- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
Isolate-user-vlan技術白皮書
關鍵詞:Isolate-user-vlan,Secondary VLAN
摘 要:Isolate-user-vlan采用二層VLAN結構:Isolate-user-vlan和Secondary VLAN。上行設備隻識別Isolate-user-vlan,而不必關心Isolate-user-vlan中包含的Secondary VLAN,從而節省了VLAN資源,簡化了網絡配置。本文介紹了Isolate-user-vlan的技術原理以及組網應用。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
VLAN | Virtual Local Area Network | 虛擬局域網 |
ARP | Address Resolution Protocol | 地址解析協議 |
目 錄
2.2 Isolate-user-vlan技術原理... 5
2.2.1 Isolate-user-vlan配置同步... 5
2.2.2 Isolate-user-vlan的MAC地址同步... 7
2.3 Isolate-user-vlan的報文轉發... 8
在園區網中,基於用戶安全和管理計費等方麵的考慮,運營商一般要求接入用戶互相二層隔離。VLAN是天然的隔離手段,於是很自然的想法是每個用戶一個VLAN。如圖1所示,Switch B和Switch C上分別接入三個用戶,如果給每個用戶劃分一個VLAN,則需要占用Device A上的六個VLAN資源。
根據IEEE 802.1Q協議規定,設備最大可使用VLAN資源為4094個。對於核心層設備來說,如果每個用戶一個VLAN,4094個VLAN遠遠不夠。為解決VLAN資源緊缺的問題,Isolate-user-vlan應運而生。
支持Isolate-user-vlan功能後,可以將圖1中的用戶所在的VLAN(VLAN 10~15)配置為Secondary VLAN,將VLAN 2和VLAN 3配置為Isolate-user-vlan(如圖2)。這樣,Device A上隻需配置VLAN 2和VLAN 3,節省了四個VLAN資源。
圖2 Isolate-user-vlan功能示意圖
Isolate-user-vlan采用分層結構:上行的Isolate-user-vlan和下行的Secondary VLAN。對上行設備來說隻需識別Isolate-user-vlan,而不必關心Isolate-user-vlan中的Secondary VLAN,從而節省了上行設備的VLAN資源。同時,將接入用戶劃入不同的Secondary VLAN,可以實現用戶之間二層報文的隔離。
IIsolate-user-vlan主要應用在在園區網或企業網接入中,實現二層報文隔離的同時節省VLAN資源。
l Isolate-user-vlan:上行設備感知的用戶VLAN,它並不是用戶的真正VLAN。
l Secondary VLAN:用戶真正屬於的VLAN。
l 上行端口:和上行設備相連的端口,負責和上行設備通信。上行端口的缺省VLAN ID必須配置為isolate-user-vlan的VLAN ID,否則該端口無法轉發來自Secondary VLAN的報文。
l 下行端口:和用戶相連的端口,負責和終端通信。下行端口的缺省VLAN ID必須配置為Secondary VLAN的VLAN ID,否則該端口無法轉發來自Isolate-user-vlan的報文。
Isolate-user-vlan技術是如何屏蔽Secondary VLAN信息、節省VLAN資源的呢?實現這個功能,要求:
l 來自不同Secondary VLAN的報文,能夠通過上行端口發送給上行設備,而且不能攜帶Secondary VLAN信息。
l 來自Isolate-user-vlan的報文,能夠通過下行端口發送給用戶,而且不能攜帶Isolate-user-vlan信息。
我們知道,Isolate-user-vlan和Secondary VLAN采用不同的VLAN編號,各自包含了不同的端口,通常不同VLAN之間的報文是二層互相隔離的,要達到以上要求,需要兩方麵的配合:
(1) 在本設備上需要進行配置同步和MAC地址同步處理。詳細介紹請參見2.2.1 和2.2.2 。
(2) 上行設備需要進行必須的配置:
l 創建VLAN:VLAN ID等於Isolate-user-vlan的VLAN ID。
l 配置入端口參數:將端口類型設置為Hybrid,將端口缺省VLAN值設置為Isolate-user-vlan ID,配置端口允許缺省VLAN的報文以untagged方式通過。
配置Isolate-user-vlan功能後,係統會自動對Isolate-user-vlan和Secondary VLAN所包含的端口進行配置同步:
l 對於上行端口,會將端口類型修改為Hybrid,並允許來自Secondary VLAN的報文以untagged方式通過。而上行設備的入端口通過手工配置已經將端口的缺省VLAN值設置為Isolate-user-vlan ID,所以,當上行設備收到這樣的報文後,均認為這些報文來自Isolate-user-vlan,並給它們添加tag,tag中的VLAN ID等於Isolate-user-vlan ID。從而,屏蔽了Secondary VLAN信息。
l 對於下行端口,會將端口類型修改為Hybrid,並允許來自Isolate-user-vlan的報文以untagged方式通過。
如圖3所示的組網中,端口默認都為Access口,端口Ethernet1/2屬於VLAN 2、端口Ethernet1/3屬於VLAN 3、端口Ethernet1/5屬於VLAN 5,端口的相關屬性如表1所示。然後配置VLAN 5為Isolate-user-vlan,VLAN 2、3、4均為Secondary VLAN。配置同步後,端口的相關屬性改變了,具體信息如表2所示。
圖3 Isolate-user-vlan配置同步組網圖
端口 | 類型 | 端口缺省VLAN | 允許通過的VLAN |
Eth1/5 | Access | 5 | 隻允許VLAN 5的報文通過 |
Eth1/2 | Access | 2 | 隻允許VLAN 2的報文通過 |
Eth1/3 | Access | 3 | 隻允許VLAN 3的報文通過 |
端口 | 類型 | 端口缺省VLAN | Isolate-user-vlan角色 | 允許通過的VLAN |
Eth1/5 | Hybrid | 5 | Isolate-user-vlan | 允許VLAN 2、VLAN 3、VLAN 5的報文以untagged方式通過 |
Eth1/2 | Hybrid | 2 | Secondary VLAN | 允許VLAN 2、VLAN 5的報文以untagged方式通過 |
Eth1/3 | Hybrid | 3 | Secondary VLAN | 允許VLAN 3、VLAN 5的報文以untagged方式通過 |
通過配置同步,來自Secondary VLAN的報文能以untagged方式從上行端口發送出去,來自Isolate-user-vlan的報文能以untagged方式從下行端口發送出去。這些報文是如何找到相應的出接口的呢?
通過MAC地址學習,如圖3所示的組網中Switch會生成並維護一張MAC地址表(如表3所示)。如果Device給Host 2發送報文(源MAC為mac_a,目的MAC為mac_2);Switch會給報文添加tag,VLAN ID為5(即端口的缺省VLAN ID);然後以“mac_2+VLAN 5”為條件去查詢MAC地址表。由於找不到相應的表項,該報文會在VLAN 5內廣播,並最終從Eth1/2、Eth1/3發送出去。
同理,每次上行和下行的報文都需要廣播才能到達目的地。當Secondary VLAN和Isolate-user-vlan包含的端口較多時,這樣的處理方式會占用大量的帶寬資源,也不安全(廣播報文容易被截獲和偵聽)。通過MAC地址同步機製可以解決這個問題。
Isolate-user-vlan的MAC地址同步機製為:
l Secondary VLAN到Isolate-user-vlan的同步,即下行端口在Secondary VLAN內學習到的動態MAC地址都同步至Isolate-user-vlan內。
l Isolate-user-vlan到Secondary VLAN的同步,即上行端口在Isolate-user-vlan學習到的動態MAC地址同步到所有的Secondary VLAN內。
當Isolate-user-vlan下麵配置了很多Secondary VLAN,MAC地址同步後,將導致MAC地址表過於龐大,進而影響設備的轉發性能。同時考慮到用戶的下行流量要遠遠大於上行流量,下行流量需要進行單播,上行流量可以進行廣播,所以, Secondary VLAN到Isolate-user-vlan的同步所有產品均支持,而Isolate-user-vlan到Secondary VLAN的同步部分產品不支持。
如圖3所示的組網中,MAC地址同步後生成的MAC表項如表4所示。
表3 同步前的MAC地址轉發表
目的MAC | VLAN | 出端口 |
mac_2 | 2 | Eth1/2 |
mac_3 | 3 | Eth1/3 |
mac_a | 5 | Eth1/5 |
表4 同步後的MAC地址轉發表
目的MAC | VLAN | 出端口 |
mac_2 | 2 | Eth1/2 |
mac_2 | 5 | Eth1/2 |
mac_3 | 3 | Eth1/3 |
mac_3 | 5 | Eth1/3 |
mac_a | 5 | Eth1/5 |
mac_a | 2 | Eth1/5 |
mac_a | 3 | Eth1/5 |
下麵通過圖3中Host 2的報文流程來闡述Isolate-user-vlan的實現機製。
(1) Host 2第一次發出單播上行報文,報文為untagged報文,源MAC地址為mac_2,目的MAC地址為mac_a。
(2) Switch通過下行端口Ethernet1/2收到報文,給報文打上端口缺省VLAN的標簽2,並學習MAC地址,記錄MAC地址表項(mac_2+VLAN2+Eth1/2)(表示目的MAC地址為mac_2,VLAN標簽為2的報文,出接口為Ethernet1/2)。
(3) 根據MAC地址同步原則,該MAC地址同時同步學習到VLAN 5內,設備同時記錄MAC地址表項(mac_2+VLAN5+Eth1/2)。
(4) 由於Switch當前沒有mac_a的MAC表項,因此設備在VLAN 2內廣播該報文。
(5) 由於配置同步,Ethernet1/5端口允許VLAN 2的報文以untagged方式通過,所以報文去掉tag後通過Ethernet1/5發送出去。
(6) Device A收到報文後進行響應。
(7) Switch通過上行端口Ethernet1/5收到報文,給報文打上端口缺省VLAN的標簽5,並學習MAC地址,記錄MAC地址表項(mac_a+VLAN5+Eth1/5)。通過MAC地址同步,又生成兩條MAC地址表項(mac_a+VLAN2+Eth1/5)和(mac_a+VLAN3+Eth1/5)。
(8) Switch以“mac_2+VLAN 5”為條件去查詢MAC地址表,找到出接口Ethernet1/2,並將報文去掉tag後發送給Host 2。
從而實現了Host 2和Device之間的報文交互。
對於Secondary VLAN之間的互通,需要在上行設備上配置本地ARP代理,會較大地增加三層設備的負擔。
圖4 Isolate-user-vlan應用組網圖
小區內有大量用戶且用戶支持不同的業務(如視頻、語音、數據等),為了保證用戶安全以及區分不同業務流,使用VLAN技術對用戶的二層報文進行隔離。但因為設備VLAN資源有限,因而可以在接入交換機上配置Isolate-user-vlan功能,以節省Device的VLAN資源。同時將多個端口配置為Isolate-user-vlan的上行端口,並結合ACL和QoS配置,以便讓不同的上行端口傳輸不同的業務,簡化網絡管理。
Copyright ©2008 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
