本期主要介紹Private VLAN技術,下期介紹Super VLAN技術
作者:最鐵頭的網工
來源:CSDN
文章屬性:自創,如有抄襲必究
模擬器來自於新華三 HCL 實驗室
點擊瞭解更多技術資料和免費學習視頻請加入討論羣:662736393
感謝關注鐵頭娃技術,聯繫QQ:3473067134
針對本知識點有問題,歡迎加Q一起討論學習
配置過程:DOU音搜索>>>最鐵頭的網工
隨着以太網的快速發展,很多的運營商採用了LAN接入小區寬帶。基於用戶安全和管理計費等方面考慮,運營商一般要求用戶相互隔離。VLAN一直是我們用來隔離局域網的手段,於是我們便採用VLAN進行對每一個用戶進行局域網的隔離,但是根據IEEE802.1Q協議規定,設備最大可能支持的VLAN數量爲4094個,對於運營商的設備來說,那麼每個用戶1個VLAN,4094個VLAN遠遠不夠,而且每個只包含1個用戶的VLAN配置第三層接口,將消耗大量的IP地址和部署成本。
Private VLAN產生背景
運營商小區寬帶接入典型組網。採用LAN方式接入的小區寬帶用戶的主要應用是上互聯網,用戶之間產生隔離,每個用戶1個VLAN ,用戶數遠遠大於4094個VLAN,VLAN數量限制了更多用戶的接入需求。
Privat VLAN產生原理—>VLAN ID上解決問題
VLAN ID主要消耗在接入層,對於運營商來說,如果既能夠保證接入層用戶之間相互隔離,又能將就接入層的VLAN ID屏蔽,只可見匯聚層的VLAN ID,則4096個V LAN是夠用的。爲了解決上述問題,Private VLAN技術應運而生。
Private VLAN 採用二層VLAN結構,它在同一臺設備上設置Primary VLAN和Secondary VLAN 兩類VLAN。功能如下:
1、 Primary VLAN用於上行連接,不同Secondary VLAN關聯到同一個Primary VLAN。上行連接的設備只知道Primary VLAN,而不必關心Secondary VLAN,簡化了網絡的配置,節省VLAN資源。
2、Secondary VLAN用於連接用戶,Secondary VLAN之間二層幀互相隔離。如果希望實現同一Primary VLAN下Secondary VLAN用戶之間互通,可以通過配置上行設備的本地代理ARP功能來實現三層報文的互通。通
3、一個Primary VLAN可以和多個Secondary VLAN,理論上每個Primary VLAN 可以包含4094個Secondary VLAN,所以相當於提供了Primary VLAN 和 Secondary VLAN相乘的4094*4094個VLAN ,Primary VLAN下面對應的Secondary VLAN 對上行設備不可見。
Private VLAN技術功能
通過一個簡單的應用來描述 Private VLAN 的技術特點,SWA爲三層交換機,是SWB的上行設備,SWB爲支持Private VLAN 功能的交換機。在SWB上開啓Private VLAN功能,並配置VLAN10 爲primary VLAN ,配置VLAN 2,VLAN 3 VLAN4爲Secondry VLAN ,這些VLAN2,VLAN 3、VLAN 4 都映射到VLAN 10中。
在SWB上完成Private VLAN配置後,SWB上的VLAN 2、VLAN 3、VLAN 4都可以和SWA互通,對於上層設備SWA來說,只需識別下層交換機SWB的VLAN 10,而不需要識別下層交換機SWB的VLAN 10,而不必關心VLAN 10中包含的VLAN 2、VLAN 3、VLAN4 ,在SWB上的各個VLAN通過傳統的VLAN 技術實現二層隔離,也可以在上行設備上SWA上配置本地代理ARP功能實現三層的互通。
Private VLAN技術原理
其實,Private VLAN 功能是利用了Hybrid 類型端口的靈活性以及VLAN間的MAC地址同步技術來實現的。
Hybrid 端口在轉發數據時,可以按照需要進行多個VLAN數據流量發送和接收,可以根據需要決定發送數據幀時是否攜帶IEEE802.1Q標籤。正因爲這一靈活性,Hybrid端口可以用於交換機之間的連接,也可以用於連接用戶計算機。
SWB所示,SWB上Port1、Port2和Port3這個端口都設定位Hybrid 類型,Port1 允許VLAN 2 和VLAN 10的數據幀通過,Port2 允許VLAN 3和VLAN 10的數據幀通過 Port 3允許VLAN 2、VLAN 3、VLAN10的數據幀通過,所有發出去的數據幀都不攜帶IEEE802.1Q的標籤。配置完成後,PCA可以和SWA互通,PCB可以和SWA互通,而PCA和PCB之間隔離。
交換機在轉發時會存在一個較爲嚴重的問題。按照需求,SWB的3個端口的PVID應該分別爲VLAN 2、VLAN 3 VLAN 10。一開始PCA 發送ARP請求到Port 1,解析SWA (網關)的MAC 地址,PCA 的MAC地址被學習到SWB的VLAN 2中,在SWB沒能收到SWA的MAC地址表項,只能在VLAN 2的廣播域內廣播,因Port 3允許VLAN 2的數據幀通過,所以此廣播幀會從port 3 轉發出去 ,SWA會收到請求。
當SWA返回ARP響應報文到達SWB的Prot 3時,(源MAC地址MAC_SWA,目的MAC地址MAC_PCA),SWA的MAC地址將被學習到SWB的VLAN 10中,SWB會給報文添加Tag,VLAN ID爲10 (默認端口的端口ID),然後以"MAC_PCA+VLAN 10"爲條件去查詢MAC地址。由於找不到對應的表項,該報文會在VLAN 10內廣播,並最終從Port1和Port 2中轉發出去
同理每次上行和下行的報文,都需要廣播才能到達目的地。當Secondary VLAN 和Primary VLAN包含的端口較多時,這樣的處理方式會佔用大量的帶寬資源,大大降低了交換機的轉發性能,而且不安全(廣播報文容易被截獲和偵聽)。通過MAC地址同步機制可以解決這個問題
Primary VLAN的MAC 地址同步機制有如下兩種:
1、Secondary VLAN到Primary VLAN的同步,即下行端口在Secondary VLAN內學習到的MAC地址都同步到Primary VLAN內,而出端口則保持不變。
2、Primary VLAN 到 Secondary VLAN內步,即上行端口在Primary VLAN學習到的MAC地址同步到所有的Secondary VLAN內,而出端口則保持不變。
缺點:
當Primary VLAN 下面配置了很多Secondary VLAN,MAC地址同步後,將導致MAC地址表過於龐大,進而影響設備的轉發性能。同時考慮到用戶的下行流量要遠遠大於上行流量,下行流量需要進行單播,上行流量可以進行廣播。所以Secondary VLAN到primary VLAN的同步被所有產品均支持,而Primary VLAN到second VLAN的同步只被部分產品不支持