网络接入层还负责将用户流量引入网络,并且实现接入控制,包括接入速度限制等。我们建议可以根据不同网络接入点的不同要求,在每个网络接入点采用不同类型的交换机,如Catalyst 4000、3500、2900等交换机系列。
为了更有效地对接入的用户提供管理和安全控制,我们推荐在接入层划分VLAN(虚拟网),让不同功能的部门、用户分布在不同的虚拟网上,虚拟网间的通信主要由汇聚层和主干层的Catalyst6x00多层交换机来实现。要实现在不同虚拟网用户之间,甚至同一虚拟网内部不同用户之间的的访问控制,可在Catalyst6x00上设置访问控制列表 (Access Control List) 来实现。配合Catalyst6x00上的PFC和MSFC,我们可以在实现L3交换的同时,线速进行ACL的处理。
小区用户的上网业务:
该用户群体为当前宽带业务的主要服务对象,且为今后切实的利润增长点。
小区用户的接入方法
我们为该用户提供的接入方式为,光纤接入小区。10M以太网接入家庭的桌面。具体接入方式如下:
采用光纤接入小区,提供100M或1000M的上联接口;
小区内部可在每个大楼方置一台以太网交换机,提供10M用户接口;该接入方式用户端所需设备与价格:小区内部需铺设五类线缆,用户终端配一10口网卡,价格为70-100元;
该接入方式的特点:为最终用户提供最为廉价的高速出口带宽,且用户端的成本可以忽略不计,十分适合大规模的推广使用。
小区的接入在技术实现上有一定的复杂性。对此我们进行详细分析如下:各小区为边缘层接入点,根据用户的接入情况采用不同的接入带宽和方法。对于用户上网量大的小区,采用交换能力较大的交换机通过千兆端口连到核心点交换机;而对于目前用户上网量还不大的小区,采用中型交换机通过百兆端口连到核心点交换机,将来根据用户的需求情况可以加装千兆模块来扩展上连容量。楼层网络设备可采用小型以太网交换机。
实现该网络所需条件:
光纤已经铺入小区;
小区内部的五类线缆铺设工作完成;
总体的网络体现了如下的原则:
边缘接入交换机直接通过交接箱连接到核心接入交换机。
核心交换机具有模块化结构,第三层交换能力,高千兆端口密度和可靠性高。
边缘接入交换机选用具有快速交换能力和灵活的VLAN划分技术,并可支持千兆上连,支持用户接入的安全性。
分层网络管理技术: 可对设备集中管理,对用户管理可根据费用情况自动锁定相应端口,控制用户同时连接数量,设备支持二次开发。
小区用户的安全和控制
VLAN的安全措施
以太网采用广播的方法实现用户之间的数据包传递,任何一个用户在发送数据报之前,先查看自己的ARP缓存是否有目标用户的MAC地址,若没有则向全网广播,而且用户的ARP缓存每隔一段时间进行刷新,从而在以太网中存在大量的ARP广播包。
交换技术为每个用户提供了专用的网络带宽,但并没有减小广播域的大小。对于小区来说,如果没有采用任何技术,小区中任何一幢中的一台计算机发出的广播包会在整个小区,甚至全部小区中转发。这样一方面会浪费大量的网络带宽,另一方面由于所有小区/所有楼层在一个广播域中,网络失去了安全性。
VLAN技术就是为解决此问题而出现的技术,我们建议在小区规划中实施按用户划分VLAN。
现有50个小区要接入到宽带网,每个小区大约有500户用户接入。假设每个小区有40个VLAN,50个小区共有2000个VLAN,这一方面对小区接入交换机、大楼交换机(若支持VLAN的话)压力很大,而且,从IP的规划上来说,也非常复杂和庞大。这种方案的实施几乎是不可能的。
我们建议,每用户群(如64个用户)一个VLAN,每一个VLAN分配一个C类IP地址(最多容纳254个用户)。
若大楼交换机支持VLAN技术,则VLAN的划分在大楼交换机上实施,通过TRUNK(802。1Q)连接到小区接入交换机。这样每个小区大约需要8个VLAN,8个C类IP地址,大大节省的IP地址空间和VLAN数量。
请注意,我们是按照每用户群(如64个用户)一个VLAN来划分的。在同一个VLAN内部还是存在广播风暴的问题。PVLAN技术和广播风暴抑制技术可以解决同一个VLAN内部的广播问题。详细见后面描述。
网络用户的控制
用户管理技术是网络运营好坏的关键之一,直接牵涉到运营商的利益和荣誉。在用户的管理技术中,包括:
如何对用户进行记费?
如何限制非法用户(未交费用的用户)的接入?
对用户的记费目前常用的有:按用户流量记费;按用户连接时间记费;包月制。其中前两种记费方式较复杂,且非技术因素纠缠较多。在一般的小区接入中,网络在建设初期采用包月制。
用户管理技术另一个就是如何保证合法用户的正常使用和非法用户的入侵,对非法用户的入侵,我们建议采用以下几种技术:
端口与MAC地址的绑定
交换机的端口连接到用户的网卡,每一个网卡都有一个全球唯一的48位MAC地址,任何用户申请开通上网业务时登记MAC地址,网络管理员注入系统数据库,并起用端口的安全特性。
所选交换机支持端口的安全特性,每个端口可静态设置多个MAC地址,如果有非法MAC地址入侵,交换机 会通过TRAP告警网络管理员。这种方式安全性高,但管理复杂。
限定端口的同时连接MAC数
此种方法不须要做MAC地址和端口的静态绑定,只限制每端口同时连接的MAC地址数量。如假定设定每端口同时连接的MAC地址上限为2,则用户最多有两台电脑,不管此两台是自己的还是隔壁邻居的。如果超过两台,交换机可以自动关闭此端口或向系统管理员TRAP告警。
对合法用户的正常使用,我们建议采用以下技术:
广播抑制技术
限定用户端口广播包的转发速率,以防止某以用户的恶意或异常事件对网络带宽的浪费或影响其他用户,此项技术同样适用于Trunk端口。
随着城域接入网络的发展,用户对于网络数据通讯的安全性提出了更高的要求---------诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通讯的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。
然而,这种分配每个客户单一VLAN和 IP子网的模型造成了巨大的扩展方面的 局限 。这些局限主要有以下几方面:
1.VLAN 的限制 :LAN交换机固有的VLAN数目的限制
2.复杂的STP :对于每个VLAN,一个相关的Spanning Tree的拓扑都需要管理
3.IP地址的紧缺:IP子网的划分势必造成一些地址的浪费
4.路由的限制 :每个子网都需相应的缺省网关的配置
PVLAN技术
现在有了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN(private VLAN, pVLAN)。
专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。下图示出了同一专用VLAN中两类端口的关系:
专 用 VLAN 的 应 用 对于保证城域接入网络的数据通讯的安全性 是 非 常 有 效的用户只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN 和IP 子 网 就 提 供 了 具备第二层数据通讯安全性的连接,所有的用户都接入专用 VLAN,从而实现了所有用户与缺省网关的连接,而与专用VLAN内的其他用户没有任何访问。
PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通讯,但可以穿过TRUNK端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
----天极网
