VLAN解决方案的网络结构如图一所示,局域网交换机( LAN SWITCH ) 的每一个端口配置成独立的 VLAN, 享有独立的VID(VLAN ID) 。将每个用户端口配置成独立的 VLAN, 利用支持 VLAN 的 LAN SWITHC 进行信息的隔离,用 户的 IP 地址被绑定在端口的 VLAN 号上,来保证正确的路由。
在 VLAN 方式中,利用 VLAN 可以隔离 ARP 、DHCP 等携带用户信息的广播消息,从而使用户数据的安全性得到进一步的提高 。在这种方案中,虽然解决了用户数据的安全性问题,但是缺少对用户进行管理的手段。为了识别用户的 合法性,可以将 IP 地址与该用户所连接的端口 VID 进行绑定,这样设备可以通过 PI 地址与VID 来识别用户是否合法。但是,这种解决方案带来的问题是用户 IP 地址与所在端口捆绑在一起,只能进行静态 IP 地址的配置。另一方面,因为每个 用户处在逻辑上独立的网内 ,所以对每一个用户至少配置一个子网的4 个 IP 地址(子网地址、网关地址、子网广播地址和用户主机地址,)这样会造成地址利用率极低。
提到用户的认证、授权,人们自然会想到PPP 协议,于是有了 VLAN+PPPoE 解决方案,其网络示意图如图二所示。
图 一 VLAN 解决方案网络示意图
图二 VLAN+PPPoE解决方案网络示意图
VLAN+PPPoE方案可以解决用户数据的安全性问题,同时由于PPP协议提供用户认证、授权和分配用户 IP 地址的功能 ,因此不会出现上述 VLAN 方案所出现的问题。但是 PPP 不能支持组播业务 ,因此它是一个点到点的技术,面对未来网络的发展,它还不是一个很好的解决方案。
