VLAN на потребителска архитектура и алтернативи
Автори: Антон Марченко (архитект на мрежата) и Андрей Захаров (мениджър на акаунти), специалисти на BCC в посока City Operator Networks, www.metroethernet.ru.
Статията е публикувана в рамките на конкурса "Комуникационна формула".
От доста дълго време една от най-обсъжданите теми в изграждането на градски Ethernet мрежи е възможността за използване на архитектурата "VLAN на потребител" в тях или разпределението на всеки абонат в отделен сегмент за излъчване. В тази статия ще направим оценка на силните и слабите страни на тази архитектура, ще разгледаме възможностите за нейното внедряване, а също така ще представим алтернативно решение, базирано на функциите на Private VLAN и ARP на Local Proxy.
За да разберем защо е необходима архитектурата "VLAN на потребител", първо ще разгледаме традиционната и най-проста архитектура с обща VLAN, когато всички мрежови устройства са в един и същ домейн за излъчване (вижте фиг. 1)
Фигура 1. Архитектура със споделена VLAN
Тази архитектура е доста лесна за изпълнение и създава малко натоварване на централното оборудване на мрежата, което осигурява достъп до Интернет, поради факта, че обменът на местен трафик се осъществява директно между абонатите по най-краткия път през най-близките комутатори.
Основните недостатъци на споделената VLAN архитектура са:
Превключвателите за достъп, които в мрежата са много, стават точки за контрол на местния трафик. Това води до проблема с управлението на голям брой устройства от различни модели, които поради ниската си цена също са ограничени по функционалност.
За решаване на първия проблем се използват управлявани ключове за достъп с поддръжка на защитни функции (DHCP Snooping, IP Source Guard, Port Security, Dynamic ARP Inspection). Решаването на втория проблем с локалната точка за контрол на трафика изисква основно преструктуриране на мрежовата архитектура. И един от използваните методи беше преминаването към архитектурата „VLAN на потребител“.
Таблица 1 - Сравнение на архитектурите „Споделена VLAN“ и „VLAN на потребител“
VLAN на потребител
Локален контрол на трафика *
Брой точки за контрол на движението
Път на местния трафик **
Паразитен излъчен трафик ***
Защита срещу типични атаки
Осигурява се от функции на превключвателя за достъп
* Управлението на трафика се изисква за гъвкаво управление на междуличностния трафик, например за блокиране на достъпа до ресурси на локална мрежа, когато салдото е отрицателно
** Необходимостта местният трафик да премине през контролната точка удължава трафика между абонатите, което може да увеличи натоварването на каналите
*** При мащабиране на мрежата излъчваният трафик създава значително натоварване на комуникационните канали и абонатните устройства
Архитектурата "VLAN на потребител", както подсказва името, предполага разпределението на собствена VLAN за всеки абонат.
Нека разгледаме прилагането на такава архитектура, предлагана от водещи производители - централизиран модел. В него точката на консолидация на целия абонатен трафик е устройството BRAS - широколентов сървър за отдалечен достъп (вж. Фиг. 2).
Фигура 2. Централизиран VLAN модел на потребител
При разглеждане на такъв модел обаче възниква въпросът как да се прекратят всички абонати в мрежата на едно устройство, ако според стандарта IEEE 802.1q за броя на VLAN са разпределени само 12 бита (максимум 4096 стойности). В този случай, при голям брой абонати, решението е да се използва технологията на двойно маркиране на пакети (Q-in-Q) и прекратяването им на BRAS.
Предимствата на централизирания модел включват и единна точка за контрол както за Интернет, така и за местния трафик. Това ви позволява гъвкаво да управлявате качеството на услугата и честотната лента за всеки абонат. Също така тази архитектура осигурява изолация на абонатите на второ ниво, което решава повечето проблеми на сигурността, обсъдени по-горе. Основният недостатък е необходимостта от продуктивен и в резултат на това доста скъп BRAS.