1.中心城市城域網(wǎng)建設(shè)

1.1VLAN技術(shù)的應(yīng)用

虛擬局域網(wǎng)（VLAN）是從傳統(tǒng)的局域網(wǎng)（LAN）概念上引申出來的，兩者在功能和操作上基本相同。不同的是VLAN依據(jù)協(xié)議、MAC地址或端口在邏輯上將網(wǎng)絡(luò)劃分為若干部分。換言之，VLAN模擬了一組終端設(shè)備，即使它們處于不同的物理網(wǎng)段上，也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成員之間能夠通信，而不同VLAN用戶之間是相互隔離的，假如需要通信必須通過路由設(shè)備。VLAN使網(wǎng)絡(luò)治理簡單化，可以減少工作站移動和變化所需的費(fèi)用，方便地進(jìn)行邏輯分組，添加、刪除和修改用戶信息以及通過網(wǎng)絡(luò)流量測試工具進(jìn)行計費(fèi)等工作。此外VLAN可以將廣播風(fēng)暴遏制在本VLAN的范圍之內(nèi)，其他VLAN用戶不受影響，大大節(jié)約了網(wǎng)絡(luò)帶寬，提高了帶寬利用率。

VLAN，即虛擬局域網(wǎng)，它的技術(shù)實(shí)質(zhì)是通過在以太網(wǎng)幀頭中加入802.1Q VLAN ID標(biāo)記來區(qū)分不同的局域網(wǎng)來實(shí)現(xiàn)，在中心城市城域網(wǎng)中，它不但起到隔離廣播，保障網(wǎng)絡(luò)安全的作用，而且在業(yè)務(wù)發(fā)展方面也有一定的應(yīng)用。

虛擬局域網(wǎng)產(chǎn)生的基礎(chǔ)是交換局域網(wǎng)的發(fā)展。目前，VLAN標(biāo)準(zhǔn)有Inter-Switch Link、ATM LAN Nemulation和IEEE802.10等幾種協(xié)議可以采用。其中較常用的是1995年制定的IEEE802.10。目前許多基于二層交換的交換機(jī)都支持VLAN技術(shù)，并可以識別不同的VLAN用戶。

1.1.1虛擬撥號VLAN。該種方式要求用戶端至寬帶接入服務(wù)器為全二層網(wǎng)絡(luò)，因此VLAN應(yīng)從接入層交換機(jī)用戶端口經(jīng)過匯接層交換機(jī)劃至BRAS，為了限制廣播以及保障用戶安全性，一般每端口分配一個 VLAN ID。

1.1.2設(shè)備互連。基于中心城域網(wǎng)的設(shè)備情況，在接入與匯接之間的一個鏈路上既要完成三層路由功能，又要完成二層PPPOE流量，因此二，三層混跑是一個現(xiàn)實(shí)情況。基于對設(shè)備的研究，最后在城域網(wǎng)上采取了設(shè)備互聯(lián)也分配一個VLAN，為這個VLAN分配一個三層接口，來達(dá)到三層互連的功能。

1.1.3VPN。中心城市城域網(wǎng)中有用戶VPN的業(yè)務(wù)，會存在這樣一種需求，即在不同匯接區(qū)的用戶需通過城域網(wǎng)組建虛擬專網(wǎng)。一個方法是，將用戶的 VLAN從一端經(jīng)匯接層、核心層劃至另一端，也就是使VLAN在整個城域網(wǎng)中互通，這樣比較簡單，但是不利于網(wǎng)絡(luò)維護(hù)，影響核心層交換機(jī)功能，同時還浪費(fèi)了寶貴的VLAN ID，使整個城域網(wǎng)的可利用VLAN數(shù)目將大大減少。另外一種方法是使用透明VLAN技術(shù)。其基本原理是：在核心層的路由交換機(jī)之上運(yùn)行SUPER VLAN功能，將一個匯接區(qū)的VLAN通過核心層設(shè)備的另一個VLAN透明傳輸?shù)搅硪粋€匯接區(qū)，核心層 VLAN終結(jié)于核心層設(shè)備，只在核心層有效。它的原理是在原來已經(jīng)打上VLAN 標(biāo)記的以太幀上再打上第二個VLAN標(biāo)記。這種方案比第一種方案的優(yōu)點(diǎn)是可以有效利用寶貴的VLAN ID資源，網(wǎng)絡(luò)維護(hù)簡單，亦不影響核心層交換機(jī)的功能。

1.1.4節(jié)省ip地址。IPv4的地址數(shù)量有限，已經(jīng)不能適應(yīng)互聯(lián)網(wǎng)的發(fā)展是一個不爭的事實(shí)。可以有效解決地址數(shù)量問題的IPv6離現(xiàn)實(shí)的應(yīng)用也還有一段距離。因此，如何節(jié)省寶貴的地址資源，是運(yùn)營商面臨的很大問題。假如城域網(wǎng)的設(shè)備可以實(shí)現(xiàn)業(yè)界流行的聚集VLAN（RFC3069）的功能，將會有效節(jié)省IP地址。傳統(tǒng)做法是為每一個需要三層功能的VLAN配置一個三層接口，分配一段IP地址供用戶使用。但是這樣為用戶分配的地址利用率不高，原因是這段地址的首尾兩個地址不能為用戶主機(jī)使用。這樣，假如按用戶申請4個計算，利用率將是50%，申請8個，利用率是75%。假如使用聚集VLAN，那么，多個 VLAN 可以配置一個三層接口和一段地址，大大提高了地址的利用率，而防止地址盜用的問題可以由廠家設(shè)備來具體實(shí)現(xiàn)。目前，中心城市城域網(wǎng)還沒有實(shí)現(xiàn)該功能，但是相信在不遠(yuǎn)的將來，在廠家與運(yùn)營商的共同努力下，將會很好實(shí)現(xiàn)該功能。

1.2 VLAN的規(guī)劃

中心城市城域網(wǎng)VLAN規(guī)劃總的方案是：以每個匯接區(qū)為單位終結(jié)VLAN,這樣，每個匯接區(qū)可以有4096個VLAN資源，整個網(wǎng)絡(luò)將有6×4096= 24576個VLAN ID資源。為了適應(yīng)跨匯接區(qū)的VPN互聯(lián)，在核心設(shè)備上規(guī)劃4096個VLAN做為SUPER VLAN。在為每個匯接區(qū)的VLAN做規(guī)劃時，主要分為:光纖虛擬撥號VLAN、光纖專線VLAN、設(shè)備互聯(lián)VLAN、ADSL虛擬撥號VLAN、 ADSL專線VLAN以及備用VLAN等。

VLAN劃分可以分為端口VLAN、動態(tài) VLAN、Super VLAN等幾種劃分方式，這幾種劃分方式各有特點(diǎn)。可根據(jù)實(shí)際情況選擇不同的VLAN劃分方式。

1.2.1端口VLAN劃分。基于端口的VLAN劃分方式是較常用的一種劃分方法，目前許多廠商的交換產(chǎn)品均支持這一功能。其原理是按照用戶交換機(jī)端口來定義VLAN用戶，即VLAN從邏輯上把局域網(wǎng)交換機(jī)的端口劃分開來，然后根據(jù)用戶需要的IP地址在VLAN中劃分子網(wǎng)（子網(wǎng)是將Internet地址中的主機(jī)地址空間進(jìn)行細(xì)分，可有效提高網(wǎng)絡(luò)可靠性、靈活性、適應(yīng)性和地址資源利用率）。端口VLAN劃分分為單交換機(jī)端口VLAN劃分和多交換機(jī)端口 VLAN分兩種方式，前者只支持在一臺交換機(jī)上指定若干的端口組成VLAN，而多交換機(jī)端口VLAN劃分則可以使一個VLAN跨越多個交換機(jī)，并且同一個交換機(jī)上的端口可以屬于不同的VLAN。端口VLAN劃分能夠較好地進(jìn)行用戶治理，減少廣播風(fēng)暴，并且安全性也較高。但ＩＰ地址利用率不高，原因是一個完整的子網(wǎng)由網(wǎng)段地址、網(wǎng)關(guān)地址、用戶地址和廣播地址組成。這樣，只包含一個用戶的VLAN就由４個IP地址組成，而真正被用戶使用的IP地址只有一個（用戶地址）。我們知道，IP地址是一種有限的資源，這樣的劃分方法將帶來IP地址的浪費(fèi)，因此端口VLAN方式的地址使用率較低。

1.2.2動態(tài)VLAN劃分。動態(tài)VLAN劃分的原理是在用戶交換機(jī)的內(nèi)存中制定一張用戶信息表，用來記錄用戶的IP地址、VLAN號（VLAN ID）以及端口信息等。當(dāng)用戶數(shù)據(jù)信息進(jìn)行交換時，交換機(jī)根據(jù)信息表進(jìn)行檢查，通過認(rèn)證的數(shù)據(jù)分組進(jìn)一步進(jìn)行尋址和路由選擇，反之則將其丟棄。動態(tài) VLAN劃分的保密性較之端口VLAN劃分更高，因?yàn)榻粨Q機(jī)不僅要檢查用戶的ＩＰ地址還要復(fù)核其VLAN ID。

1.2.3 Super VLAN劃分法。Super VLAN劃分法是目前最先進(jìn)的一種VLAN劃分方法，Super VLAN又稱為VLAN聚合（VLAN Aggregation ），是一種專門設(shè)計的優(yōu)化IP地址的治理技術(shù)。其原理是每個子網(wǎng)（sub-VLAN）都是獨(dú)立的多播通道，多播信息不能在不同的子網(wǎng)中進(jìn)行交換。當(dāng)數(shù)據(jù)需要送到多個目的節(jié)點(diǎn)時，就動態(tài)建立VLAN代理，通過代理設(shè)備對VLAN中的用戶進(jìn)行治理。這樣每個子網(wǎng)不需要設(shè)定ip地址，而是一個Super VLAN中的所有子網(wǎng)共享一個IP地址，這個IP地址就是Super VLAN的IP地址。

前兩種劃分VLAN的方法，對于每個用戶VLAN都需要分配一個ＩＰ子網(wǎng)地址，因此需要大量的IP地址資源，而采用Super VLAN技術(shù)后，可以極大程度地節(jié)約ＩＰ地址。只要對包含多個VLAN的Super VLAN分配一個IP地址，既節(jié)約地址又便于網(wǎng)絡(luò)治理。

另外，還有MAC VLAN以及三層VLAN等劃分方式，MAC VLAN通過設(shè)備的MAC地址（硬件地址），由人工進(jìn)行初始配置來完成VLAN分類，實(shí)際使用中比較復(fù)雜。三層VLAN是由協(xié)議類型或網(wǎng)絡(luò)層地址來定義 VLAN，例如通過TCP／IP的子網(wǎng)地址來劃分VLAN用戶，由于技術(shù)實(shí)現(xiàn)比較復(fù)雜，目前還未大規(guī)模使用。

VLAN技術(shù)的使用為解決網(wǎng)絡(luò)配置和治理提供了良好的方法，隨著局域網(wǎng)和用戶數(shù)量的不斷增加，VLAN技術(shù)將得到更加廣泛的使用，目前Super VLAN技術(shù)還處于初級階段，但有理由相信其有著巨大的發(fā)展空間，VLAN技術(shù)必將發(fā)揮更大的作用。

2.區(qū)域城市城域網(wǎng)建設(shè)

區(qū)域城市的寬帶業(yè)務(wù)經(jīng)過多年的培育，現(xiàn)已進(jìn)入高速增長期。這一切主要得益于網(wǎng)絡(luò)運(yùn)營商完善的市場跟蹤體系、成功的營銷策略和運(yùn)營模式。由于寬帶業(yè)務(wù)具有與傳統(tǒng)電信業(yè)務(wù)不同的業(yè)務(wù)模式和價值鏈，僅擁有骨干網(wǎng)、寬帶城域網(wǎng)與駐地網(wǎng)的建設(shè)方面的優(yōu)勢并不足以保證在寬帶業(yè)務(wù)上獲得成功。在寬帶產(chǎn)業(yè)鏈各個節(jié)點(diǎn)尋求突破的情況下，區(qū)域城市建網(wǎng)要充分利用現(xiàn)有資源，加快與設(shè)備提供商合作，發(fā)展與內(nèi)容服務(wù)商的良好關(guān)系，將用戶的需求放在第一位，為用戶提供各種有價值的內(nèi)容與服務(wù)，并與之營造寬帶價值鏈的“共贏”局面。

2.1從ATM過渡到IP城域網(wǎng)

區(qū)域城市一般同時擁有ATM和IP兩套骨干網(wǎng)絡(luò)系統(tǒng)，但目前的ATM網(wǎng)絡(luò)資源很大程度上為普通ADSL接入用戶所占用，并沒有很好地發(fā)揮ATM應(yīng)有的優(yōu)勢，而且現(xiàn)有ATM經(jīng)過多年運(yùn)營，其網(wǎng)絡(luò)容量和端口數(shù)量等已漸漸不能滿足數(shù)據(jù)業(yè)務(wù)發(fā)展的要求。考慮到IP已成為城域網(wǎng)的主流，區(qū)域城市后期將不會大力擴(kuò)容 ATM網(wǎng)絡(luò)，新增寬帶用戶將直接通過IP城域網(wǎng)接入。原有ADSL用戶也盡量在本地完成ATMPVC(永久虛連接)的終結(jié)，以減輕ATM骨干網(wǎng)的壓力，為其它需要嚴(yán)格QoS保證的寬帶專線等業(yè)務(wù)提供更多的ATM資源。

在IP城域網(wǎng)方面，區(qū)域城市要充分利用已經(jīng)建成比較完善的核心路由器和高性能路由交換機(jī)組成IP的骨干城域網(wǎng)，寬帶接入網(wǎng)是下一步網(wǎng)絡(luò)建設(shè)的重點(diǎn)。此階段需要重點(diǎn)考慮的是投資回報率、方便靈活的用戶治理和網(wǎng)絡(luò)治理、可擴(kuò)展性和增值業(yè)務(wù)提供的能力等實(shí)際問題。通過充分論證和比較，區(qū)域城市應(yīng)采用了智能寬帶接入網(wǎng)解決方案。匯聚層采用寬帶接入服務(wù)器(BAS ) 作為用戶治理和智能業(yè)務(wù)提供平臺，對于現(xiàn)有網(wǎng)絡(luò)，假如采用大容量BAS集中放置，則需要在現(xiàn)有IP骨干網(wǎng)的路由交換機(jī)之間啟用基于802.1Q的VLAN 通道，這輕易造成廣播風(fēng)波，不利于網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，因此實(shí)際建設(shè)中選用多臺中小容量的寬帶接入服務(wù)器ZXE10-UAS1500和ZXE10- UAS2500分布式組網(wǎng)，實(shí)現(xiàn)各縣市用戶的本地BAS直接治理，同時結(jié)合后臺的ZXE10-3AS業(yè)務(wù)治理系統(tǒng)，為用戶提供各種智能和增值業(yè)務(wù)。

2.2接入網(wǎng)首推ADSL

單一的包月制現(xiàn)已很難同時滿足不同用戶的需要，豐富的計費(fèi)和業(yè)務(wù)提供能力是本智能寬帶接入網(wǎng)建設(shè)的重要目標(biāo)之一。ZXE10-3AS采用跨平臺的模塊化系統(tǒng)結(jié)構(gòu)，具備靈活的計費(fèi)規(guī)則引擎和豐富的計費(fèi)策略定制功能，如一次劃價時間計費(fèi)(秒、六秒、分鐘、小時)、一次劃價流量計費(fèi)(千字節(jié)、兆字節(jié))、二次劃價日期段優(yōu)惠、二次劃價時間段優(yōu)惠、二次劃價星期段優(yōu)惠、三次劃價金額數(shù)目優(yōu)惠等；支持客戶組概念，每個客戶組可以具有不同的權(quán)限和計費(fèi)方式，便于開展帶寬批發(fā)等各種增值業(yè)務(wù)。同時提供強(qiáng)大的Portal(門戶)功能，可以實(shí)現(xiàn)用戶的在線動態(tài)速率調(diào)整、在線業(yè)務(wù)選擇和區(qū)分業(yè)務(wù)的計費(fèi)，具備完善的業(yè)務(wù)擴(kuò)展能力和開放的系統(tǒng)接口。

在具體接入手段選擇的過程中，ADSL以其技術(shù)成熟、無需線路投資、即開即通、開通率高、線路維護(hù)成本低等諸多優(yōu)勢在與FTTB+LAN方式的競爭中脫穎而出，成為區(qū)域城市的首選。考慮到后期擴(kuò)容和治理的方便，智能寬帶接入網(wǎng)建設(shè)中的接入設(shè)備應(yīng)采用大容量的ZXDSL8210 ， ZXDSL8210支持E1/ATM/GE/FE等各種接口，可以實(shí)現(xiàn)多級星形或鏈形級聯(lián)。但考慮到實(shí)際情況，對用戶較少且缺少光纖資源的部分鄉(xiāng)鎮(zhèn)和邊緣節(jié)點(diǎn)，則采用小容量的 ZXDSL8426 ，ZXDSL8426同時支持FE和E1接口，可充分利用現(xiàn)有的傳輸資源，通過多個E1接口捆綁，實(shí)現(xiàn)與端局機(jī)房的大容量 ZXDSL8210級聯(lián)。普通用戶采用PPPOE寬帶撥號方式上網(wǎng)，集團(tuán)用戶或網(wǎng)吧等其他大客戶則可以根據(jù)實(shí)際需要，采用用戶名與PVC或VLAN ID綁定的方式實(shí)現(xiàn)專線用戶的認(rèn)證和計費(fèi)。

2.3 發(fā)展小區(qū)VLAN無線接入

對于無線接入網(wǎng)絡(luò)，人們最關(guān)心的問題恐怕就是如何將無線用戶接入適當(dāng)?shù)挠芯€VLAN。有線網(wǎng)絡(luò)中的VLAN用戶身份通常都是由用戶的物理層二層交換機(jī)或三層路由器連接端口來定義的。但在無線網(wǎng)絡(luò)中，用戶根本沒有與任何物理端口連接。利用基于角色的VLAN關(guān)聯(lián)來進(jìn)行用戶識別。這種方法可以利用一系列標(biāo)準(zhǔn)的驗(yàn)證方法，如基于HTTP捕捉端口和802.1x等可選驗(yàn)證機(jī)制來判定出正確的VLAN用戶身份。然而，802.1x基于端口的驗(yàn)證方法則可以提供一個有效的框架，為以太網(wǎng)和無線網(wǎng)絡(luò)上的用戶提供基站訪問授權(quán)。802.1x使用可擴(kuò)展驗(yàn)證協(xié)議（EAP)來中繼局域網(wǎng)基站（請求者）、以太網(wǎng)交換機(jī)或無線接入點(diǎn)（驗(yàn)證者）與RADIUS服務(wù)器（驗(yàn)證服務(wù)器）之間的端口訪問請求。

用于保護(hù)Wi-Fi網(wǎng)絡(luò)用戶的核心機(jī)制是基于數(shù)據(jù)加密和用戶驗(yàn)證的方法，而非通常使用的基于角色的驗(yàn)證方法。基于角色的802.1x VLAN關(guān)聯(lián)具有很大的吸引力，因?yàn)樗梢蕴峁┖侠淼墓ぷ鹘M流量分割，并且更輕易與有線網(wǎng)絡(luò)上配置的安全和流量工程策略集成在一起。

網(wǎng)絡(luò)治理員通常都希望為所有用戶保留原有的擴(kuò)展服務(wù)集ID（ESSID）和加密檔案。這樣，當(dāng)用戶進(jìn)入無線局域網(wǎng)時，系統(tǒng)可根據(jù)驗(yàn)證服務(wù)器上已經(jīng)配置好的屬性，將用戶分配至不同VLAN內(nèi)的不同工作組中。假如不使用基于角色的VLAN，這種方法基本上是不可能實(shí)現(xiàn)的，除非對無線局域網(wǎng)的許許多多配置逐個調(diào)整，為每個用戶組引入新的ESSID。這種做法無疑需要巨大的資金投入和高昂的運(yùn)營費(fèi)用。

無線局域網(wǎng)交換機(jī)可以支持各種類型的用戶角色，以及不同的訪問權(quán)限和VLAN關(guān)聯(lián)。它還可以支持多種類型的服務(wù)器規(guī)則，并從中引申出用戶角色，如 RADIUS服務(wù)器發(fā)出的訪問接受信息中的RADIUS屬性。例如，某一條服務(wù)器規(guī)則用于提取某個特定RADIUS屬性中的數(shù)值，并使用該數(shù)值作為角色。在802.1x驗(yàn)證中，客戶機(jī)通過一個無線局域網(wǎng)交換機(jī)驗(yàn)證至RADIUS服務(wù)器。然后，無線局域網(wǎng)根據(jù)執(zhí)行服務(wù)器規(guī)則后產(chǎn)生的角色，在VLAN與客戶機(jī)之間建立關(guān)聯(lián)。

一旦與接入點(diǎn)之間的關(guān)聯(lián)建立完成，無線局域網(wǎng)交換機(jī)將客戶機(jī)置于未授權(quán)狀態(tài)下。在這種狀態(tài)下，只有客戶機(jī)生成的802.1x EAP包才能通過無線局域網(wǎng)轉(zhuǎn)發(fā)。無線局域網(wǎng)交換機(jī)發(fā)送一條EAP Request-ID，即用戶身份請求信息給客戶機(jī)。客戶機(jī)則回應(yīng)一條EAP Response-ID信息。此后，無線局域網(wǎng)交換機(jī)將EAP Response-ID封包為一條RADIUS訪問請求信息，并將其轉(zhuǎn)發(fā)給RADIUS服務(wù)器。

假如驗(yàn)證成功，RADIUS服務(wù)器將訪問接受信息發(fā)送給無線局域網(wǎng)交換機(jī)。這條信息可以識別不同的用戶屬性，如角色和訪問權(quán)限。然后，無線局域網(wǎng)交換機(jī)會對這條回應(yīng)信息進(jìn)行解析，并確定客戶機(jī)應(yīng)當(dāng)被分配至哪一個VLAN。

使用該信息，無線局域網(wǎng)交換機(jī)便將客戶機(jī)分置于授權(quán)狀態(tài)下，并發(fā)送一條EAP SUCcess信息。此后，交換機(jī)才將來自客戶機(jī)的所有數(shù)據(jù)流量轉(zhuǎn)發(fā)給合適的VLAN。在收到EAP Success信息后，客戶機(jī)將啟動動態(tài)主機(jī)配置協(xié)議，并從基于角色的VLAN上獲得一個IP地址。（完）