城域网的建设与应用(下)

发表于:2007-06-23来源:作者:点击数: 标签:
1.中心城市城域网建设 1.1VLAN技术的应用 虚拟局域网(VLAN)是从传统的局域网(LAN)概念上引申出来的,两者在功能和操作上基本相同。不同的是VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。换言之,VLAN模拟了一组终端设备,即使它们处于不同

   

1.中心城市城域网建设

1.1VLAN技术的应用


虚拟局域网(VLAN)是从传统的局域网(LAN)概念上引申出来的,两者在功能和操作上基本相同。不同的是VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。换言之,VLAN模拟了一组终端设备,即使它们处于不同的物理网段上,也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成员之间能够通信,而不同VLAN用户之间是相互隔离的,如果需要通信必须通过路由设备。VLAN使网络管理简单化,可以减少工作站移动和变化所需的费用,方便地进行逻辑分组,添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本VLAN的范围之内,其他VLAN用户不受影响,大大节约了网络带宽,提高了带宽利用率。

VLAN,即虚拟局域网,它的技术实质是通过在以太网帧头中加入802.1Q VLAN ID标记来区分不同的局域网来实现,在中心城市城域网中,它不但起到隔离广播,保障网络安全的作用,而且在业务发展方面也有一定的应用。

虚拟局域网产生的基础是交换局域网的发展。目前,VLAN标准有Inter-Switch Link、ATM LAN Nemulation和IEEE802.10等几种协议可以采用。其中较常用的是1995年制定的IEEE802.10。目前许多基于二层交换的交换机都支持VLAN技术,并可以识别不同的VLAN用户。

1.1.1虚拟拨号VLAN。该种方式要求用户端至宽带接入服务器为全二层网络,因此VLAN应从接入层交换机用户端口经过汇接层交换机划至BRAS,为了限制广播以及保障用户安全性,一般每端口分配一个 VLAN ID。

1.1.2设备互连。基于中心城域网的设备情况,在接入与汇接之间的一个链路上既要完成三层路由功能,又要完成二层PPPOE流量,因此二,三层混跑是一个现实情况。基于对设备的研究,最后在城域网上采取了设备互联也分配一个VLAN,为这个VLAN分配一个三层接口,来达到三层互连的功能。

1.1.3VPN。中心城市城域网中有用户VPN的业务,会存在这样一种需求,即在不同汇接区的用户需通过城域网组建虚拟专网。一个方法是,将用户的 VLAN从一端经汇接层、核心层划至另一端,也就是使VLAN在整个城域网中互通,这样比较简单,但是不利于网络维护,影响核心层交换机功能,同时还浪费了宝贵的VLAN ID,使整个城域网的可利用VLAN数目将大大减少。另外一种方法是使用透明VLAN技术。其基本原理是:在核心层的路由交换机之上运行SUPER VLAN功能,将一个汇接区的VLAN通过核心层设备的另一个VLAN透明传输到另一个汇接区,核心层 VLAN终结于核心层设备,只在核心层有效。它的原理是在原来已经打上VLAN 标记的以太帧上再打上第二个VLAN标记。这种方案比第一种方案的优点是可以有效利用宝贵的VLAN ID资源,网络维护简单,亦不影响核心层交换机的功能。

1.1.4节省IP地址。IPv4的地址数量有限,已经不能适应互联网的发展是一个不争的事实。可以有效解决地址数量问题的IPv6离现实的应用也还有一段距离。因此,如何节省宝贵的地址资源,是运营商面临的很大问题。如果城域网的设备可以实现业界流行的聚集VLAN(RFC3069)的功能,将会有效节省IP地址。传统做法是为每一个需要三层功能的VLAN配置一个三层接口,分配一段IP地址供用户使用。但是这样为用户分配的地址利用率不高,原因是这段地址的首尾两个地址不能为用户主机使用。这样,如果按用户申请4个计算,利用率将是50%,申请8个,利用率是75%。如果使用聚集VLAN,那么,多个 VLAN 可以配置一个三层接口和一段地址,大大提高了地址的利用率,而防止地址盗用的问题可以由厂家设备来具体实现。目前,中心城市城域网还没有实现该功能,但是相信在不远的将来,在厂家与运营商的共同努力下,将会很好实现该功能。

1.2 VLAN的规划

中心城市城域网VLAN规划总的方案是:以每个汇接区为单位终结VLAN,这样,每个汇接区可以有4096个VLAN资源,整个网络将有6×4096= 24576个VLAN ID资源。为了适应跨汇接区的VPN互联,在核心设备上规划4096个VLAN做为SUPER VLAN。在为每个汇接区的VLAN做规划时,主要分为:光纤虚拟拨号VLAN、光纤专线VLAN、设备互联VLAN、ADSL虚拟拨号VLAN、 ADSL专线VLAN以及备用VLAN等。

VLAN划分可以分为端口VLAN、动态 VLAN、Super VLAN等几种划分方式,这几种划分方式各有特点。可根据实际情况选择不同的VLAN划分方式。

1.2.1端口VLAN划分。基于端口的VLAN划分方式是较常用的一种划分方法,目前许多厂商的交换产品均支持这一功能。其原理是按照用户交换机端口来定义VLAN用户,即VLAN从逻辑上把局域网交换机的端口划分开来,然后根据用户需要的IP地址在VLAN中划分子网(子网是将Inte.net地址中的主机地址空间进行细分,可有效提高网络可靠性、灵活性、适应性和地址资源利用率)。端口VLAN划分分为单交换机端口VLAN划分和多交换机端口 VLAN分两种方式,前者只支持在一台交换机上指定若干的端口组成VLAN,而多交换机端口VLAN划分则可以使一个VLAN跨越多个交换机,并且同一个交换机上的端口可以属于不同的VLAN。端口VLAN划分能够较好地进行用户管理,减少广播风暴,并且安全性也较高。但IP地址利用率不高,原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样,只包含一个用户的VLAN就由4个IP地址组成,而真正被用户使用的IP地址只有一个(用户地址)。我们知道,IP地址是一种有限的资源,这样的划分方法将带来IP地址的浪费,因此端口VLAN方式的地址使用率较低。

1.2.2动态VLAN划分。动态VLAN划分的原理是在用户交换机的内存中制定一张用户信息表,用来记录用户的IP地址、VLAN号(VLAN ID)以及端口信息等。当用户数据信息进行交换时,交换机根据信息表进行检查,通过认证的数据分组进一步进行寻址和路由选择,反之则将其丢弃。动态 VLAN划分的保密性较之端口VLAN划分更高,因为交换机不仅要检查用户的IP地址还要复核其VLAN ID。

1.2.3 Super VLAN划分法。Super VLAN划分法是目前最先进的一种VLAN划分方法,Super VLAN又称为VLAN聚合(VLAN Aggregation ),是一种专门设计的优化IP地址的管理技术。其原理是每个子网(sub-VLAN)都是独立的多播通道,多播信息不能在不同的子网中进行交换。当数据需要送到多个目的节点时,就动态建立VLAN代理,通过代理设备对VLAN中的用户进行管理。这样每个子网不需要设定ip地址,而是一个Super VLAN中的所有子网共享一个IP地址,这个IP地址就是Super VLAN的IP地址。

前两种划分VLAN的方法,对于每个用户VLAN都需要分配一个IP子网地址,因此需要大量的IP地址资源,而采用Super VLAN技术后,可以极大程度地节约IP地址。只要对包含多个VLAN的Super VLAN分配一个IP地址,既节约地址又便于网络管理。

另外,还有MAC VLAN以及三层VLAN等划分方式,MAC VLAN通过设备的MAC地址(硬件地址),由人工进行初始配置来完成VLAN分类,实际使用中比较复杂。三层VLAN是由协议类型或网络层地址来定义 VLAN,例如通过TCP/IP的子网地址来划分VLAN用户,由于技术实现比较复杂,目前还未大规模使用。

VLAN技术的使用为解决网络配置和管理提供了良好的方法,随着局域网和用户数量的不断增加,VLAN技术将得到更加广泛的使用,目前Super VLAN技术还处于初级阶段,但有理由相信其有着巨大的发展空间,VLAN技术必将发挥更大的作用。

2.区域城市城域网建设

区域城市的宽带业务经过多年的培育,现已进入高速增长期。这一切主要得益于网络运营商完善的市场跟踪体系、成功的营销策略和运营模式。由于宽带业务具有与传统电信业务不同的业务模式和价值链,仅拥有骨干网、宽带城域网与驻地网的建设方面的优势并不足以保证在宽带业务上获得成功。在宽带产业链各个节点寻求突破的情况下,区域城市建网要充分利用现有资源,加快与设备提供商合作,发展与内容服务商的良好关系,将用户的需求放在第一位,为用户提供各种有价值的内容与服务,并与之营造宽带价值链的“共赢”局面。

2.1从ATM过渡到IP城域网

区域城市一般同时拥有ATM和IP两套骨干网络系统,但目前的ATM网络资源很大程度上为普通ADSL接入用户所占用,并没有很好地发挥ATM应有的优势,而且现有ATM经过多年运营,其网络容量和端口数量等已渐渐不能满足数据业务发展的要求。考虑到IP已成为城域网的主流,区域城市后期将不会大力扩容 ATM网络,新增宽带用户将直接通过IP城域网接入。原有ADSL用户也尽量在本地完成ATMPVC(永久虚连接)的终结,以减轻ATM骨干网的压力,为其它需要严格QoS保证的宽带专线等业务提供更多的ATM资源。

在IP城域网方面,区域城市要充分利用已经建成比较完善的核心路由器和高性能路由交换机组成IP的骨干城域网,宽带接入网是下一步网络建设的重点。此阶段需要重点考虑的是投资回报率、方便灵活的用户管理和网络管理、可扩展性和增值业务提供的能力等实际问题。通过充分论证和比较,区域城市应采用了智能宽带接入网解决方案。汇聚层采用宽带接入服务器(BAS ) 作为用户管理和智能业务提供平台,对于现有网络,如果采用大容量BAS集中放置,则需要在现有IP骨干网的路由交换机之间启用基于802.1Q的VLAN 通道,这容易造成广播风波,不利于网络的稳定运行,因此实际建设中选用多台中小容量的宽带接入服务器ZXE10-UAS1500和ZXE10- UAS2500分布式组网,实现各县市用户的本地BAS直接管理,同时结合后台的ZXE10-3AS业务管理系统,为用户提供各种智能和增值业务。

2.2接入网首推ADSL

单一的包月制现已很难同时满足不同用户的需要,丰富的计费和业务提供能力是本智能宽带接入网建设的重要目标之一。ZXE10-3AS采用跨平台的模块化系统结构,具备灵活的计费规则引擎和丰富的计费策略定制功能,如一次划价时间计费(秒、六秒、分钟、小时)、一次划价流量计费(千字节、兆字节)、二次划价日期段优惠、二次划价时间段优惠、二次划价星期段优惠、三次划价金额数目优惠等;支持客户组概念,每个客户组可以具有不同的权限和计费方式,便于开展带宽批发等各种增值业务。同时提供强大的Portal(门户)功能,可以实现用户的在线动态速率调整、在线业务选择和区分业务的计费,具备完善的业务扩展能力和开放的系统接口。

在具体接入手段选择的过程中,ADSL以其技术成熟、无需线路投资、即开即通、开通率高、线路维护成本低等诸多优势在与FTTB+LAN方式的竞争中脱颖而出,成为区域城市的首选。考虑到后期扩容和管理的方便,智能宽带接入网建设中的接入设备应采用大容量的ZXDSL8210 , ZXDSL8210支持E1/ATM/GE/FE等各种接口,可以实现多级星形或链形级联。但考虑到实际情况,对用户较少且缺少光纤资源的部分乡镇和边缘节点,则采用小容量的 ZXDSL8426 ,ZXDSL8426同时支持FE和E1接口,可充分利用现有的传输资源,通过多个E1接口捆绑,实现与端局机房的大容量 ZXDSL8210级联。普通用户采用PPPOE宽带拨号方式上网,集团用户或网吧等其他大客户则可以根据实际需要,采用用户名与PVC或VLAN ID绑定的方式实现专线用户的认证和计费。

2.3 发展小区VLAN无线接入

对于无线接入网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。然而,802.1x基于端口的验证方法则可以提供一个有效的框架,为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议(EAP)来中继局域网基站(请求者)、以太网交换机或无线接入点(验证者)与RADIUS服务器(验证服务器)之间的端口访问请求。

用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法,而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力,因为它可以提供合理的工作组流量分割,并且更容易与有线网络上配置的安全和流量工程策略集成在一起。

网络管理员通常都希望为所有用户保留原有的扩展服务集ID(ESSID)和加密档案。这样,当用户进入无线局域网时,系统可根据验证服务器上已经配置好的属性,将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN,这种方法基本上是不可能实现的,除非对无线局域网的许许多多配置逐个调整,为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。

无线局域网交换机可以支持各种类型的用户角色,以及不同的访问权限和VLAN关联。它还可以支持多种类型的服务器规则,并从中引申出用户角色,如 RADIUS服务器发出的访问接受信息中的RADIUS属性。例如,某一条服务器规则用于提取某个特定RADIUS属性中的数值,并使用该数值作为角色。在802.1x验证中,客户机通过一个无线局域网交换机验证至RADIUS服务器。然后,无线局域网根据执行服务器规则后产生的角色,在VLAN与客户机之间建立关联。

一旦与接入点之间的关联建立完成,无线局域网交换机将客户机置于未授权状态下。在这种状态下,只有客户机生成的802.1x EAP包才能通过无线局域网转发。无线局域网交换机发送一条EAP Request-ID,即用户身份请求信息给客户机。客户机则回应一条EAP Response-ID信息。此后,无线局域网交换机将EAP Response-ID封包为一条RADIUS访问请求信息,并将其转发给RADIUS服务器。

如果验证成功,RADIUS服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性,如角色和访问权限。然后,无线局域网交换机会对这条回应信息进行解析,并确定客户机应当被分配至哪一个VLAN。

使用该信息,无线局域网交换机便将客户机分置于授权状态下,并发送一条EAP Suclearcase/" target="_blank" >ccess信息。此后,交换机才将来自客户机的所有数据流量转发给合适的VLAN。在收到EAP Success信息后,客户机将启动动态主机配置协议,并从基于角色的VLAN上获得一个IP地址。(完)

原文转自:http://www.ltesting.net