VLAN技術在寬帶接入系統里面地運用

１引言

實現寬帶接入的技術有很多種，其中ＦＴＴｘ＋ＬＡＮ的方案是目前最熱門的幾種技術之一。所謂ＦＴＴｘ＋ＬＡＮ技術，就是在光纖到小區的基礎上，采用計算機局域網接入終端用戶，利用光纖加５類線，以及以太網交換技術，實現“千兆到小區、百兆到大樓、十兆到家庭”。這種寬帶建設方案可提供基于ＩＰ技術的多種寬帶業務。但是，由于ＦＴＴｘ＋ＬＡＮ是基于共享機制的以太網技術，在組網、計費、安全性和可管理性方面都暴露出嚴重的不足。電信運營商發現了以下一些問題。

１網絡安全性問題：一些惡意用戶通過修改ＩＰ地址或ＭＡＣ地址等方式，對網絡進行攻擊，造成網絡癱瘓或其他用戶的業務無法正常運行。

２用戶數據的隔離問題：社區中用戶之間的計算機內部通信一般較少，為了保證數據的安全、方便接入控制和計費等，要求所有數據均送往ＺＡＮＺｏｏｒＡｃｃｅｓｓＮｅｔｗｏｒｋ小區接入網側的多層交換機處理。

３用戶業務的服務質量保證問題（ＱｏＳ）：目前的以太網僅僅提供盡力而為的機制，擁塞時難以滿足實時業務的要求。

４用戶管理問題。

５用戶計費、認證問題。

此外，還有如何節省公網的合法ＩＰ地址、ＢＡＮ設備電源遠供等問題。本文的重點在于通過ＶＬＡＮ技術，提出了對網絡安全、數據隔離和用戶管理方面的解決方案。
２ＶＬＡＮ技術介紹

ＦＴＴｘ＋ＬＡＮ方案的基本結構如下：在住宅小區建立千兆以太網交換機（ＺＡＮ設備），在樓內設立二層以太網交換機，通過１００Ｍｂｉｔ／ｓ光口上連至ＺＡＮ設備。為了保證用戶的信息安全，電信部門要求寬帶接入設備各端口之間實現信息隔離，即任何兩端口之間的信息交換必須通過ＺＡＮ設備才能完成。而目前采用以太網交換機芯片設計的寬帶接入設備，需要依靠多層ＶＬＡＮ技術來實現隔離。

ＬＡＮ最原始的定義是位于同一建筑、同一大學或方圓幾公里的地域內的專用網絡。現在，ＬＡＮ通常被定義為單一的廣播域。也就是說，用戶的廣播信息將被ＬＡＮ上的每一個用戶接收，但是不能傳出此廣播域之外。一般來講，廣播域依賴于物理連接，但是ＶＬＡＮ（ＶｉｒｔｕｒｅＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋｓ）技術卻改變了這一點。ＶＬＡＮ技術允許網絡管理者將一個ＬＡＮ從邏輯上劃分為幾個不同的廣播域。這是一個邏輯上的劃分，不是物理上的劃分。屬于同一個ＶＬＡＮ上的用戶，可以分布在不同的地方，而不必集中在一起。ＶＬＡＮ技術主要有以下的特性。

１簡化了終端的刪除、增加和改動操作。當一個終端從物理上移動到一個新的位置，它的特征可以從網絡管理工作站中重新定義。而對于僅在同一ＶＬＡＮ中移動的終端來說，它仍然保持以前定義的特征。

２控制通信活動。廣播、多播通信被限制在ＶＬＡＮ內部，屬于同一ＶＬＡＮ的終端才能接收到這些信息。

３提高了工作組和網絡的安全性。將網絡劃分為不同的域可以增加安全性，通過控制ＶＬＡＮ的大小和組成，可以限制同一廣播域的用戶數量。

充分利用ＶＬＡＮ的功能，靈活地設計ＶＬＡＮ的結構，可以改善ＦＴＴｘ＋ＬＡＮ寬帶接入技術中由于以太網的共享性而帶來的一系列問題。

３ＶＬＡＮ技術在ＦＴＴｘ＋ＬＡＮ方案中的應用

ＢＡＮ設備目前一般選用的是具有多重ＶＬＡＮ功能的二層Ｃ２以太網交換機，交換機支持基于端口和８０２．１Ｑ協議的大容量的ＶＬＡＮ。為了實現端口數據隔離，我們可以將交換機的端口全部定義為ｕｎｔａｇｅｄ端口，并且每個端口劃分為一個獨立的基于端口的ＶＬＡＮ。因此，各個端口在接收數據包時，自動會給無８０２．１Ｑ標簽的數據包加上帶有基于端口ＶＬＡＮＩＤ的標簽。由于不同端口屬于不同的ＶＬＡＮ，所以數據包不能在二層交換機內部直接轉發給其他端口，ＶＬＡＮ之間的通信只有通過ＺＡＮ側的多層交換機路由后才能完成，這樣就解決了ＢＡＮ側數據隔離的問題。

由于每個端口分配了不同的ＶＬＡＮＩＤ，在以太網中每一幀的標簽中都有不同的ＶＬＡＮＩＤ，ＺＡＮ側的設備可以通過它來識別數據包是從ＢＡＮ側設備的哪一個端口發送來的，從而通過查詢ＺＡＮ設備中端口、ＭＡＣ、ＩＰ地址的綁定關系表，實現用戶的接入控制、計費和管理，提高了網絡的安全性。

有時ＢＡＮ側的二層交換機上幾個用戶需要組成一個傳統意義上的ＶＬＡＮ，這就需要二層交換機支持多層ＶＬＡＮ，即每個ｕｎｔａｇｅｄ端口除了支持基于端口的ＶＬＡＮ以外，還要支持基于８０２．１Ｑ的ＶＬＡＮ。

４小結

綜上所述，采用多層ＶＬＡＮ技術，可以實現端口的數據隔離，提高網絡安全性，方便電信部門對用戶的管理。如果二層交換機支持ＩＧＭＰＳＮＯＯＰＩＮＧ，就可以實現ｍｕｌｔｉｃａｓｔ功能。不足之處在于，提供給用戶的端口必須為ｕｎｔａｇｅｄ端口，這對今后發展基于８０２．１Ｑ不同優先級的多業務接入，實現用戶業務質量保證有一定的影響；而且用ＶＬＡＮ實現數據隔離使得交換機的設置、管理較為復雜。