Chinaitlab来稿:城域网安全建议――汇聚层2

三层设备上进行。
　　
　　●部署小容量BRAS服务器，PVLAN的划分和端口保护技术，专线用户的VLAN在城域网汇聚层终结
　　
　　进行接入侧用户相互隔离，防止IP地址被盗用或仿冒，防止用户间的相互攻击；充分利用宽带接入服务器BRAS支持802.1q的特性，来实现对不同用户的服务，缩小广播域，提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器，可把原来的超大二层网络分成若干个小型的二层网络，降低管理的难度和复杂度。
　　
　　在若干小型网络中还可以继续划分PVLAN，PVLAN是在802.3Q　VLAN的基础之产生的，是在VLAN内进行进一步的VLAN划分，从而可以实现灵活的用户隔离方案，即把同一VLAN里的不同端口进行逻辑的隔离，从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是提供对端口进行相应的配置来实现保端口隔离，各个保护端口只允许与非保护端口进行信息交流，而各个保护端口之间的信息不能互通；一般来讲，PVLAN和端口保护技术结合使用效果会更好。
　　
　　宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，还会影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到网

页码：[1] [2] [3] [4] [5] [6] 第2页、共6页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明