同天科技Ethernet接入解決方案

　　在網(wǎng)絡(luò)建設(shè)中，各個(gè)接入層交換機(jī)的功能是解決多服務(wù)信息流的分流及匯聚，一方面，網(wǎng)絡(luò)接入層通過(guò)和匯聚層及主干網(wǎng)絡(luò)的連接，將大樓或分區(qū)內(nèi)的所有信息點(diǎn)連接起來(lái)，另一方面，各種形式的網(wǎng)絡(luò)信息都匯聚起來(lái)，向主干輸送，這里也是網(wǎng)絡(luò)管理員應(yīng)用網(wǎng)絡(luò)策略隔離網(wǎng)絡(luò)流量之處，包括安全、路由匯聚、網(wǎng)絡(luò)故障隔離等。

　　網(wǎng)絡(luò)接入層還負(fù)責(zé)將用戶(hù)流量引入網(wǎng)絡(luò)，并且實(shí)現(xiàn)接入控制，包括接入速度限制等。我們建議可以根據(jù)不同網(wǎng)絡(luò)接入點(diǎn)的不同要求，在每個(gè)網(wǎng)絡(luò)接入點(diǎn)采用不同類(lèi)型的交換機(jī)，如Catalyst 4000、3500、2900等交換機(jī)系列。

　　為了更有效地對(duì)接入的用戶(hù)提供管理和安全控制，我們推薦在接入層劃分VLAN(虛擬網(wǎng))，讓不同功能的部門(mén)、用戶(hù)分布在不同的虛擬網(wǎng)上，虛擬網(wǎng)間的通信主要由匯聚層和主干層的Catalyst6x00多層交換機(jī)來(lái)實(shí)現(xiàn)。要實(shí)現(xiàn)在不同虛擬網(wǎng)用戶(hù)之間，甚至同一虛擬網(wǎng)內(nèi)部不同用戶(hù)之間的的訪(fǎng)問(wèn)控制，可在Catalyst6x00上設(shè)置訪(fǎng)問(wèn)控制列表 (Access Control List) 來(lái)實(shí)現(xiàn)。配合Catalyst6x00上的PFC和MSFC，我們可以在實(shí)現(xiàn)L3交換的同時(shí)，線(xiàn)速進(jìn)行ACL的處理。

　　小區(qū)用戶(hù)的上網(wǎng)業(yè)務(wù)：

　　該用戶(hù)群體為當(dāng)前寬帶業(yè)務(wù)的主要服務(wù)對(duì)象，且為今后切實(shí)的利潤(rùn)增長(zhǎng)點(diǎn)。

　　小區(qū)用戶(hù)的接入方法

　　我們?yōu)樵撚脩?hù)提供的接入方式為，光纖接入小區(qū)。10M以太網(wǎng)接入家庭的桌面。具體接入方式如下：

　　采用光纖接入小區(qū)，提供100M或1000M的上聯(lián)接口;

　　小區(qū)內(nèi)部可在每個(gè)大樓方置一臺(tái)以太網(wǎng)交換機(jī)，提供10M用戶(hù)接口;該接入方式用戶(hù)端所需設(shè)備與價(jià)格：小區(qū)內(nèi)部需鋪設(shè)五類(lèi)線(xiàn)纜，用戶(hù)終端配一10口網(wǎng)卡，價(jià)格為70-100元;

　　該接入方式的特點(diǎn)：為最終用戶(hù)提供最為廉價(jià)的高速出口帶寬，且用戶(hù)端的成本可以忽略不計(jì)，十分適合大規(guī)模的推廣使用。

　　小區(qū)的接入在技術(shù)實(shí)現(xiàn)上有一定的復(fù)雜性。對(duì)此我們進(jìn)行詳細(xì)分析如下：各小區(qū)為邊緣層接入點(diǎn)，根據(jù)用戶(hù)的接入情況采用不同的接入帶寬和方法。對(duì)于用戶(hù)上網(wǎng)量大的小區(qū)，采用交換能力較大的交換機(jī)通過(guò)千兆端口連到核心點(diǎn)交換機(jī);而對(duì)于目前用戶(hù)上網(wǎng)量還不大的小區(qū)，采用中型交換機(jī)通過(guò)百兆端口連到核心點(diǎn)交換機(jī)，將來(lái)根據(jù)用戶(hù)的需求情況可以加裝千兆模塊來(lái)擴(kuò)展上連容量。樓層網(wǎng)絡(luò)設(shè)備可采用小型以太網(wǎng)交換機(jī)。

　　實(shí)現(xiàn)該網(wǎng)絡(luò)所需條件：

　　光纖已經(jīng)鋪入小區(qū);

　　小區(qū)內(nèi)部的五類(lèi)線(xiàn)纜鋪設(shè)工作完成;

　　總體的網(wǎng)絡(luò)體現(xiàn)了如下的原則：

　　邊緣接入交換機(jī)直接通過(guò)交接箱連接到核心接入交換機(jī)。

　　核心交換機(jī)具有模塊化結(jié)構(gòu),第三層交換能力，高千兆端口密度和可靠性高。

　　邊緣接入交換機(jī)選用具有快速交換能力和靈活的VLAN劃分技術(shù)，并可支持千兆上連，支持用戶(hù)接入的安全性。

　　分層網(wǎng)絡(luò)管理技術(shù)： 可對(duì)設(shè)備集中管理,對(duì)用戶(hù)管理可根據(jù)費(fèi)用情況自動(dòng)鎖定相應(yīng)端口，控制用戶(hù)同時(shí)連接數(shù)量，設(shè)備支持二次開(kāi)發(fā)。

　　小區(qū)用戶(hù)的安全和控制

　　VLAN的安全措施

　　以太網(wǎng)采用廣播的方法實(shí)現(xiàn)用戶(hù)之間的數(shù)據(jù)包傳遞，任何一個(gè)用戶(hù)在發(fā)送數(shù)據(jù)報(bào)之前，先查看自己的ARP緩存是否有目標(biāo)用戶(hù)的MAC地址，若沒(méi)有則向全網(wǎng)廣播，而且用戶(hù)的ARP緩存每隔一段時(shí)間進(jìn)行刷新，從而在以太網(wǎng)中存在大量的ARP廣播包。

　　交換技術(shù)為每個(gè)用戶(hù)提供了專(zhuān)用的網(wǎng)絡(luò)帶寬，但并沒(méi)有減小廣播域的大小。對(duì)于小區(qū)來(lái)說(shuō)，如果沒(méi)有采用任何技術(shù)，小區(qū)中任何一幢中的一臺(tái)計(jì)算機(jī)發(fā)出的廣播包會(huì)在整個(gè)小區(qū)，甚至全部小區(qū)中轉(zhuǎn)發(fā)。這樣一方面會(huì)浪費(fèi)大量的網(wǎng)絡(luò)帶寬，另一方面由于所有小區(qū)/所有樓層在一個(gè)廣播域中，網(wǎng)絡(luò)失去了安全性。

　　VLAN技術(shù)就是為解決此問(wèn)題而出現(xiàn)的技術(shù)，我們建議在小區(qū)規(guī)劃中實(shí)施按用戶(hù)劃分VLAN。

　　現(xiàn)有50個(gè)小區(qū)要接入到寬帶網(wǎng)，每個(gè)小區(qū)大約有500戶(hù)用戶(hù)接入。假設(shè)每個(gè)小區(qū)有40個(gè)VLAN，50個(gè)小區(qū)共有2000個(gè)VLAN，這一方面對(duì)小區(qū)接入交換機(jī)、大樓交換機(jī)(若支持VLAN的話(huà))壓力很大，而且，從IP的規(guī)劃上來(lái)說(shuō)，也非常復(fù)雜和龐大。這種方案的實(shí)施幾乎是不可能的。

　　我們建議，每用戶(hù)群(如64個(gè)用戶(hù))一個(gè)VLAN，每一個(gè)VLAN分配一個(gè)C類(lèi)IP地址(最多容納254個(gè)用戶(hù))。

　　若大樓交換機(jī)支持VLAN技術(shù)，則VLAN的劃分在大樓交換機(jī)上實(shí)施，通過(guò)TRUNK(802。1Q)連接到小區(qū)接入交換機(jī)。這樣每個(gè)小區(qū)大約需要8個(gè)VLAN，8個(gè)C類(lèi)IP地址，大大節(jié)省的IP地址空間和VLAN數(shù)量。

　　請(qǐng)注意，我們是按照每用戶(hù)群(如64個(gè)用戶(hù))一個(gè)VLAN來(lái)劃分的。在同一個(gè)VLAN內(nèi)部還是存在廣播風(fēng)暴的問(wèn)題。PVLAN技術(shù)和廣播風(fēng)暴抑制技術(shù)可以解決同一個(gè)VLAN內(nèi)部的廣播問(wèn)題。詳細(xì)見(jiàn)后面描述。

　　網(wǎng)絡(luò)用戶(hù)的控制

　　用戶(hù)管理技術(shù)是網(wǎng)絡(luò)運(yùn)營(yíng)好壞的關(guān)鍵之一，直接牽涉到運(yùn)營(yíng)商的利益和榮譽(yù)。在用戶(hù)的管理技術(shù)中，包括：

　　如何對(duì)用戶(hù)進(jìn)行記費(fèi)?

　　如何限制非法用戶(hù)(未交費(fèi)用的用戶(hù))的接入?

　　對(duì)用戶(hù)的記費(fèi)目前常用的有：按用戶(hù)流量記費(fèi);按用戶(hù)連接時(shí)間記費(fèi);包月制。其中前兩種記費(fèi)方式較復(fù)雜，且非技術(shù)因素糾纏較多。在一般的小區(qū)接入中，網(wǎng)絡(luò)在建設(shè)初期采用包月制。

　　用戶(hù)管理技術(shù)另一個(gè)就是如何保證合法用戶(hù)的正常使用和非法用戶(hù)的入侵，對(duì)非法用戶(hù)的入侵，我們建議采用以下幾種技術(shù)：

　　端口與MAC地址的綁定

　　交換機(jī)的端口連接到用戶(hù)的網(wǎng)卡，每一個(gè)網(wǎng)卡都有一個(gè)全球唯一的48位MAC地址，任何用戶(hù)申請(qǐng)開(kāi)通上網(wǎng)業(yè)務(wù)時(shí)登記MAC地址，網(wǎng)絡(luò)管理員注入系統(tǒng)數(shù)據(jù)庫(kù)，并起用端口的安全特性。

　　所選交換機(jī)支持端口的安全特性，每個(gè)端口可靜態(tài)設(shè)置多個(gè)MAC地址，如果有非法MAC地址入侵，交換機(jī) 會(huì)通過(guò)TRAP告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。

　　限定端口的同時(shí)連接MAC數(shù)

　　此種方法不須要做MAC地址和端口的靜態(tài)綁定，只限制每端口同時(shí)連接的MAC地址數(shù)量。如假定設(shè)定每端口同時(shí)連接的MAC地址上限為2，則用戶(hù)最多有兩臺(tái)電腦，不管此兩臺(tái)是自己的還是隔壁鄰居的。如果超過(guò)兩臺(tái)，交換機(jī)可以自動(dòng)關(guān)閉此端口或向系統(tǒng)管理員TRAP告警。

　　對(duì)合法用戶(hù)的正常使用，我們建議采用以下技術(shù)：

　　廣播抑制技術(shù)

　　限定用戶(hù)端口廣播包的轉(zhuǎn)發(fā)速率，以防止某以用戶(hù)的惡意或異常事件對(duì)網(wǎng)絡(luò)帶寬的浪費(fèi)或影響其他用戶(hù)，此項(xiàng)技術(shù)同樣適用于Trunk端口。

　　隨著城域接入網(wǎng)絡(luò)的發(fā)展，用戶(hù)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通訊的安全性提出了更高的要求---------諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶(hù)通訊的相對(duì)安全性;傳統(tǒng)的解決方法是給每個(gè)客戶(hù)分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過(guò)使用VLAN，每個(gè)客戶(hù)被從第2層隔離開(kāi)，可以防止任何惡意的行為和Ethernet的信息探聽(tīng)。

　　然而，這種分配每個(gè)客戶(hù)單一VLAN和 IP子網(wǎng)的模型造成了巨大的擴(kuò)展方面的 局限 。這些局限主要有以下幾方面：

　　1.VLAN 的限制 ：LAN交換機(jī)固有的VLAN數(shù)目的限制

　　2.復(fù)雜的STP ：對(duì)于每個(gè)VLAN，一個(gè)相關(guān)的Spanning Tree的拓?fù)涠夹枰�管�?br />
　　3.IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi)

　　4.路由的限制 ：每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置

　　PVLAN技術(shù)

　　現(xiàn)在有了一種新的VLAN機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專(zhuān)用VLAN(private VLAN, pVLAN)。

　　專(zhuān)用VLAN是第2層的機(jī)制，在同一個(gè)2層域中有兩類(lèi)不同安全級(jí)別的訪(fǎng)問(wèn)端口。與服務(wù)器連接的端口稱(chēng)作專(zhuān)用端口(Private port)，一個(gè)專(zhuān)用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量�；祀s端口(Promioscuous port)沒(méi)有專(zhuān)用端口的限定，它與路由器或第3層交換機(jī)接口相連。簡(jiǎn)單地說(shuō)，在一個(gè)專(zhuān)用VLAN內(nèi)，專(zhuān)用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口(混雜端口和專(zhuān)用端口)。下圖示出了同一專(zhuān)用VLAN中兩類(lèi)端口的關(guān)系：

　　專(zhuān) 用 VLAN 的 應(yīng) 用 對(duì)于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性 是 非 常 有 效的用戶(hù)只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專(zhuān)用VLAN不需要多個(gè)VLAN 和IP 子 網(wǎng) 就 提 供 了 具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶(hù)都接入專(zhuān)用 VLAN，從而實(shí)現(xiàn)了所有用戶(hù)與缺省網(wǎng)關(guān)的連接，而與專(zhuān)用VLAN內(nèi)的其他用戶(hù)沒(méi)有任何訪(fǎng)問(wèn)。

　　PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通訊，但可以穿過(guò)TRUNK端口。這樣即使同一VLAN中的用戶(hù)，相互之間也不會(huì)受到廣播的影響。


----天極網(wǎng)