國產網絡廠商在技術上發展的空間并非沒有，而是非常大。我們并不一定非要跟在別人后面亦步亦趨，有時候將眼光向“下”，更貼近中國網絡用戶的需求，而不應一味向“上”去追趕所謂的“國際潮流”。這樣做往往會有意想不到的收獲！

紅紅火火的智能社區

近年來，ip網絡技術得到了巨大發展，形成了事實上的寬帶網絡標準。

目前，中國電信、中國網通等大型運營商主要是自上而下鋪建寬帶網絡，將主要資源配置在寬帶骨干網和寬帶城域網的建設上。力圖修建起一條“高速公路”。但要讓這條路上能有大量的“車”在跑，寬帶接入網絡必不可少。時下寬帶接入網絡最熱門、最常見的建設形式莫過于智能小區網絡。以長城寬帶為代表的一批運營商，將目光放在家庭最終用戶群，根據國內居住較為集中、住宅小區建設趨于規范的情況，以居民家庭為網絡的切入點，采用先進可靠、成本低廉的以太網技術，自下而上，與房地產廠商及具有寬帶骨干網資源的運營商合作，致力于解決寬帶接入的“最后一公里”問題，以較低的價格向網民提供10M以上帶寬的網絡接入與應用服務。

突出的問題：安全治理

由于小區網絡建設和應用的特點，決定了它對治理和安全方面提出更高的要求，而這也正是目前智能小區建設中存在的突出問題。

網絡治理包括兩部分。一部分是對網絡設備的治理，即監控、調整網絡的運行狀態。另一部分是對網絡用戶的治理，包括用戶小區網絡服務權限的開通、關閉和調整，用戶帶寬的治理、流量的限制等等。網絡安全也包含兩部分內容。一是防御來自小區網絡外部的攻擊，小區網絡中的計算機實時連接在Internet上，除了輕易被惡意攻擊者攻擊外，最有可能的是被攻擊者入侵后作為分布式拒絕服務攻擊（Distributed Denial Of Service，D.D.O.S）的攻擊機器，被驅使去攻擊、阻塞別的主機。對一個攻擊者而言，像智能小區這樣的主機密集的網絡，應該是很好的“攻擊資源”。另外，小區內部用戶互相之間的攻擊，也必須嚴加防范。

智能社區與VLAN設置

通俗地說，虛擬局域網 (VLAN)是一種將節點按邏輯分組而不是按物理分組的網絡結構。VLAN 的分段產生了敏感信息不能共享的安全區域，為有效地降低廣播通信量，在分組中產生了各自的廣播區域，提供了更高的網絡效率和安全性。下面的圖 1和圖2 顯示了LAN和VLAN的差別。

圖1 LAN分段

在智能小區網絡中，VLAN的劃分非常重要。一般而言，我們將一個小區網絡劃分為三個層次，前端接入層、樓宇匯集層和小區核心層。下面對這三層中VLAN的劃分及其作用進行說明。

a) 前端接入層

前端接入層交換機放置在每棟樓宇之內，住戶的計算機接在前端接入層交換機上。我們將用戶接入的交換機端口稱為普通端口，而將上連到上一級交換機的端口稱為上連端口。在前端接入層交換機上劃分VLAN，每個VLAN中只有2個端口：1個普通端口和1個上連端口。我們需要劃分N－1個VLAN（N為交換機端口數）。經過這樣的VLAN劃分，住戶之間互相不能通信，但都可以和上一級交換機，即樓宇匯集層交換機通信。

b) 樓宇匯集層

樓宇匯集層交換機負責將若干臺前端接入層交換機連接起來。在樓宇匯集層交換機上劃分VLAN，每個VLAN中也只有2個端口：1個普通端口和1個上連端口。我們同樣需要劃分N－1個VLAN（N為交換機端口數）。經過這樣的VLAN劃分，每臺前端交換機之間互相不能通信，但都可以和上一級交換機，即小區核心層交換機通信。

圖2 VLAN劃分

c) 小區核心層

小區核心層交換機負責將若干臺樓宇匯集層交換機連接起來。同樣地，在小區核心層交換機上劃分VLAN，每個VLAN中也只有2個端口：1個普通端口和1個上連端口。我們同樣需要劃分N－1個VLAN（N為交換機端口數）。經過這樣的VLAN劃分，每臺樓宇匯集層交換機之間互相不能通信，但都可以和上一級交換機，即城域網的接入層交換機通信?？梢钥吹?，經過這樣的VLAN劃分，每個住戶的計算機都不可能訪問到小區內其他任何住戶的計算機，但卻能夠訪問城域網。

VLAN技術問世已經有好幾年時間，但一直沒有得到充分的利用。而人們往往把VLAN和第三層交換（Layer3 Switching）聯系在一起。認為劃分了VLAN就必須引入第三層交換，通過在第三層交換機或路由器上設置訪問列表（access Listing），使VLAN之間能夠互相通信。這在一些企業的園區網中是很有必要的。那么，在智能小區網絡中需要第三層交換嗎？回答是否定的，至少在目前看來是沒有必要的。因為我們還看不到小區網絡中VLAN之間通信的必要性。

在小區網絡中進行這樣“徹底”的VLAN劃分，首先將可能產生的網絡廣播流量都消除掉了，否則，這樣一個大型網絡假如都處在一個廣播域下，而且網絡上有大量數據傳輸，很輕易引起廣播風暴。另外這樣的VLAN劃分還很好地解決了小區網絡內部的網絡安全問題。

而對網絡用戶的治理，一般通過在小區網絡到城域網的出口處設置代理服務器來實現。所有的用戶接入城域網，都需要通過代理服務器進行轉發，可以根據需要在代理服務器上設置和調整用戶權限。

安全治理與跨端口VLAN設置

之所以將這兩個問題放在一起分析，是因為目前可以劃分VLAN的網絡設備，基本上都支持基于SNMP的網絡治理。由于集線器在廣播方式下工作，即使支持網絡治理也決不可能劃分VLAN，要劃分VLAN，只能使用交換機。目前，可網管的交換機價格還是比較昂貴的，以使用最多的前端交換機為例，每個可治理的前端交換接入點價格在400－500元/點之間，而不可治理的前端交換接入點價格僅為150－200元/點。由于小區網絡的建設費用主要靠運營商自籌，采購可網管交換機的投資額較大，投資回收期也相應延長。

針對可劃分VLAN的可網管交換機價格居高不下的問題，清華紫光的技術專家和研發人員從技術和應用兩方面進行了綜合分析。

從技術角度講，支持網管和支持VLAN其實是不同的功能，但要對VLAN進行設置、調整等治理必須通過網管功能來實現。但網管不一定非得是支持SNMP的網管。從應用角度看，據調查許多運營商并不是非凡需要對前端交換機的每個端口流量進行具體的監控，但是他們需要對用戶端口的速率進行設置。比如說，將1個10/100Mbps的端口速率設置為10M或是100M，這樣假如樓宇匯集層交換機是百兆交換機的話，可以避免前端接入層到樓宇匯集層的傳輸瓶頸，同時又具有足夠的靈活性。而且最重要的是小區網絡前端交換機的VLAN設置是一種“極端”的設置，根本不需要調整。

經過不懈的努力，清華紫光研發生產出了一款極具特色的交換機MS3241F2。這款交換機有24個10/100MbpsRJ-45端口，還可以插入一個百兆光纖模塊。MS3241F2的獨特之處，是它的前面板上有兩個小按鈕，可以對每一個端口的速率進行設置。最重要的是，通過這兩個小按鈕，可以按動幾下，即可將MS3241F2交換機設置成 “安全VLAN”模式。在安全VLAN模式下，交換機內劃分成23個VLAN，每個VLAN只包括1個普通端口和24號端口（假如有光纖模塊則光纖模塊就是24號端口），這樣，通過24號端口或光纖模塊上連樓宇匯集層交換機，1到23號端口用來接入用戶。住戶之間不能通信，而都可以和樓宇匯集層交換機通信。

在實際應用中，可以在前端接入層和樓宇匯集層都使用MS3241F2，這樣可以大大削減投資。而小區核心層交換機最好還是選用支持SNMP治理的高端交換機。這樣可以對小區網絡骨干進行監控和治理，比較符合運營商的實際需求。當然，假如對樓宇匯集層也有監控和治理的需求，同樣可以在這一層選擇支持SNMP治理的交換機。

還有一個問題，MS3241F2并不支持802.1Q的VLAN標準。那么怎么跨交換機端口劃分VLAN呢？

這首先要從802.1Q標準說起。它是一個關于橋接和LAN互連的規范。根據802.1Q規范，可以讓VLAN關聯在交換機之間保持，也就是我們所說的跨交換機端口劃分VLAN。802.1Q要求發送攜帶VLAN標記的幀，而連接兩個交換機的端口稱為“標記端口”，在這里屬于所有VLAN的成員。在某一交換機上接收到的廣播幀將向所有VLAN成員進行轉發，其中也包括“標記端口”。當廣播幀在交換機間端口上傳輸時，它被注上VLAN成員的標記。另一個交換機接受到它后，將除去VLAN標記，并觀察其所帶的關聯，然后向VLAN成員所連接的其它端口轉發。

這樣就清楚了，由于MS3241F2的24號端口屬于所有VLAN，所以就具有了“標記端口”的功能。廣播幀從MS3241F2向其它交換機傳輸，雖然沒有注上標記，但已經可以傳輸到另一臺交換機上。這樣另一臺交換機無論是否支持802.1Q，都可以觀察到這個幀所帶的關聯，然后向VLAN成員所連接的其它端口轉發。這樣的交換機，價格與普通的不可治理交換機相差無幾，卻為智能小區網絡運營商解決了大問題。