城域网VLAN划分原则

出于对用户口令的安全管理及隔离广播风暴等方面的考虑，建议通过VLAN、PVLAN、物理端口隔离等方式隔离用户。

1.1 通过VLAN隔离个人用户

如果给每个用户分配一个VLAN，则该VLAN要求中止于BRAS设备，如下图所示：

由于标准的VLAN协议802.1q采用12个bit位标识VLAN ID，这样每台城域汇聚层宽带接入服务器所能接入的用户数在理论上不能超过4096个，所以这种VLAN分配方式不能充分发挥宽带接入服务器的效率，不建议大规模采用。

1.2 通过PVLAN（或其它类似技术）隔离个人用户

如果是通过PVLAN（或其它类似技术）隔离最终用户，建议楼道交换机或小区交换机支持PVLAN，楼道/小区上联是一个VLAN，下联通过PVLAN隔离用户。如下图所示：

通过VLAN与PVLAN的结合使用可以实现较好的扩展性（理论上一台宽带接入服务器能够支持的用户数是4096×4096个）和理想的用户隔离，但因为支持PVLAN或相关技术的交换机价格不低，而且城域网这些层次的交换机数量较大，建议局方在选型时针对第三种方式比较。

1.3 通过物理端口隔离的交换机分隔个人用户

如果通过物理端口隔离的交换机分隔用户，建议在楼道交换机实现该项功能，这类交换机上联是一个VLAN，如下图所示

一般地，端口隔离的交换机的下连端口是8－24个，这样理论上一台宽带接入服务器支持的用户数是8×4096－24×4096个，端口隔离的交换机的价格相对支持PVLAN的交换机而言较低。

1.4 宽带专线用户的VLAN配置

企业用户出于安全性的考虑，一般在其局域网设置防火墙进行安全配置，这些用户不使用PPPOE，因此没有必要将宽带专线用户的VLAN中止于宽带接入服务器，建议在区域汇聚层的三层交换机中止宽带专线用户的VLAN，如下图所示：

1.4 本次工程VLAN的配置

各城域网的VLAN划分，需要按分节点作统一的规划，并保留一部分VLAN ID作为发展其他业务的预留。这部分工作由总集成商完成。

由于本次工程不涉及楼道交换机和小区交换机，因此配置工作只涉及区域汇聚交换机、城域汇聚交换机和宽带接入服务器。

区域汇聚交换机的配置工作涉及三个部分：下连端口的VLAN配置、上连端口的VLAN Trunking及专线用户的VLAN中止，这些工作由城域网分集成商完成。

城域汇聚交换机的配置工作涉及三个部分：与区域汇聚交换机的VLAN Trunking的配置、与宽带接入服务器的VLAN Trunking的配置和与区域汇聚交换机的路由的配置，这些工作由城域网分集成商完成。

宽带接入服务器的配置工作是与城域汇聚交换机的VLAN Trunking的配置，这些工作由宽带接入服务器厂商完成。