同天科技Ethernet接入解決方案

　　在網(wǎng)絡(luò)建設(shè)中，各個(gè)接入層交換機(jī)的功能是解決多服務(wù)信息流的分流及匯聚，一方面，網(wǎng)絡(luò)接入層通過和匯聚層及主干網(wǎng)絡(luò)的連接，將大樓或分區(qū)內(nèi)的所有信息點(diǎn)連接起來，另一方面，各種形式的網(wǎng)絡(luò)信息都匯聚起來，向主干輸送，這里也是網(wǎng)絡(luò)管理員應(yīng)用網(wǎng)絡(luò)策略隔離網(wǎng)絡(luò)流量之處，包括安全、路由匯聚、網(wǎng)絡(luò)故障隔離等。

　　網(wǎng)絡(luò)接入層還負(fù)責(zé)將用戶流量引入網(wǎng)絡(luò)，并且實(shí)現(xiàn)接入控制，包括接入速度限制等。我們建議可以根據(jù)不同網(wǎng)絡(luò)接入點(diǎn)的不同要求，在每個(gè)網(wǎng)絡(luò)接入點(diǎn)采用不同類型的交換機(jī)，如Catalyst 4000、3500、2900等交換機(jī)系列。

　　為了更有效地對接入的用戶提供管理和安全控制，我們推薦在接入層劃分VLAN(虛擬網(wǎng))，讓不同功能的部門、用戶分布在不同的虛擬網(wǎng)上，虛擬網(wǎng)間的通信主要由匯聚層和主干層的Catalyst6x00多層交換機(jī)來實(shí)現(xiàn)。要實(shí)現(xiàn)在不同虛擬網(wǎng)用戶之間，甚至同一虛擬網(wǎng)內(nèi)部不同用戶之間的的訪問控制，可在Catalyst6x00上設(shè)置訪問控制列表 (Access Control List) 來實(shí)現(xiàn)。配合Catalyst6x00上的PFC和MSFC，我們可以在實(shí)現(xiàn)L3交換的同時(shí)，線速進(jìn)行ACL的處理。

　　小區(qū)用戶的上網(wǎng)業(yè)務(wù)：

　　該用戶群體為當(dāng)前寬帶業(yè)務(wù)的主要服務(wù)對象，且為今后切實(shí)的利潤增長點(diǎn)。

　　小區(qū)用戶的接入方法

　　我們?yōu)樵撚脩籼峁┑慕尤敕绞綖�，光纖接入小區(qū)。10M以太網(wǎng)接入家庭的桌面。具體接入方式如下：

　　采用光纖接入小區(qū)，提供100M或1000M的上聯(lián)接口;

　　小區(qū)內(nèi)部可在每個(gè)大樓方置一臺以太網(wǎng)交換機(jī)，提供10M用戶接口;該接入方式用戶端所需設(shè)備與價(jià)格：小區(qū)內(nèi)部需鋪設(shè)五類線纜，用戶終端配一10口網(wǎng)卡，價(jià)格為70-100元;

　　該接入方式的特點(diǎn)：為最終用戶提供最為廉價(jià)的高速出口帶寬，且用戶端的成本可以忽略不計(jì)，十分適合大規(guī)模的推廣使用。

　　小區(qū)的接入在技術(shù)實(shí)現(xiàn)上有一定的復(fù)雜性。對此我們進(jìn)行詳細(xì)分析如下：各小區(qū)為邊緣層接入點(diǎn)，根據(jù)用戶的接入情況采用不同的接入帶寬和方法。對于用戶上網(wǎng)量大的小區(qū)，采用交換能力較大的交換機(jī)通過千兆端口連到核心點(diǎn)交換機(jī);而對于目前用戶上網(wǎng)量還不大的小區(qū)，采用中型交換機(jī)通過百兆端口連到核心點(diǎn)交換機(jī)，將來根據(jù)用戶的需求情況可以加裝千兆模塊來擴(kuò)展上連容量。樓層網(wǎng)絡(luò)設(shè)備可采用小型以太網(wǎng)交換機(jī)。

　　實(shí)現(xiàn)該網(wǎng)絡(luò)所需條件：

　　光纖已經(jīng)鋪入小區(qū);

　　小區(qū)內(nèi)部的五類線纜鋪設(shè)工作完成;

　　總體的網(wǎng)絡(luò)體現(xiàn)了如下的原則：

　　邊緣接入交換機(jī)直接通過交接箱連接到核心接入交換機(jī)。

　　核心交換機(jī)具有模塊化結(jié)構(gòu),第三層交換能力，高千兆端口密度和可靠性高。

　　邊緣接入交換機(jī)選用具有快速交換能力和靈活的VLAN劃分技術(shù)，并可支持千兆上連，支持用戶接入的安全性。

　　分層網(wǎng)絡(luò)管理技術(shù)： 可對設(shè)備集中管理,對用戶管理可根據(jù)費(fèi)用情況自動(dòng)鎖定相應(yīng)端口，控制用戶同時(shí)連接數(shù)量，設(shè)備支持二次開發(fā)。

　　小區(qū)用戶的安全和控制

　　VLAN的安全措施

　　以太網(wǎng)采用廣播的方法實(shí)現(xiàn)用戶之間的數(shù)據(jù)包傳遞，任何一個(gè)用戶在發(fā)送數(shù)據(jù)報(bào)之前，先查看自己的ARP緩存是否有目標(biāo)用戶的MAC地址，若沒有則向全網(wǎng)廣播，而且用戶的ARP緩存每隔一段時(shí)間進(jìn)行刷新，從而在以太網(wǎng)中存在大量的ARP廣播包。

　　交換技術(shù)為每個(gè)用戶提供了專用的網(wǎng)絡(luò)帶寬，但并沒有減小廣播域的大小。對于小區(qū)來說，如果沒有采用任何技術(shù)，小區(qū)中任何一幢中的一臺計(jì)算機(jī)發(fā)出的廣播包會(huì)在整個(gè)小區(qū)，甚至全部小區(qū)中轉(zhuǎn)發(fā)。這樣一方面會(huì)浪費(fèi)大量的網(wǎng)絡(luò)帶寬，另一方面由于所有小區(qū)/所有樓層在一個(gè)廣播域中，網(wǎng)絡(luò)失去了安全性。

　　VLAN技術(shù)就是為解決此問題而出現(xiàn)的技術(shù)，我們建議在小區(qū)規(guī)劃中實(shí)施按用戶劃分VLAN。

　　現(xiàn)有50個(gè)小區(qū)要接入到寬帶網(wǎng)，每個(gè)小區(qū)大約有500戶用戶接入。假設(shè)每個(gè)小區(qū)有40個(gè)VLAN，50個(gè)小區(qū)共有2000個(gè)VLAN，這一方面對小區(qū)接入交換機(jī)、大樓交換機(jī)(若支持VLAN的話)壓力很大，而且，從IP的規(guī)劃上來說，也非常復(fù)雜和龐大。這種方案的實(shí)施幾乎是不可能的。

　　我們建議，每用戶群(如64個(gè)用戶)一個(gè)VLAN，每一個(gè)VLAN分配一個(gè)C類IP地址(最多容納254個(gè)用戶)。

　　若大樓交換機(jī)支持VLAN技術(shù)，則VLAN的劃分在大樓交換機(jī)上實(shí)施，通過TRUNK(802。1Q)連接到小區(qū)接入交換機(jī)。這樣每個(gè)小區(qū)大約需要8個(gè)VLAN，8個(gè)C類IP地址，大大節(jié)省的IP地址空間和VLAN數(shù)量。

　　請注意，我們是按照每用戶群(如64個(gè)用戶)一個(gè)VLAN來劃分的。在同一個(gè)VLAN內(nèi)部還是存在廣播風(fēng)暴的問題。PVLAN技術(shù)和廣播風(fēng)暴抑制技術(shù)可以解決同一個(gè)VLAN內(nèi)部的廣播問題。詳細(xì)見后面描述。

　　網(wǎng)絡(luò)用戶的控制

　　用戶管理技術(shù)是網(wǎng)絡(luò)運(yùn)營好壞的關(guān)鍵之一，直接牽涉到運(yùn)營商的利益和榮譽(yù)。在用戶的管理技術(shù)中，包括：

　　如何對用戶進(jìn)行記費(fèi)?

　　如何限制非法用戶(未交費(fèi)用的用戶)的接入?

　　對用戶的記費(fèi)目前常用的有：按用戶流量記費(fèi);按用戶連接時(shí)間記費(fèi);包月制。其中前兩種記費(fèi)方式較復(fù)雜，且非技術(shù)因素糾纏較多。在一般的小區(qū)接入中，網(wǎng)絡(luò)在建設(shè)初期采用包月制。

　　用戶管理技術(shù)另一個(gè)就是如何保證合法用戶的正常使用和非法用戶的入侵，對非法用戶的入侵，我們建議采用以下幾種技術(shù)：

　　端口與MAC地址的綁定

　　交換機(jī)的端口連接到用戶的網(wǎng)卡，每一個(gè)網(wǎng)卡都有一個(gè)全球唯一的48位MAC地址，任何用戶申請開通上網(wǎng)業(yè)務(wù)時(shí)登記MAC地址，網(wǎng)絡(luò)管理員注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。

　　所選交換機(jī)支持端口的安全特性，每個(gè)端口可靜態(tài)設(shè)置多個(gè)MAC地址，如果有非法MAC地址入侵，交換機(jī) 會(huì)通過TRAP告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。

　　限定端口的同時(shí)連接MAC數(shù)

　　此種方法不須要做MAC地址和端口的靜態(tài)綁定，只限制每端口同時(shí)連接的MAC地址數(shù)量。如假定設(shè)定每端口同時(shí)連接的MAC地址上限為2，則用戶最多有兩臺電腦，不管此兩臺是自己的還是隔壁鄰居的。如果超過兩臺，交換機(jī)可以自動(dòng)關(guān)閉此端口或向系統(tǒng)管理員TRAP告警。

　　對合法用戶的正常使用，我們建議采用以下技術(shù)：

　　廣播抑制技術(shù)

　　限定用戶端口廣播包的轉(zhuǎn)發(fā)速率，以防止某以用戶的惡意或異常事件對網(wǎng)絡(luò)帶寬的浪費(fèi)或影響其他用戶，此項(xiàng)技術(shù)同樣適用于Trunk端口。

　　隨著城域接入網(wǎng)絡(luò)的發(fā)展，用戶對于網(wǎng)絡(luò)數(shù)據(jù)通訊的安全性提出了更高的要求---------諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通訊的相對安全性;傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。

　　然而，這種分配每個(gè)客戶單一VLAN和 IP子網(wǎng)的模型造成了巨大的擴(kuò)展方面的 局限 。這些局限主要有以下幾方面：

　　1.VLAN 的限制 ：LAN交換機(jī)固有的VLAN數(shù)目的限制

　　2.復(fù)雜的STP ：對于每個(gè)VLAN，一個(gè)相關(guān)的Spanning Tree的拓?fù)涠夹枰�管�?br />
　　3.IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些地址的浪費(fèi)

　　4.路由的限制 ：每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置

　　PVLAN技術(shù)

　　現(xiàn)在有了一種新的VLAN機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN(private VLAN, pVLAN)。

　　專用VLAN是第2層的機(jī)制，在同一個(gè)2層域中有兩類不同安全級別的訪問端口。與服務(wù)器連接的端口稱作專用端口(Private port)，一個(gè)專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量�；祀s端口(Promioscuous port)沒有專用端口的限定，它與路由器或第3層交換機(jī)接口相連。簡單地說，在一個(gè)專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口(混雜端口和專用端口)。下圖示出了同一專用VLAN中兩類端口的關(guān)系：

　　專 用 VLAN 的 應(yīng) 用 對于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性 是 非 常 有 效的用戶只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用VLAN不需要多個(gè)VLAN 和IP 子 網(wǎng) 就 提 供 了 具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶都接入專用 VLAN，從而實(shí)現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接，而與專用VLAN內(nèi)的其他用戶沒有任何訪問。

　　PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通訊，但可以穿過TRUNK端口。這樣即使同一VLAN中的用戶，相互之間也不會(huì)受到廣播的影響。


----天極網(wǎng)