|
在有线电视网络建设中,各个接层交换机的功能是解决多服务信息流的分流及汇聚,一方面,网络接入层通过和汇聚层及主干网络的连接,将大楼或分区内的所有信息点连接起来,另一方面,各种形式的网络信息都汇聚起来,向主干输送,这里也是网络管理员应用网络策阅隔离网络流量之处,包括安全,路由汇聚,网络故障隔离。 网络接入层还负责将用户流量引入网络,并且实现接入控制,包括接入速度限制等。我们建议可以根据不同网络接入点的不同要求,在每个网络接入点采用不同类型的交换机,如Catalys3550,2950等交换机系列。 Catalyst3550可为10/100/1000M以太网交换提供智能第二层和三层服务。具有三个模块化插槽的Catalyst4003系统和具有6个模块化插槽的Catalyst3550系统可以提供不同密度的用户信息点接入。提供从32个扩展到240端口10/100快速以太网的公用体系结构。通过WRR(加权轮询)调度和服务类型/服务类(ToS/CoS)标记提供使用多个队列的服务质量(QoS)。它的交换背板为24Gbps,二层包转发率:18Mpps,第二层交换的处理能力为6Mpps。 每一台接入交换机均采用快速以太网或千兆以太网连接到就近的汇聚交换机Catalyst6x00. 为了更有效地对接入用户提供管理和安全控制,我们推荐在接入层划分VLAN(虚拟网),让不同功能的部门.用户分布在不同的虚拟网上,虚拟网间的通信主要由汇聚层和主干层的Catalyst6x00多层交换机来实现。要实现在不同虚拟网用户之间,甚至同一虚拟网内部不同用户之间的访问控制,可在设置访问控制列表(Access Control List)来实现。配合Catalyst6x00上的PFC和MSFC,我们可以在实现L3交换的同时,线速进行ACL的处理。 集团/家庭用户的上网业务 以太用户群包括集团以及家庭两大类,为当前宽带业务的主要服务对象,且为今后切实的利润增长点。 我们为该用户提供的接入方式为设立统一的接入汇聚节点,负责该区域的集团以及信息化小区的接入: *采用10/100/1000M光纤接入集团用户; *采用光纤接入信息化小区,提供100M或1000M的上联接口下面具体说明信息化小区的网络设置: 小区内部可在每个大楼方置一台以太网交换机,提供10M用户接口; 该接入方式用户端所需设备与价格:小区内部需铺设五类线缆,用户端配一10口网卡,价格为70-100元; 该接入方式的特点:为最终用户提供最为廉价的高速出口带宽,且用户端的成本可以忽略不计,十分适合大规模的推广使用。小区的接入在技术实现上有一定的复杂性。对此温暖进行详细分析如下: 单个小区为边缘层接入点,根据用户的接入情况采用不同的接入宽带和方法。对于用户上网量大的小区,采用交换能力较大的交换机通过千兆端口连到核心点交换机;而对于目前上网量还不大的小区,采用中型交换机通过百兆端口连到核心点交换机,将来根据用户的需求情况可以加装千兆模块来扩展上连容量。楼层网络设备可采用小型以太网交换机。 实现该网络所需条件: *光纤已经铺入小区; *小区内部的五类线缆铺设工作完成; 总体的网络体现了如下的原则: *边缘接入交换机直接连接到核心接入交换机。 *核心交换机具有模块化结构,第三层交换能力,高千兆端口密度和可靠性高。 *边缘接入交换机选用具有快速交换能力和灵活的VLAN划分技术,并可支持千兆上连,支持用户接入的安全性。 *分层网络管理技术:可对设备集中管理,对用户管理可根据费用情况自动锁定相应端口,控制用户同时连接数量,设备支持二次开发。 为了控制家庭用户接入网络的速率,我们采用的Catalyst2950-24可以进行端口级的速率控制,通过命令RATE-LIMIT就可以设定用户接入的最高速率,从32K一直到端口的实际传输速度。2948G-L3还支持一个特别的上行数据重定向功能,从48个10/100M接口进入的数据包,可以通过2个千兆口进行转发控制,设置为上行重定向的端口之间不能直接通信,由此实现不同端口用户间流量的限制,把他们的数据引导到网络的上一层。对于提供了集团用户同一INTERNET出口的业务,Catalyst2950-24不仅可以限制这些用户INTERNET出口速率,而且通过数据重定向实现不同用户之间数据的隔离。 同时,集团与家庭用户的流量在CMTS处利用各种机制实现分离,前者进入GSR组成的精细业务主干,后者进入由交换机组成的粗放业务主干。 以太用户的安全和控制 集团用户的安全控制 一般我们建议集团用户通过路由器接入网络,这样可以有效地实现网络的安全控制,包括必要的网络地址翻译功能的完成。 信息化小区用户的安全与控制 *利用VLAN完成信息化小区的安全措施 以太网采用广播的方法实现用户之间的数据包传递,任何一个用户在发送数据报之前,先查看自己的ARP缓存是否有目标用户的MAC地址,若没有则向全网广播,而且用户的ARP缓存每隔一段时间进行刷新,从而以太网中存在大量的ARP广播包。 实现技术为为每个用户提供了专用的网络宽带,但并没有减小广播域的大小。对于小区来说,如果没有采用任何技术,小区中的任何一栋中的一台计算机发出的广播包会在整个小区,甚至全部小区中转发。这样一方面会浪费大量的网络带宽,另一方面由于所有小区/所有楼层在一个广播域中,网络失去了安全性。 VLAN技术就是为解决此问题而出现的技术,我们建议在小区规划中实用户划分VLAN。 先有50 个小区要接入到宽带网,每个小区大约有500户用户接入。假设每个小区有40个VLAN,50 个小区共有2000VLAN,这一方面对小区接入交换机,大楼交换机(若支持VLAN 的话)压力很大 ,而且,从IP的规划上来说,也非常复杂和庞大。这种方案的实施几乎是不可能的。 我们建议,每用户群(如64 个用户)一个VLAN,每一个VLAN分配一个C类IP 地址(最多容纳254个用户)。如大楼交换机支持VLAN的划分在大楼交换机上实施,通过TRUNK(802.IQ)连接到小区接入交换机。这样每个消区大约需要8VLAN,8个C类IP地址,大大节省的IP地址空间和VLAN数量。 *信息化小区网络用户的控制 用户管理技术是网络运营好坏的关键之一,直接牵涉到运营商的利益和荣誉。在用户的管理技术中包括: *如何对用户进行记费? *如何限制非法用户的接入? 对用户的记费目前常用的有:按用户流量记费;按用户连接时间记费;包也制。其中前两种记费方式较复杂,且非技术因素纠缠太多。在一般的小区接入中,网络在建设初期采用包月制。 用户管理技术另一个就是如何保证合法用户的正常使用和非法用户的入侵,对非法用户的入侵,我们建议采用以下几种技术: *端口与MAC地址的绑定 交换机的端口连接到用户的网卡,每一个网卡都有一个全球唯一的48位MAC地址,任何用户申请开通上网业务时登记MAC地址,网络管理员注入系统数据库,并起用端口的安全特性。 所选交换机支持端口的安全性,每个端口可静态设置多个MAC地址,如果有非法MAC地址入侵,交换机会通过TRAP告警网络管理员。这种方式安全性高,但管理复杂。 *限定端口的同时连接MAC数 此方法不须要做MAC地址和端口的静态绑定,只限制每端口同时连接的MAC地址数量。如假定设定每端口同时连接的MAC地址上限为2。 则用户最多有两台电脑,不管此两台是自己的还是隔壁邻居的。如果超过两台,交换机可以自动关闭此端口或向系统管理员TRAP告警。 *广播抑制技术 限定用户端口广播包的转发速率,以防止某以用户的恶意或异常时间对网络带宽的浪费或影响其他用户,此项技术同样使用于Trunk端口。 随着城域接入网络的发展,用户对于网络数据通讯的安全性提出了更高的要求--- 诸如防范黑客攻击,控制病毒传播等,都要求保证网络用户通讯的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第二层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。 然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。这些局限主要有以下几方面: 1. VLAN的限制:LAN交换机固有的VLAN数目的限制 2. 复杂STP:对于每个VLAN,一个相关的Spanning Tree的拓扑都需要管理 3. IP地址的紧缺:IP子网的划分势必造成一些地址的浪费 4. 路由的限制:每个子网都需相应的缺省网关的配置 *PVLAN的技术 现在有了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN(private VLAN,pVLAN)。专用VLAN是第二层的机制,在同一个2层区域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port),一个专用端口限定在第二层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单的说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。下图示出了同一专用VLAN中两类端口的关系: 专用VLAN的应用对于保证城域接入网络的数据通讯的安全性是非常有效的用户只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN和IP子网就提供了具备第二层数据通讯安全性的连接 ,所有的用户都接入专用VLAN,从而实现了所有用户与缺省网关的连接,而与专用VLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通讯,但可以穿过TRUNK端口.这样即使统一VLAN中的用户,相互之间也不会受到广播的影响。 |
| 相关热词搜索 |
博士教育【点击次数排列】更多>>
