QINQ+pppoe在唐山城域网中的应用

[摘 要] 对现有的LAN小区进行QINQ+pppoe改造,改变原有的混乱状态。

[关键词] QINQ pppoe 改造

唐山的第一批LAN小区是在2001年10月开通的,当时由于设备和技术的限制,开通方式只是在小区的核心交换机上起三层地址,所有的楼宇交换机的用户都在一个业务VLAN里面,为了保证所有用户的正常使用,在核心交换机对楼宇交换机的端口上作了访问控制列表和限速。

经过一段时间的使用,暴露出了一些问题:

(1)用户IP地址混乱,用户私自更换IP地址的现象频繁发生,导致了IP地址资源和维护资源的浪费。

(2)同一VLAN的用户量太大,导致广播流量泛滥。广播占用了网络的很大一部分带宽,影响正常业务流量。

(3)用户私自接入的现象屡禁不止。

(4)用户信息监控处于不可控状态,无法查询用户的上网记录,不利于网络的安全管理。

(5)有的用户中病毒以后,对交换机和其他用户影响太大,常常导致大面积障碍的发生。

为了解决上述问题,我们想到了QINQ+pppoe技术可以提供解决方法。QINQ,顾名思义,就是两层标签封装,就是在原有VLAN标签的基础上再封装一层标签。QinQ是对802.1Q的扩展,其核心思想是将用户私网VLAN tag封装到公网VLAN tag上,报文带着两层tag穿越服务商的骨干网络,从而为用户提供一种二层VPN隧道。

根据上面的理念,我们在新开的LAN小区进行了QINQ+pppoe试点测试,QINQ+pppoe是在QINQ的基础上进行扩展,每个终端用户的内层标签在小区交换机上进行封装,在BAS上终结,同时给每个用户开一个账号,在RADIUS系统上进行账号绑定,这样LAN用户就可以像普通ADSL拨号用户一样具有可控性和可管理性。

下面把具体的过程说明一下:

(1)采购支持QINQ的小区核心设备。两层VLAN标签的封装都在这个设备上完成。

(2)规划LAN小区的业务VLAN和管理VLAN。

(3)规划终端用户的VLAN(楼宇交换机上的用户VLAN)。

(4)规划核心交换机和楼宇交换机的IP地址。

(5)做城域网数据,在城域网上做VLAN透传到BAS。

(6)做BAS上的相应数据,按照规划做好数据,做两层VLAN标签的终结。

(7)在RADIUS上开账号,作对应BAS的格式的账号绑定,绑定两层VLAN标签,使得一个用户一个账号,而且账号不能混用。

开通时要注意几个问题:

(1)保证安全性:核心交换机和楼宇交换机均要设置用户名和口令,不要用默认的口令,并由专人定期更改。

(2)数据完整性:要认真填写用户资料表,如有改动及时更新,保证用户数据的完整准确。

(3)用户可控性:保证所有交换机可以远程登录。没用的设备端口及时关闭,防止用户私接,乱接,保证用户可控。

(4)楼宇交换机上的用户VLAN要严格按照规划中的数据配置,否则可能不通。

(5)中心交换机上要配置QINQ,即外层VLAN为规划好的业务VLAN,内层VLAN为楼宇交换机上所配置的用户VLAN。

改造完成后的效果:

(1)每个用户都有自己的业务VLAN,最大限度地减少了广播的流量,避免了由于一个用户发生障碍导致大面积故障的问题。

(2)每个合法用户都有自己的账号,每个账号都只能在相应的设备端口使用,防止了私接的发生和账号盗用。

(3)用户可以需要选择相应的速率和资费政策,可以实现灵活的资费政策。

(4)节省了IP地址资源,回收了大量的IP地址。

(5)减小了业务的流量,实现了用户流量的可控性。

(6)可以根据IP地址和在线时间查询到用户的上网账号,有利于网络的安全管理。

在唐山的唐人起居LAN小区的QINQ测试,取得了良好的效果,达到了预期的目的,已经在唐山新开的LAN小区进行了推广,对于原来的老小区,也在逐步的进行QINQ+pppoe改造。

参考文献:

赖特、史蒂文斯著 陆雪莹译:TCP/IP详解•卷2:实现(计算机科学丛书)(TCP/IP illustrated).机械工业出版社,2004年