資源描述:
《基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的實踐探索 》由會員上傳分享���,免費在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1�、基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的實踐探索摘要 寬帶接入網(wǎng)技術(shù)是目前的主流通信技術(shù),基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)技術(shù)是其中之一�。本文介紹了基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)的優(yōu)點,并對其技術(shù)進(jìn)行了研究�,說明了存在的問題及其解決方法?���! £P(guān)鍵詞 以太網(wǎng)標(biāo)準(zhǔn) 安全管理 用戶管理 業(yè)務(wù)管理 目前,比較成熟的寬帶接入網(wǎng)主流技術(shù)包括xDS嵫術(shù)、光纖接人技術(shù)���、Cable技術(shù)、無線寬帶技術(shù)等�。由于基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)提供標(biāo)準(zhǔn)的以太網(wǎng)接口�,能夠兼容所有帶標(biāo)準(zhǔn)以太網(wǎng)接口的終端,用戶不需要增加任何新的接口卡或協(xié)議軟件��,而且無論是局端網(wǎng)絡(luò)設(shè)備還是用戶端設(shè)備都比ADSL�、CableMod
2、em等便宜很多��。因此����,基于以太網(wǎng)技術(shù)的寬帶接入是一種十分廉價的寬帶接入技術(shù),并將在以后的寬帶IP網(wǎng)絡(luò)接人中發(fā)揮重要作用��?! ∫蕴W(wǎng)(Ether)是指基帶局域網(wǎng)。它的接人采用了異步工作方式,很適于處理IP突發(fā)數(shù)據(jù)流�����,其技術(shù)也已有了重要的變化和突破(LAN交換��、星形布線�、大容量MAC地址存儲以及管理性等)。與傳統(tǒng)的以太網(wǎng)相比�����,除了名字以外�,它保留的特征僅剩下幀結(jié)構(gòu)和簡單性���,而其余的基本特征已有了根本性變化���。 由于寬帶接入網(wǎng)是一個公用的網(wǎng)絡(luò)環(huán)境�����,因此��,相對于傳統(tǒng)的以太網(wǎng)絡(luò)而言,其要求有了較大的差別�����,這主要反映在安全管理����、用戶管理、業(yè)務(wù)管理等方面���?���! ?一)安全
3����、管理 寬帶接入網(wǎng)絡(luò)與傳統(tǒng)企業(yè)網(wǎng)絡(luò)在對安全機制的要求方面有很大區(qū)別:傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全性側(cè)重于防范外界攻擊,常使用安裝功能強大的防火墻方式以解決外網(wǎng)的安全問題���;寬帶接入網(wǎng)把形形色色的社會用戶連接于內(nèi)部網(wǎng)中�����,所面對的安全威脅不僅來自外網(wǎng)系統(tǒng)�����,更大的問題則來自網(wǎng)絡(luò)內(nèi)部系統(tǒng)的直接攻擊���。因此���,社區(qū)網(wǎng)絡(luò)對于安全機制的要求更加全面?���! ∫蕴W(wǎng)中大量采用廣播的方式來實現(xiàn)用戶之間的通信。目前����,雖然交換機已得到了廣泛使用���,并為每個用戶都提供了專用的網(wǎng)絡(luò)帶寬���,但它并沒有縮減廣播域的大小,小區(qū)中任何一幢樓中的計算機發(fā)出的廣播包都會在整個小區(qū)中轉(zhuǎn)發(fā)��?��?梢?���,在寬帶接入網(wǎng)這樣一個公用
4、網(wǎng)絡(luò)的環(huán)境中����,保證用戶的安全性是十分重要的?! ?、虛擬局域網(wǎng)(VLAN)的安全措施����。傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng),通過使用VLAN����,每個客戶從第二層就被隔離開,這就可以防止任何惡意的行為或以太網(wǎng)的信息探聽����。然而,這種給每個客戶分配單一的VLAN和IP子網(wǎng)的模式造成了擴展方面的局限���。主要表現(xiàn)在以下幾個方面:①每一個接入用戶端口都需要對應(yīng)到社區(qū)全網(wǎng)一個唯一的VLAN和一個唯一的IP子網(wǎng)中�����,大量的全局VLAN和IP子網(wǎng)規(guī)劃和配置工作給社區(qū)網(wǎng)絡(luò)管理員帶來巨大的壓力����。②VLAN的限制:隨著接入用戶的急劇增加,社區(qū)接入網(wǎng)絡(luò)的VLAN資源存在
5�����、上限���?��;?02.1Q的VLAN標(biāo)記在理論上其用戶不能超過4095,實際使用中的接人級交換機和匯聚層級交換機所能支持的實際VLAN數(shù)目以及能在核心實現(xiàn)的三層路由接口數(shù)量都會大大低于理論值��。③IP地址緊缺:每個VLAN對應(yīng)一個IP子網(wǎng)�。IP子網(wǎng)的劃分勢必造成較大的地址浪費��。因此���,可以針對每個用戶群(如小區(qū)內(nèi)一棟居民樓)分配一個VLAN�����。但在同一個VLAN內(nèi)部還是存在廣播的問題�����。而PVLAN技術(shù)可以解決同一個VLAN內(nèi)部的廣播問題��?���! ?、PVLAN技術(shù)���。專用VLAN是第二層機制�,在同一個VLAN中有兩類不同安全級別的訪問端口����。與用戶連接的端口可定義為專用端口(P
6、rivateport)�,它與匯聚層交換機接口相連的上連端口為混雜端口(Promioseuousport)。用戶端口只能發(fā)送流量到上連端口���,也只能檢測從上連端口來的流量���,用戶端口之間在默認(rèn)情況下由硬件進(jìn)行安全隔離��,不能進(jìn)行通信��?�! S肰LAN的應(yīng)用對于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性非常有效�����。應(yīng)保證同一個VLAN中的各個端口相互之間不能通信�����,但可以穿過上連端口�,這樣����,即使在同一VLAN中的用戶,相互之間也不會受到廣播的影響�。(二)用戶管理 用戶管理技術(shù)的一個重要方面,就是如何保證合法用戶的正常使用����,并防止非法用戶的入侵,因此�,需要對用戶進(jìn)行合法性認(rèn)證,
7�����、可以采用以下幾種技術(shù): 1�����、端口與MAC地址綁定����。交換機的端口連接到用戶的網(wǎng)卡,每一個網(wǎng)卡都有一個全球唯一的MAC地址�,任何用戶申請開通上網(wǎng)時都需登記MAC地址,網(wǎng)絡(luò)管理員可注入系統(tǒng)數(shù)據(jù)庫���,并起用端口的安全特性��。每個端口都可靜態(tài)設(shè)置多個MAC地址�����,如果有非法MAC地址入侵���,交換機就會告警網(wǎng)絡(luò)管理員����。這種方式安全性高���,但管理復(fù)雜��?���! ?��、限定端口同時連接的MAC數(shù)量�。此種方法不需要進(jìn)行MAC地址和端口的靜態(tài)綁定,而只限制每個端口同時連接的MAC地址的數(shù)量�����?���! ?三)業(yè)務(wù)管理 1�、服務(wù)質(zhì)量(QoS)保證�����。由于話音�����、視頻等實時業(yè)務(wù)是未來Interne止的
8��、重要業(yè)務(wù)����,因此��,接入網(wǎng)必須為保證QoS
