū)內(nèi)部的五類線纜鋪設(shè)工作完成;

　　總體的網(wǎng)絡(luò)體現(xiàn)了如下的原則：

　　邊緣接入交換機直接通過交接箱連接到核心接入交換機。

　　核心交換機具有模塊化結(jié)構(gòu),第三層交換能力，高千兆端口密度和可靠性高。

　　邊緣接入交換機選用具有快速交換能力和靈活的VLAN劃分技術(shù)，并可支持千兆上連，支持用戶接入的安全性。

　　分層網(wǎng)絡(luò)管理技術(shù)： 可對設(shè)備集中管理,對用戶管理可根據(jù)費用情況自動鎖定相應端口，控制用戶同時連接數(shù)量，設(shè)備支持二次開發(fā)。

　　小區(qū)用戶的安全和控制

　　VLAN的安全措施

　　以太網(wǎng)采用廣播的方法實現(xiàn)用戶之間的數(shù)據(jù)包傳遞，任何一個用戶在發(fā)送數(shù)據(jù)報之前，先查看自己的ARP緩存是否有目標用戶的MAC地址，若沒有則向全網(wǎng)廣播，而且用戶的ARP緩存每隔一段時間進行刷新，從而在以太網(wǎng)中存在大量的ARP廣播包。

　　交換技術(shù)為每個用戶提供了專用的網(wǎng)絡(luò)帶寬，但并沒有減小廣播域的大小。對于小區(qū)來說，如果沒有采用任何技術(shù)，小區(qū)中任何一幢中的一臺計算機發(fā)出的廣播包會在整個小區(qū)，甚至全部小區(qū)中轉(zhuǎn)發(fā)。這樣一方面會浪費大量的網(wǎng)絡(luò)帶寬，另一方面由于所有小區(qū)/所有樓層在一個廣播域中，網(wǎng)絡(luò)失去了安全性。

　　VLAN技術(shù)就是為解決此問題而出現(xiàn)的技術(shù)，我們建議在小區(qū)規(guī)劃中實施按用戶劃分VLAN。

　　現(xiàn)有50個小區(qū)要接入到寬帶網(wǎng)，每個小區(qū)大約有500戶用戶接入。假設(shè)每個小區(qū)有40個VLAN，50個小區(qū)共有2000個VLAN，這一方面對小區(qū)接入交換機、大樓交換機(若支持VLAN的話)壓力很大，而且，從IP的規(guī)劃上來說，也非常復雜和龐大。這種方案的實施幾乎是不可能的。

　　我們建議，每用戶群(如64個用戶)一個VLAN，每一個VLAN分配一個C類IP地址(最多容納254個用戶)。

　　若大樓交換機支持VLAN技術(shù)，則VLAN的劃分在大樓交換機上實施，通過TRUNK(802。1Q)連接到小區(qū)接入交換機。這樣每個小區(qū)大約需要8個VLAN，8個C類IP地址，大大節(jié)省的IP地址空間和VLAN數(shù)量。

　　請注意，我們是按照每用戶群(如64個用戶)一個VLAN來劃分的。在同一個VLAN內(nèi)部還是存在廣播風暴的問題。PVLAN技術(shù)和廣播風暴抑制技術(shù)可以解決同一個VLAN內(nèi)部的廣播問題。詳細見后面描述。

　　網(wǎng)絡(luò)用戶的控制

　　用戶管理技術(shù)是網(wǎng)絡(luò)運營好壞的關(guān)鍵之一，直接牽涉到運營商的利益和榮譽。在用戶的管理技術(shù)中，包括：

　　如何對用戶進行記費?

　　如何限制非法用戶(未交費用的用戶)的接入?

　　對用戶的記費目前常用的有：按用戶流量記費;按用戶連接時間記費;包月制。其中前兩種記費方式較復雜，且非技術(shù)因素糾纏較多。在一般的小區(qū)接入中，網(wǎng)絡(luò)在建設(shè)初期采用包月制。

　　用戶管理技術(shù)另一個就是如何保證合法用戶的正常使用和非法用戶的入侵，對非法用戶的入侵，我們建議采用以下幾種技術(shù)：

　　端口與MAC地址的綁定

　　交換機的端口連接到用戶的網(wǎng)卡，每一個網(wǎng)卡都有一個全球唯一的48位MAC地址，任何用戶申請開通上網(wǎng)業(yè)務時登記MAC地址，網(wǎng)絡(luò)管理員注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。

　　所選交換機支持端口的安全特性，每個端口可靜態(tài)設(shè)置多個MAC地址，如果有非法MAC地址入侵，交換機 會通過TRAP告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復雜。

　　限定端口的同時連接MAC數(shù)

　　此種方法不須要做MAC地址和端口的靜態(tài)綁定，只限制每端口同時連接的MAC地址數(shù)量。如假定設(shè)定每端口同時連接的MAC地址上限為2，則用戶最多有兩臺電腦，不管此兩臺是自己的還是隔壁鄰居的。如果超過兩臺，交換機可以自動關(guān)閉此端口或向系統(tǒng)管理員TRAP告警。

　　對合法用戶的正常使用，我們建議采用以下技術(shù)：

　　廣播抑制技術(shù)

　　限定用戶端口廣播包的轉(zhuǎn)發(fā)速率，以防止某以用戶的惡意或異常事件對網(wǎng)絡(luò)帶寬的浪費或影響其他用戶，此項技術(shù)同樣適用于Trunk端口。

　　隨著城域接入網(wǎng)絡(luò)的發(fā)展，用戶對于網(wǎng)絡(luò)數(shù)據(jù)通訊的安全性提出了更高的要求---------諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通訊的相對安全性;傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。

　　然而，這種分配每個客戶單一VLAN和 IP子網(wǎng)的模型造成了巨大的擴展方面的 局限 。這些局限主要有以下幾方面：

　　1.VLAN 的限制 ：LAN交換機固有的VLAN數(shù)目的限制

　　2.復雜的STP ：對于每個VLAN，一個相關(guān)的Spanning Tree的拓撲都需要管理

　　3.IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些地址的浪費

　　4.路由的限制 ：每個子網(wǎng)都需相應的缺省網(wǎng)關(guān)的配置

　　PVLAN技術(shù)

　　現(xiàn)在有了一種新的VLAN機制，服務器同在一個子網(wǎng)中，但服務器只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN(private VLAN, pVLAN)。

　　專用VLAN是第2層的機制，在同一個2層域中有兩類不同安全級別的訪問端口。與服務器連接的端口稱作專用端口(Private port)，一個專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量�；祀s端口(Promioscuous port)沒有專用端口的限定，它與路由器或第3層交換機接口相連。簡單地說，在一個專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口(混雜端口和專用端口)。下圖示出了同一專用VLAN中兩類端口的關(guān)系：

　　專 用 VLAN 的 應 用 對于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性 是 非 常 有 效的用戶只需與自己的缺省網(wǎng)關(guān)連接，一個專用VLAN不需要多個VLAN 和IP 子 網(wǎng) 就 提 供 了 具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶都接入專用 VLAN，從而實現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接，而與專用VLAN內(nèi)的其他用戶沒有任何訪問。

　　PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通訊，但可以穿過TRUNK端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。


----天極網(wǎng)