1 引言
实现宽带接入的技术有很多种,其中FTTx+LAN的方案是目前最热门的几种技术之一。所谓FTTx+LAN技术,就是在光纤到小区的基础上,采用计算机局域网接入终端用户,利用光纤加5类线,以及以太网交换技术,实现“千兆到小区、百兆到大楼、十兆到家庭”。这种宽带建设方案可提供基于IP技术的多种宽带业务。但是,由于FTTx+LAN是基于共享机制的以太网技术,在组网、计费、安全性和可管理性方面都暴露出严重的不足。电信运营商发现了以下一些问题。
1网络安全性问题:一些恶意用户通过修改IP地址或MAC地址等方式,对网络进行攻击,造成网络瘫痪或其他用户的业务无法正常运行。
2用户数据的隔离问题:社区中用户之间的计算机内部通信一般较少,为了保证数据的安全、方便接入控制和计费等,要求所有数据均送往ZANZoor Access Network小区接入网侧的多层交换机处理。
3用户业务的服务质量保证问题(QoS):目前的以太网仅仅提供尽力而为的机制,拥塞时难以满足实时业务的要求。
4用户管理问题。
5用户计费、认证问题。
此外,还有如何节省公网的合法IP地址、BAN设备电源远供等问题。本文的重点在于通过VLAN技术,提出了对网络安全、数据隔离和用户管理方面的解决方案。
2 VLAN技术介绍
FTTx+LAN方案的基本结构如下:在住宅小区建立千兆以太网交换机(ZAN设备),在楼内设立二层以太网交换机,通过100 Mbit/s光口上连至ZAN设备。为了保证用户的信息安全,电信部门要求宽带接入设备各端口之间实现信息隔离,即任何两端口之间的信息交换必须通过ZAN设备才能完成。而目前采用以太网交换机芯片设计的宽带接入设备,需要依靠多层VLAN技术来实现隔离。
LAN最原始的定义是位于同一建筑、同一大学或方圆几公里的地域内的专用网络。现在,LAN通常被定义为单一的广播域。也就是说,用户的广播信息将被LAN上的每一个用户接收,但是不能传出此广播域之外。一般来讲,广播域依赖于物理连接,但是VLAN(Virture Local Area Networks)技术却改变了这一点。VLAN技术允许网络管理者将一个LAN从逻辑上划分为几个不同的广播域。这是一个逻辑上的划分,不是物理上的划分。属于同一个VLAN上的用户,可以分布在不同的地方,而不必集中在一起。VLAN技术主要有以下的特性。
1简化了终端的删除、增加和改动操作。当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站中重新定义。而对于仅在同一VLAN中移动的终端来说,它仍然保持以前定义的特征。
2控制通信活动。广播、多播通信被限制在VLAN内部,属于同一VLAN的终端才能接收到这些信息。
3提高了工作组和网络的安全性。将网络划分为不同的域可以增加安全性,通过控制VLAN的大小和组成,可以限制同一广播域的用户数量。
充分利用VLAN的功能,灵活地设计VLAN的结构,可以改善FTTx+LAN宽带接入技术中由于以太网的共享性而带来的一系列问题。
3 VLAN技术在FTTx+LAN方案中的应用
BAN设备目前一般选用的是具有多重VLAN功能的二层C2以太网交换机,交换机支持基于端口和802.1Q协议的大容量的VLAN。为了实现端口数据隔离,我们可以将交换机的端口全部定义为untaged端口,并且每个端口划分为一个独立的基于端口的VLAN。因此,各个端口在接收数据包时,自动会给无802.1Q标签的数据包加上带有基于端口VLAN ID的标签。由于不同端口属于不同的VLAN,所以数据包不能在二层交换机内部直接转发给其他端口,VLAN之间的通信只有通过ZAN侧的多层交换机路由后才能完成,这样就解决了BAN侧数据隔离的问题。
由于每个端口分配了不同的VLAN ID,在以太网中每一帧的标签中都有不同的VLAN ID,ZAN侧的设备可以通过它来识别数据包是从BAN侧设备的哪一个端口发送来的,从而通过查询ZAN设备中端口、MAC、IP地址的绑定关系表,实现用户的接入控制、计费和管理,提高了网络的安全性。
有时BAN侧的二层交换机上几个用户需要组成一个传统意义上的VLAN,这就需要二层交换机支持多层VLAN,即每个untaged端口除了支持基于端口的VLAN以外,还要支持基于802.1Q的VLAN。
4 小结
综上所述,采用多层VLAN技术,可以实现端口的数据隔离,提高网络安全性,方便电信部门对用户的管理。如果二层交换机支持IGMP SNOOPING,就可以实现multicast功能。不足之处在于,提供给用户的端口必须为untaged端口,这对今后发展基于802.1Q不同优先级的多业务接入,实现用户业务质量保证有一定的影响;而且用VLAN实现数据隔离使得交换机的设置、管理较为复杂。
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · 路由器模拟器 · AIX操作系统管理应用(.. · 思科路由器配置 · 路由器组网解决方案 · 路由器密码恢复 · 无线路由器故障处理 · 路由故障处理手册 · 路由器访问控制列表(AC.. |
· 路由器的安全配置与安.. · 无线路由器配置 · 路由器技巧 · 华为路由器配置 · 路由器配置基础 · 路由器IOS · 路由器产品导购 · 其它路由协议专栏 |
||
|
|||
| · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| hellen 的博客 |
|
| · 职场冲浪(之八):让感.. ·职场冲浪(之七):潜心.. |
·人生如鞋 ·职场冲浪(之六):从离梦最.. |
| 白璐 的博客 |
|
| ·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址.. |
·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介 |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind.. |
· 服务器基础知识入门 · Rambus第二?看全缓冲内.. · 服务器节能对比测试:AM.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
