[摘 要] 對現(xiàn)有的LAN小區(qū)進(jìn)行QINQ+pppoe改造，改變原有的混亂狀態(tài)。

[關(guān)鍵詞] QINQ pppoe 改造

唐山的第一批LAN小區(qū)是在2001年10月開通的，當(dāng)時(shí)由于設(shè)備和技術(shù)的限制，開通方式只是在小區(qū)的核心交換機(jī)上起三層地址，所有的樓宇交換機(jī)的用戶都在一個(gè)業(yè)務(wù)VLAN里面，為了保證所有用戶的正常使用，在核心交換機(jī)對樓宇交換機(jī)的端口上作了訪問控制列表和限速。

經(jīng)過一段時(shí)間的使用，暴露出了一些問題:

(1)用戶IP地址混亂，用戶私自更換IP地址的現(xiàn)象頻繁發(fā)生，導(dǎo)致了IP地址資源和維護(hù)資源的浪費(fèi)。

(2)同一VLAN的用戶量太大，導(dǎo)致廣播流量泛濫。廣播占用了網(wǎng)絡(luò)的很大一部分帶寬，影響正常業(yè)務(wù)流量。

(3)用戶私自接入的現(xiàn)象屢禁不止。

(4)用戶信息監(jiān)控處于不可控狀態(tài)，無法查詢用戶的上網(wǎng)記錄，不利于網(wǎng)絡(luò)的安全管理。

(5)有的用戶中病毒以后，對交換機(jī)和其他用戶影響太大，常常導(dǎo)致大面積障礙的發(fā)生。

為了解決上述問題，我們想到了QINQ+pppoe技術(shù)可以提供解決方法。QINQ，顧名思義，就是兩層標(biāo)簽封裝，就是在原有VLAN標(biāo)簽的基礎(chǔ)上再封裝一層標(biāo)簽。QinQ是對802.1Q的擴(kuò)展，其核心思想是將用戶私網(wǎng)VLAN tag封裝到公網(wǎng)VLAN tag上，報(bào)文帶著兩層tag穿越服務(wù)商的骨干網(wǎng)絡(luò)，從而為用戶提供一種二層VPN隧道。

根據(jù)上面的理念，我們在新開的LAN小區(qū)進(jìn)行了QINQ+pppoe試點(diǎn)測試，QINQ+pppoe是在QINQ的基礎(chǔ)上進(jìn)行擴(kuò)展，每個(gè)終端用戶的內(nèi)層標(biāo)簽在小區(qū)交換機(jī)上進(jìn)行封裝，在BAS上終結(jié)，同時(shí)給每個(gè)用戶開一個(gè)賬號，在RADIUS系統(tǒng)上進(jìn)行賬號綁定，這樣LAN用戶就可以像普通ADSL撥號用戶一樣具有可控性和可管理性。

下面把具體的過程說明一下:

(1)采購支持QINQ的小區(qū)核心設(shè)備。兩層VLAN標(biāo)簽的封裝都在這個(gè)設(shè)備上完成。

(2)規(guī)劃LAN小區(qū)的業(yè)務(wù)VLAN和管理VLAN。

(3)規(guī)劃終端用戶的VLAN(樓宇交換機(jī)上的用戶VLAN)。

(4)規(guī)劃核心交換機(jī)和樓宇交換機(jī)的IP地址。

(5)做城域網(wǎng)數(shù)據(jù)，在城域網(wǎng)上做VLAN透傳到BAS。

(6)做BAS上的相應(yīng)數(shù)據(jù)，按照規(guī)劃做好數(shù)據(jù)，做兩層VLAN標(biāo)簽的終結(jié)。

(7)在RADIUS上開賬號，作對應(yīng)BAS的格式的賬號綁定，綁定兩層VLAN標(biāo)簽，使得一個(gè)用戶一個(gè)賬號，而且賬號不能混用。

開通時(shí)要注意幾個(gè)問題:

(1)保證安全性:核心交換機(jī)和樓宇交換機(jī)均要設(shè)置用戶名和口令，不要用默認(rèn)的口令，并由專人定期更改。

(2)數(shù)據(jù)完整性:要認(rèn)真填寫用戶資料表，如有改動(dòng)及時(shí)更新，保證用戶數(shù)據(jù)的完整準(zhǔn)確。

(3)用戶可控性:保證所有交換機(jī)可以遠(yuǎn)程登錄。沒用的設(shè)備端口及時(shí)關(guān)閉，防止用戶私接，亂接，保證用戶可控。

(4)樓宇交換機(jī)上的用戶VLAN要嚴(yán)格按照規(guī)劃中的數(shù)據(jù)配置，否則可能不通。

(5)中心交換機(jī)上要配置QINQ，即外層VLAN為規(guī)劃好的業(yè)務(wù)VLAN，內(nèi)層VLAN為樓宇交換機(jī)上所配置的用戶VLAN。

改造完成后的效果:

(1)每個(gè)用戶都有自己的業(yè)務(wù)VLAN，最大限度地減少了廣播的流量，避免了由于一個(gè)用戶發(fā)生障礙導(dǎo)致大面積故障的問題。

(2)每個(gè)合法用戶都有自己的賬號，每個(gè)賬號都只能在相應(yīng)的設(shè)備端口使用，防止了私接的發(fā)生和賬號盜用。

(3)用戶可以需要選擇相應(yīng)的速率和資費(fèi)政策，可以實(shí)現(xiàn)靈活的資費(fèi)政策。

(4)節(jié)省了IP地址資源，回收了大量的IP地址。

(5)減小了業(yè)務(wù)的流量，實(shí)現(xiàn)了用戶流量的可控性。

(6)可以根據(jù)IP地址和在線時(shí)間查詢到用戶的上網(wǎng)賬號，有利于網(wǎng)絡(luò)的安全管理。

在唐山的唐人起居LAN小區(qū)的QINQ測試，取得了良好的效果，達(dá)到了預(yù)期的目的，已經(jīng)在唐山新開的LAN小區(qū)進(jìn)行了推廣，對于原來的老小區(qū)，也在逐步的進(jìn)行QINQ+pppoe改造。

參考文獻(xiàn):

賴特、史蒂文斯著 陸雪瑩譯:TCP/IP詳解#8226;卷2:實(shí)現(xiàn)(計(jì)算機(jī)科學(xué)叢書)(TCP/IP illustrated).機(jī)械工業(yè)出版社，2004年