我的书签
添加书签
移除书签6.6 Wi-Fi核心网VLAN规划
VLAN技术的出现,主要是为了解决交换机在进行局域网互连时无法限制广播的问题。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(即VLAN)。VLAN与物理上形成的LAN有着相同的属性,但由于其为逻辑划分而不是物理划分,所以同一个VLAN内的各个工作站无需被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,如果两者没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。
6.6.1 VLAN划分的优点
划分VLAN具备如下优点。
(1)限制广播域:广播域被限制在一个VLAN内,由VLAN用户发送的信息帧或数据包仅在VLAN内的成员之间传送,而不是向网络中的所有工作站发送,从而节省了带宽,提高了网络处理能力。
(2)增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信。由于VLAN划分在数据链路层实现,而子网划分在网络层实现,即使不同子网中的同名VLAN也不可以相互通信。因此,不同VLAN要进行通信需要通过路由器或三层交换机等设备。
(3)灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更加方便灵活。
6.6.2 VLAN划分原则
划分VLAN主要基于以下三种原则。
第一,网络性能原则。对于大型网络,网上过多的广播信息会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。利用广播信息不会跨过VLAN的特点,VLAN划分可减少整个网络范围内广播包的传输,并缩小广播域,提高网络的传输效率,从而提高网络性能。
第二,安全性原则。由于各VLAN之间进行通信必须通过路由器转发,这为高级的安全控制提供了可能,增强了网络的安全性。对于大规模的网络,例如大型集团公司,某些部门之间的数据需要保密,可以通过划分VLAN对不同部门的网络进行隔离。
第三,组织结构原则。在某些网络的应用中,如果同一个部门的人员分散在不同的物理地点,他们之间实现数据共享和安全性保证需要跨地域(即跨交换机),因此可以将这个部门的用户设置在同一VLAN中。
针对实际业务需求,确定Wi-Fi网络VLAN划分的目的为:
(1)识别业务流量归属(即确定业务源AP);
(2)隔离广播,减少广播风暴对网络的影响;
(3)增强网络的安全性,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN;
6.6.3 VLAN划分方案讨论
(1)基于AP的VLAN划分
Wi-Fi网络规划中VLAN的划分方式可采用基于AP的划分,即每个部署的AP划分为一个VLAN。例如:一个热点地区分为几个相对独立的部分,各个部分分别部署一个AP,则每个AP对应一个VLAN。如图6-7所示,某高级酒店作为一个热点地区,该酒店大楼包括5层,分别为H1、H2、H3、H4和H5,每层部署一个AP,对应VLAN1、VLAN2、VLAN3、VLAN4、VLAN5。
在这种方案中,通过VLAN的不同标号就可以识别具体的AP。但是由于VLAN的总数有限(不同路由器支持的VLAN划分数量有所不同,但通常只有4 096个),如果需在城域网中保证VLAN号唯一性,就要对AP部署数目进行限制。因此,这种方案存在VLAN的可扩展性问题。
(2)基于层次性的VLAN划分
基于层次性的VLAN划分是基于AC或BRAS的VLAN划分方案。对于使用AC连接AP的方案,每个AC下的AP都可以进行VLAN的独立划分。在同一个AC下为每个AP划分一个VLAN,其编号由1至4 096。由于每个AC可以支持的AP数通常少于200个,因此VLAN的数量对于一个AC而言是足够的。
图6-7 某酒店VLAN划分方式
对于使用BRAS连接AP的方案,由于BRAS通常可以支持的并发认证用户数在1.5万以上,按照每个AP平均支持20个用户来计算,AP的数量可达到750个,此时VLAN的数量也基本可以满足每个AP单独划分为一个VLAN。
(3)QinQ
基于802.1q的Tag VLAN使用虚拟局域网ID(VLAN ID,VID)来划分不同的VLAN。当数据帧通过交换机的时候,交换机根据帧中Tag头(Tag Header)的VID信息来识别数据帧所在的VLAN(若帧中无Tag头,则应用帧所通过端口的默认VID信息来识别数据帧所在的VLAN)。这使得所有属于该VLAN的数据帧,不论是单址帧、多址帧或是广播帧,都将被限制在该VLAN中传播。这将使VLAN中主机能够相互通信,而不受其他主机的影响。
QinQ技术源于标准IEEE 802.1ad。协议中将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中报文只根据外层VLAN Tag(即公网VLAN Tag)传播,用户的私网VLAN Tag被屏蔽。QinQ实现过程如图6-8所示。外层的VLAN Tag不仅可以用于交换机VLAN的标识,还可以携带业务类别的信息。这样,结合两层VLAN标记就可以准确定位每个用户的AP位置。
图6-8 QinQ功能示意图
为每个用户划分一个VLAN的主要优点体现在:拥有最小的广播域,网络工作效率高;用户之间的数据传送在二层上隔离,网络安全性高;每个用户拥有全网唯一的VLAN标志,可作为用户的标志,从而解决用户定位的问题;每用户一个VLAN,VLAN标志可作为区分用户进行不同服务类别处理的标签,从而增强QoS的易用性;每个用户一个VLAN使得网络的可操作性、可管理性更强。
QinQ每增加一层VLAN Tag就可以将所覆盖的用户VLAN数量增加4 096倍,两层VLAN标签可以支持4K×4KVLAN。通常情况下两层VLAN Tag就可以满足绝大多数需求。目前,大多数厂商的交换机设备都已经具备QinQ功能。
6.6.4 VLAN建设方案
针对上述的VLAN划分原则,以下提出两套VLAN划分的规划方案。VLAN划分包括业务VLAN和网管VLAN。
1.业务VLAN划分
在业务VLAN中,采用为每个AP划分一个VLAN的方式。根据Wi-Fi业务需要,在每条RADIUS话单上携带各自的VLAN信息,从而区分业务的接入AP,便于业务分析能够细化到AP。
2.网管VLAN划分
每个热点划分一个网管VLAN。具体建设方案如下所示。
方案一:针对VLAN划分数目不足的问题,可采用QinQ方案,使核心交换机支持QinQ方案。针对此方案,由于VLAN编号全局唯一,RADIUS话单上携带各自的VLAN信息,从而区分业务的接入AP。RADIUS话单如图6-9所示。
图6-9 RADIUS话单示例
方案二:采用基于层次性的VLAN划分方案。此时,从全局范围而言,VLAN编号并不唯一。对于本地认证的用户而言,由于对用户的私有IP地址进行了根据热点的统一规划,因此通过用户主叫IP就可确定用户所在的热点及热点的AP位置。对于集团认证的用户而言,由于对NAT转换发生在BRAS或AC中,因此,通过用户主叫IP就可确定对应的BRAS或AC。而在统一BRAS或AC中,VLAN编号对于每个AP而言是唯一的,通过AC子网地址段和VLAN编号可唯一定位一个具体的VLAN。针对此方案,首先将用户私有IP地址(全局唯一)映射到具体AC,再根据VLAN号确定AP。此方案需要制定相关的私有IP地址与AC的对应查询系统。例如:13812345678用户的接入AP可通过其主叫IP地址192.168.20.1定位到相应的AC,再通过其VLAN号定位到其接入的AP,如表6-16所示。
表6-16 VLAN分配示例
