VLAN技術(shù)發(fā)展及應(yīng)用

VLAN技術(shù)發(fā)展及應(yīng)用

VLAN基礎(chǔ)知識(shí)

VLAN劃分方式及應(yīng)用

VLAN動(dòng)態(tài)配置技術(shù)

VLAN應(yīng)用技術(shù)目錄VLAN發(fā)展起源L2L2L2L2L2廣播域廣播報(bào)文VLAN發(fā)展起源L2L2L2L2L2廣播域廣播報(bào)文使用路由器隔離廣播域，減少?gòu)V播報(bào)文對(duì)網(wǎng)絡(luò)的影響VLAN發(fā)展起源L2L2L2L2L2廣播報(bào)文VLAN的引入，為解決廣播報(bào)文的泛濫提供了新的方法VLAN2VLAN3VLAN4一個(gè)VLAN，一個(gè)廣播域VLAN發(fā)展VLAN的優(yōu)點(diǎn)限制廣播域，抑制廣播報(bào)文隔離用戶，保證網(wǎng)絡(luò)安全虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作組方式企業(yè)網(wǎng)——虛擬工作組商務(wù)樓宇內(nèi)的中心交換機(jī)，根據(jù)樓宇內(nèi)不同公司對(duì)端口需求，將每個(gè)公司所擁有的端口劃分到不同的VLAN，實(shí)現(xiàn)公司間業(yè)務(wù)數(shù)據(jù)的完全隔離，可以認(rèn)為每個(gè)公司擁有獨(dú)立的“虛擬交換機(jī)”，每個(gè)VLAN就是一個(gè)“虛擬工作組”。公司A公司B公司CVLAN2VLAN3VLAN4企業(yè)網(wǎng)——跨交換機(jī)虛擬工作組公司業(yè)務(wù)發(fā)展，部門需要跨越不同的商務(wù)樓宇，通過TRUNK端口連接不同樓宇的中心交換機(jī)，實(shí)現(xiàn)跨不同的交換機(jī)的不同公司的業(yè)務(wù)數(shù)據(jù)隔離，以及同一公司內(nèi)業(yè)務(wù)數(shù)據(jù)的互通公司A公司B公司C公司A公司B公司CVLAN2VLAN3VLAN4VLAN2VLAN3VLAN4Trunk企業(yè)網(wǎng)——虛擬工作組互通對(duì)于不同的公司之間的互通需求，可以通過VLAN間互通來解決。對(duì)于VLAN終結(jié)在一個(gè)三層交換機(jī)上的組網(wǎng)方式，可以直接在三層交換機(jī)上為每個(gè)VLAN配置路由虛接口，實(shí)現(xiàn)VLAN間路由。如果不允許VLAN之間互通，則可以配置ACL規(guī)則。公司A公司B公司CVLAN2VLAN3VLAN4Trunk公司A公司B公司CVLAN3VLAN4VLAN2VLAN2路由虛接口VLAN3路由虛接口VLAN4路由虛接口企業(yè)網(wǎng)——虛擬工作組互通為了管理上的方便，以及分擔(dān)一定的互通流量，VLAN終結(jié)在不同的三層交換機(jī)。VLAN間的互通需要三層交換機(jī)之間的路由來實(shí)現(xiàn)，在交換機(jī)上需要配置配置靜態(tài)路由或運(yùn)行路由協(xié)議。公司A公司B公司CVLAN2VLAN3VLAN4Trunk公司A公司B公司CVLAN3VLAN4VLAN2VLAN2路由虛接口VLAN3路由虛接口VLAN4路由虛接口三層路由VLAN5路由虛接口引言VLAN技術(shù)的出現(xiàn)，為以太網(wǎng)應(yīng)用開辟了一個(gè)新的舞臺(tái)。802.1Q的出現(xiàn)把以太網(wǎng)交換機(jī)的應(yīng)用推向了一個(gè)新的高峰。1、引入了802.1p優(yōu)先級(jí)，解決了以太網(wǎng)的qos問題2、引入了vlantag的概念，使得跨設(shè)備跨距離的應(yīng)用成為可能，以太網(wǎng)進(jìn)入園區(qū)網(wǎng)甚至城域網(wǎng)VLAN是什么？VLAN，簡(jiǎn)單說就是一個(gè)廣播域。廣播報(bào)文、未知單播會(huì)在VLAN內(nèi)廣播。VLAN即虛擬LAN，可以跨越多個(gè)物理設(shè)備構(gòu)成一個(gè)邏輯LAN。通過VLAN可以靈活構(gòu)建虛擬工作組，同一工作組的用戶不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活?？缭O(shè)備VLAN跨設(shè)備的VLAN成員之間互連，必然涉及不同VLAN流量的識(shí)別問題。如右圖。解決辦法是在跨設(shè)備轉(zhuǎn)發(fā)時(shí)給報(bào)文帶上VLAN信息，如打一個(gè)VLAN標(biāo)簽。設(shè)備根據(jù)VLAN標(biāo)簽做出轉(zhuǎn)發(fā)決策。IEEE802.1Q中定義了VLAN標(biāo)簽；同時(shí)吸納了802.1p的成果，在Ethernet上引入了優(yōu)先級(jí)。對(duì)于跨設(shè)備的VLAN成員互連，CISCO有自己的私有封裝ISL－InterSwitchLink.LSW1VLAN10VLAN10VLAN20VLAN20LSW2這條鏈路上如何區(qū)分VLAN10、20的流量？802.1Q封裝（forethernet）DestSrcDataLen/EtypeTagControlInfoEtype0x8100FCSVLAN-IDCanonicalFormatIndicator662224...DestSrcFCSDataLen/Etype802.1p優(yōu)先級(jí)VLANID12位，0-FFF，0和FFF(4095)不能使用優(yōu)先級(jí)3位，0-78021Q封裝VLAN成員連接方式Access連接報(bào)文不帶tag標(biāo)簽；一般用于和tag-unaware的設(shè)備相連，或者不需要區(qū)分不同VLAN成員時(shí)使用。Trunk連接PVID所屬VLAN不帶tag，其他VLAN中的報(bào)文都必須帶tag；用于tag-aware設(shè)備之間的互連。Hybrid連接

可根據(jù)需要設(shè)置某些VLAN報(bào)文帶tag，某些VLAN報(bào)文不帶tag；用于同時(shí)和tag-aware、tag-unaware設(shè)備互連。交換機(jī)tag/untag處理原則為了快速高效處理，交換機(jī)內(nèi)部報(bào)文一律tag，以統(tǒng)一方式處理。tag報(bào)文進(jìn)入交換機(jī)端口端口屬性為Access：PVID和tag標(biāo)明的VLAN一致，接收并處理報(bào)文；否則丟棄。端口屬性為Trunk/Hybrid：如果端口允許tag中標(biāo)明的VLAN通過，則接收并處理報(bào)文；否則丟棄。untag報(bào)文進(jìn)入交換機(jī)端口接收?qǐng)?bào)文，并給報(bào)文打上PVID的tag。交換機(jī)tag/untag處理原則報(bào)文出端口屬性為Access：報(bào)文不帶tag。端口屬性為Trunk：報(bào)文所在VLAN和PVID相同，則報(bào)文不帶tag；否則帶tag。端口屬性為Hybrid：報(bào)文所在VLAN配置為tag則報(bào)文帶tag；否則不帶tag。交換機(jī)MAC學(xué)習(xí)方式IVL－－IndependentVLANLearing同一個(gè)MAC可以在MAC表中出現(xiàn)多次，學(xué)習(xí)到不同VLAN。SVL－－SharedVLANLearning同一MAC在MAC表中只能出現(xiàn)一次。SVL設(shè)備在組網(wǎng)應(yīng)用上存在一些局限性。議題VLAN基礎(chǔ)知識(shí)VLAN劃分方式及應(yīng)用VLAN動(dòng)態(tài)配置技術(shù)VLAN應(yīng)用技術(shù)VLAN劃分方式基于端口基于子網(wǎng)基于MAC基于協(xié)議基于端口和子網(wǎng)的VLAN基于端口的VLAN這是最簡(jiǎn)潔、最廣泛實(shí)現(xiàn)的劃分方式，把多個(gè)端口劃入一個(gè)VLAN?；谧泳W(wǎng)根據(jù)報(bào)文源IP及掩碼來確定報(bào)文所屬VLAN。比如，可以配置/24納入VLAN100；/24納入VLAN200；再配置某個(gè)端口屬于這兩個(gè)VLAN。在這個(gè)端口，對(duì)于untag報(bào)文：所有源ip在/24內(nèi)的報(bào)文被打上VLAN100標(biāo)簽在VLAN100內(nèi)轉(zhuǎn)發(fā)；在/24內(nèi)的被打上VLAN200標(biāo)簽。（如果報(bào)文是tag的呢？）不要把基于子網(wǎng)的VLAN和三層VLAN的IP配置搞混，兩碼事，基于子網(wǎng)的VLAN劃分時(shí)不必考慮三層?；贛AC的VLAN基于MAC的VLAN交換機(jī)根據(jù)報(bào)文的源MAC來確定報(bào)文應(yīng)該在哪個(gè)VLAN中進(jìn)行轉(zhuǎn)發(fā)。實(shí)際上就是根據(jù)終端設(shè)備的MAC來劃分VLAN。這必然要求交換機(jī)能明了MAC和VLAN的映射關(guān)系?；趨f(xié)議的VLAN協(xié)議VLAN即根據(jù)端口接收到的報(bào)文所屬的協(xié)議（族）類型及封裝格式來給報(bào)文分配不同的VLANID。如IP、IPX、AppleTalk協(xié)議族；EthernetII，802.3，802.3/802.2LLC，802.3/802.2SNAP等封裝格式。IEEE802.1v作為對(duì)802.1Q的一個(gè)補(bǔ)充，初步完成了基于端口和協(xié)議的VLAN(port-and-protocol-basedVLAN)的標(biāo)準(zhǔn)草案。目前我司的實(shí)現(xiàn)基本遵循8021.v標(biāo)準(zhǔn)，并順帶對(duì)IP協(xié)議族實(shí)現(xiàn)了基于子網(wǎng)的VLAN。協(xié)議VLAN原理用戶配置協(xié)議VLAN，并指定歸入本VLAN的報(bào)文的“協(xié)議模板”；設(shè)備上可配置一個(gè)端口屬于一個(gè)或多個(gè)協(xié)議VLAN和普通VLAN?！皡f(xié)議模板”由“封裝格式”+“協(xié)議類型”確定，一個(gè)協(xié)議VLAN可由一個(gè)協(xié)議模板定義。設(shè)備端口接收到untag報(bào)文，先識(shí)別報(bào)文的“協(xié)議模板”，接著確定報(bào)文所屬VLAN：如果端口根本沒有配置屬于某個(gè)協(xié)議VLAN，則給報(bào)文打端口PVID的tag。如果端口配置了屬于某些協(xié)議VLAN，且報(bào)文的“協(xié)議模板”匹配其中某個(gè)協(xié)議VLAN，則給報(bào)文打上該協(xié)議VLAN的tag。如果端口配置了屬于某些協(xié)議VLAN，但報(bào)文的“協(xié)議模板”和所有協(xié)議VLAN不匹配，則給報(bào)文打端口PVID的tag。設(shè)備端口接收到tag報(bào)文，處理方式和基于端口的VLAN一樣：端口允許該tag標(biāo)識(shí)的VLAN通過則作正常轉(zhuǎn)發(fā)處理；不允許則丟棄報(bào)文。協(xié)議VLAN－－以太網(wǎng)報(bào)文封裝格式Type(2)DA&SA(12)DATALength(2)DA&SA(12)DATAEthernetII封裝802.3raw封裝Type取值: 0x06000xFFFFLength取值: 0x00000x05DC目前只有IPX支持802.3raw封裝，以Length緊跟0xFFFF標(biāo)識(shí)。IEEE802.3最初不支持type封裝，但type封裝使用極為廣泛，在1997年后，IEEE802.3接納了Type封裝。所以EthernetII封裝在有些場(chǎng)合被成為802.3type封裝。協(xié)議VLAN－－以太網(wǎng)報(bào)文封裝格式DSAP(1)SSAP(1)Control(1)DA&SA(12)Length(2)DATAOUI(3)PID(2)0xAA0xAA0x03DA&SA(12)Length(2)DATA00-00-00Type(2)0xAA0xAA0x03DA&SA(12)Length(2)DATA802.3/802.2LLC802.3/802.2SNAP802.3/802.2SNAPRFC1042封裝LLC中的DSAP和SSAP標(biāo)識(shí)的是上層（鏈路層或網(wǎng)絡(luò)層）協(xié)議，比如NetBios為0xF0，IPX為0xE0。SNAP封裝中，OUI（Organizationally-UniqueIdentifier）代表機(jī)構(gòu)名稱，PID是OUI代表的機(jī)構(gòu)分配的私有協(xié)議號(hào)，指明了報(bào)文的上層協(xié)議。如蘋果公司的OUI為08-00-07，其AppleTalk協(xié)議的PID為0x809B。SNAP封裝中OUI為00-00-00時(shí)，PID有特殊意義：PID字段有和EthernetII封裝的type類型同樣的意義，即PID被解釋為全局唯一的協(xié)議號(hào)，而不是某組織分配的私有協(xié)議號(hào)。這就是RFC1042封裝。協(xié)議VLAN－－協(xié)議模板常用的協(xié)議類型IP、IPX、AppleTalk在設(shè)備命令行中一般都有定義。IP：支持兩種封裝支持EthernetII和SNAP（RFC1042），Type均為0x0800ARP/RARP需要特殊處理，Type為0x0806IPX：支持所有4種封裝EthernetII和SNAP（RFC1042）：type為0x8137802.3raw封裝：特征為L(zhǎng)ength后緊跟0XFFFF802.3/802.2LLC：DSAP/SSAP=0xE0AppleTalk：支持兩種封裝EthernetII和SNAP（RFC1042）：Type均為0x809B協(xié)議VLAN－－自定義協(xié)議模板自定義協(xié)議模板，即定義“封裝格式”+“協(xié)議類型”EthernetII封裝格式+Type字段。LLC封裝格式+DSAP/SSAP。SNAP(RFC1042)封裝格式+Type字段。舉例定義NetBios協(xié)議VLAN，其協(xié)議模板可以這樣定義：使用802.3/802.2LLC封裝，DSAP/SSAP均為0xF0。協(xié)議VLAN的一些原則同一個(gè)協(xié)議VLAN下不能配置相同的“協(xié)議模板”無意義的重復(fù)不同協(xié)議VLAN可配置相同的“協(xié)議模板”匹配相同“協(xié)議模板”的報(bào)文可以分屬不同的協(xié)議VLAN，入端口不同就可以區(qū)分開。不同協(xié)議VLAN配置相同的“協(xié)議模板”，不能下發(fā)到同一個(gè)端口很自然的原則，否則overlap時(shí)，報(bào)文匹配相同的“協(xié)議模板”，到底歸入哪個(gè)VLAN？只有Hybrid端口支持協(xié)議VLAN。協(xié)議VLAN只處理untag報(bào)文，這樣Trunk端口支持協(xié)議VLAN沒有意義；Access端口只屬于一個(gè)VLAN，支持協(xié)議VLAN也沒有意義。議題VLAN基礎(chǔ)知識(shí)VLAN劃分方式及應(yīng)用VLAN動(dòng)態(tài)配置技術(shù)VLAN應(yīng)用技術(shù)VLAN動(dòng)態(tài)配置技術(shù)VLAN動(dòng)態(tài)配置技術(shù)在用戶接入的VLAN有不確定性和時(shí)效性時(shí)尤其有用：如圖，LSW5連接一個(gè)開放性區(qū)域，PC用戶上線時(shí)通過8021x自動(dòng)配置到不同的VLAN，從而連入不同的用戶組。用戶下線則在LSW5上刪除對(duì)應(yīng)的VLAN。如果使用靜態(tài)配置，考慮到STP可能的切換，則必須在LSW2/3/4上配置所有可能用到的VLAN。在LSW5上不接入該VLAN的用戶時(shí)無謂的擴(kuò)大了廣播域。使用動(dòng)態(tài)VLAN配置技術(shù)可以只在LSW5上有該VLAN的用戶時(shí)，自動(dòng)在LSW2/3/4上配置該VLAN，用戶下線則自動(dòng)刪除。LSW1LSW5group1PCLSW2LSW4VLAN10LSW3VLAN20group2PCVLAN動(dòng)態(tài)配置技術(shù)動(dòng)態(tài)VLAN配置技術(shù)，簡(jiǎn)化了VLAN配置管理，減少了因?yàn)榕渲貌灰恢露鴮?dǎo)致的網(wǎng)絡(luò)互通問題。動(dòng)態(tài)VLAN能智能的根據(jù)用戶需要，在一定網(wǎng)絡(luò)范圍內(nèi)，動(dòng)態(tài)配置VLAN并把相關(guān)端口加入動(dòng)態(tài)VLAN中。保證VLAN在該網(wǎng)絡(luò)范圍內(nèi)的聯(lián)通性。目前有兩種動(dòng)態(tài)VLAN配置技術(shù)：GVRP：GARPVLANRegisterProtocol，是GARP協(xié)議的一個(gè)應(yīng)用，在IEEE802.1Q中定義。VTP：VLANTrunkProtocol，CISCO的私有協(xié)議。議題VLAN基礎(chǔ)知識(shí)VLAN劃分方式及應(yīng)用VLAN動(dòng)態(tài)配置技術(shù)VLAN應(yīng)用技術(shù)VLAN應(yīng)用技術(shù)Isolated-userVLAN

SuperVLAN端口隔離QinQ（VMAN）組播VLAN其他討論Isolated-UserVLAN商業(yè)以太網(wǎng)接入的快速發(fā)展對(duì)傳統(tǒng)VLAN網(wǎng)絡(luò)提出了挑戰(zhàn)，從安全性考慮出發(fā)，運(yùn)營(yíng)商一般要求接入用戶互相隔離。VLAN是天然的隔離手段，很自然的一個(gè)想法是每個(gè)用戶一個(gè)VLAN。但是，對(duì)于運(yùn)營(yíng)商來說，4094個(gè)VLAN遠(yuǎn)遠(yuǎn)不夠。而且VLAN是需要三層終結(jié)的，為每個(gè)只包含一個(gè)用戶的VLAN進(jìn)行三層終結(jié)？Impossible！Isolated-UserVLAN（CISCO稱PVLAN－－PrivateVLAN）技術(shù)首先被用來應(yīng)對(duì)這個(gè)問題。Isolated-UserVLANIsolated-UserVLAN把多個(gè)SecondaryVLAN映射到一個(gè)PrimaryVLAN。SecondaryVLAN用于連接接入用戶，SecondaryVLAN之間互相隔離。PrimaryVLAN用于上行，上行連接的設(shè)備只知道PrimaryVLAN。理論上每個(gè)PrimaryVLAN可以包含4094個(gè)SecondaryVLAN，所以相當(dāng)于提供了4094×4094個(gè)VLAN。V10V2V5V8LSW1LSW2LSW2上啟動(dòng)Isolated-userVLAN功能SecondaryVLAN:VLAN2、5、8PrimaryVLAN:VLAN10VLAN2、5、8映射到VLAN10VLAN2、5、8對(duì)LSW1不可見Isolated-UserVLAN實(shí)現(xiàn)原理V10V2V5V8LSW1LSW2P2P1P3P4LSW2上啟動(dòng)Isolated-UserVLAN功能SecondaryVLAN:VLAN2、5、8PrimaryVLAN:VLAN10VLAN2、5、8映射到VLAN10我司使用端口的Hybrid屬性實(shí)現(xiàn)Isolated-UserVLAN功能。配置了secondayVLAN到PrimaryVLAN的映射后，圖中：P1：hybrid端口；PVID，10；屬于VLAN10、2、5、8，均為untag。P2：hybrid端口；PVID，2；屬于VLAN10、2，均為untag。P3、P4和P2類似。Isolated-UserVLAN用戶訪問外部網(wǎng)絡(luò)PC/240-0-2LSW1LSW2P2：2、10P1：10、2、5、8網(wǎng)關(guān)：/24，0-0-1OUT:IN:LSW2的MAC表：0-0-2VLAN2P20-0-2VLAN10P20-0-1VLAN10P10-0-1VLAN2P1PC1發(fā)送ARP請(qǐng)求網(wǎng)關(guān)MAC到達(dá)P2，P2的PVID為2，ARP報(bào)文在VLAN2內(nèi)轉(zhuǎn)發(fā)，因?yàn)镻1也在VLAN2內(nèi)，網(wǎng)關(guān)能收到這個(gè)ARP報(bào)文。（注意PC的MAC同時(shí)學(xué)習(xí)到PrimaryVLAN）網(wǎng)關(guān)給PC回應(yīng)ARP報(bào)文（單播），到達(dá)P1，P1的PVID為10，所以報(bào)文在VLAN10內(nèi)轉(zhuǎn)發(fā)。P2同時(shí)在VLAN10中，因?yàn)閂LAN10中的MAC和VLAN2中進(jìn)行了同步，所以報(bào)文從P2中發(fā)到PC。PC學(xué)到了網(wǎng)關(guān)MAC后，后續(xù)的訪問外部網(wǎng)絡(luò)的流量在網(wǎng)關(guān)和PC之間轉(zhuǎn)發(fā)：出報(bào)文在SecondaryVLAN中轉(zhuǎn)發(fā)；入報(bào)文在PrimaryVLAN中轉(zhuǎn)發(fā)。Isolated-UserVLAN用戶間互訪要求LSW1啟動(dòng)ARPProxy功能。ARP轉(zhuǎn)發(fā)流程和MAC學(xué)習(xí)跟前面講的類似。網(wǎng)關(guān)收到請(qǐng)求的ARP時(shí)，會(huì)發(fā)送一個(gè)請(qǐng)求的ARP。收到ARP請(qǐng)求后把自己的MAC：0-0-3回給網(wǎng)關(guān)。網(wǎng)關(guān)欺騙說的MAC為自己的MAC：0-0-1。后續(xù)訪問的流量都經(jīng)過網(wǎng)關(guān)作三層轉(zhuǎn)發(fā)。訪問類似。V2/240-0-2LSW1LSW2P2：2、10P1：10、2、5、8網(wǎng)關(guān)：/24，0-0-1V5/240-0-3P3：5、10Isolated-UserVLAN的局限性按前面提到的使用端口Hybrid屬性實(shí)現(xiàn)Isolated-userVLAN，則不能tag上行。這一局限大大限制了Isolated-UserVLAN的使用，組網(wǎng)不夠靈活。SecondaryVLAN之間的互通需要使用ARPProxy，較大的增加了三層設(shè)備的負(fù)擔(dān)。在監(jiān)控中的應(yīng)用NVR雙IP組網(wǎng)：—Isolate-user-VLAN在交換機(jī)上可以使用Isolate-User-VLAN來解決安全問題。將NVR直連接口加入到Isolate-user-VLAN，將其內(nèi)網(wǎng)口和外網(wǎng)口加入到不同的SecondaryVLAN中#配置VLAN5為Isolate-user-VLAN。[DeviceB]vlan5[DeviceB-vlan5]isolate-user-vlanenable#創(chuàng)建SecondaryVLAN23。[DeviceB]vlan2to3#配置Isolate-user-VLAN和SecondaryVLAN間的映射關(guān)系。[DeviceB]isolate-user-vlan5secondary2to3#配置NVR連接口GigabitEthernet1/0/5在VLAN5中工作在promiscuous模式。[DeviceB]interfacegigabitethernet1/0/5[DeviceB-GigabitEthernet1/0/5]portisolate-user-vlan5promiscuous#將外網(wǎng)口添加到VLAN3，并配置它們工作在host模式。[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]portaccessvlan3[DeviceB-GigabitEthernet1/0/1]portisolate-user-vlanhost#將所有的內(nèi)網(wǎng)口添加到VLAN2，并配置它們工作在host模式。[DeviceB]interfacegigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]portaccessvlan2[DeviceB-GigabitEthernet1/0/2]portisolate-user-vlanhost外網(wǎng)內(nèi)網(wǎng)IP1IP2IPC1NVRXP1IPC2XP2網(wǎng)口1網(wǎng)口2注：交換機(jī)需要支持Isolate-User-VLAN，對(duì)交換機(jī)型號(hào)有一定的要求，推薦交換機(jī)類型：H3C：S5500，價(jià)格較高VLAN應(yīng)用技術(shù)Isolate-userVLANSuperVLAN端口隔離QinQ（VMAN）組播VLAN其他討論SuperVLANSuperVLAN由RFC3069定義，SuperVLAN也稱為VLAN聚合技術(shù)。SuperVLAN技術(shù)的主要目的是為了節(jié)省IP地址，并提高編址靈活性：VLAN需要三層終結(jié)，傳統(tǒng)的VLAN技術(shù)采用一個(gè)VLAN一個(gè)三層接口終結(jié)的方式。網(wǎng)絡(luò)內(nèi)子網(wǎng)號(hào)和子網(wǎng)廣播地址不能使用，VLAN三層接口子網(wǎng)劃分過細(xì)會(huì)浪費(fèi)大量地址。傳統(tǒng)VLAN三層終結(jié)方式，導(dǎo)致編址缺乏靈活性，網(wǎng)絡(luò)升級(jí)麻煩。SuperVLANSuperVLAN引入super-VLAN和sub-VLAN的概念。一個(gè)super-VLAN可以包含一個(gè)或多個(gè)sub-VLAN。sub-VLAN沒有單獨(dú)的子網(wǎng)網(wǎng)段，共用super-VLAN的網(wǎng)段。不同sub-VLAN屬于不同的廣播域，實(shí)現(xiàn)廣播隔離。同一個(gè)super-VLAN中，無論主機(jī)屬于哪一個(gè)sub-VLAN，其IP地址都在super-VLAN對(duì)應(yīng)的子網(wǎng)網(wǎng)段內(nèi)。SuperVLAN實(shí)現(xiàn)傳統(tǒng)配置了三層接口的VLAN，包含若干物理端口，并綁定路由域ID、IP地址、對(duì)應(yīng)的MAC地址。super-VLAN和傳統(tǒng)VLAN的區(qū)別是不包含物理端口，使用Sub-VLAN的端口。sub-VLAN和傳統(tǒng)VLAN的唯一區(qū)別是沒有綁定IP地址，共同使用super-VLAN的IP地址。VLAN2VLAN22VLAN21sub-VLAN用戶訪問外部網(wǎng)絡(luò)和互訪host1LSW1VLAN2：super-VLAN，作為host1、2的網(wǎng)關(guān)VLAN21、22：sub-VLAN，隸屬于VLAN2VLAN3：正常VLAN，上行VLAN3host2出方向：收到host1發(fā)送的請(qǐng)求網(wǎng)關(guān)MAC的ARP時(shí)，回應(yīng)的MAC？回應(yīng)sub-VLAN對(duì)應(yīng)的MAC或super-VLAN對(duì)應(yīng)的MAC均可，只要和設(shè)備收到報(bào)文，作轉(zhuǎn)發(fā)決策對(duì)目的MAC進(jìn)行檢查時(shí)使用的MAC一致即可。入方向：回到host1的報(bào)文在VLAN2所在的路由域轉(zhuǎn)發(fā)？VLAN2沒有端口！上層軟件在構(gòu)建host1的ARP表項(xiàng)時(shí)，根據(jù)映射關(guān)系，出接口對(duì)應(yīng)到sub-VLAN21，在VLAN21內(nèi)轉(zhuǎn)發(fā)。sub-VLAN用戶之間的訪問需要使用ARPProxy。internetSuperVLAN的局限性各sub-VLAN內(nèi)主機(jī)地址可以隨意分配，這會(huì)導(dǎo)致管理混亂，有一定安全隱患，同時(shí)也導(dǎo)致實(shí)施sub-VLAN間的訪問策略困難。對(duì)于安全上的考慮，RFC建議盡量給sub-VLAN分配固定范圍的地址，如果在某個(gè)sub-VLAN上收到源IP非本sub-VLAN內(nèi)地址的IP或ARP報(bào)文應(yīng)該丟棄，并產(chǎn)生log信息。VLAN應(yīng)用技術(shù)Isolate-userVLANSuperVLAN端口隔離QinQ（VMAN）組播VLAN其他討論反思…….為了實(shí)現(xiàn)用戶隔離而采用一個(gè)用戶一個(gè)VLAN的策略，結(jié)果導(dǎo)致VLAN不夠，所以才有了Isolated-UserVLAN。隔離用戶非得采用一個(gè)用戶一個(gè)VLAN？SuperVLAN的提出是因?yàn)椋簽榱讼拗茝V播域，不得不劃分VLAN，VLAN劃分過細(xì)會(huì)導(dǎo)致IP地址浪費(fèi)。能否不劃分VLAN也能限制廣播域？端口隔離配置為隔離端口的端口之間廣播、組播和單播報(bào)文都不能互通。隔離組中的端口可以屬于不同VLAN。端口隔離提供了較好的安全性，同時(shí)節(jié)省了VLAN資源端口隔離是否能解決上頁(yè)提到的問題？端口隔離沒有什么原理，通過硬件芯片進(jìn)行限制。隔離端口，CISCO中稱為ProtectedPort。端口隔離優(yōu)缺點(diǎn)優(yōu)點(diǎn)為以太網(wǎng)接入提供了一種額外的低成本安全解決方案。一些原來需要使用Isolated-UserVLAN和SuperVLAN的地方也可以使用端口隔離。端口隔離功能由芯片直接提供，實(shí)現(xiàn)簡(jiǎn)潔，穩(wěn)定性、安全性較好。缺點(diǎn)功能過于簡(jiǎn)單，難以提供端口間靈活的互訪策略。芯片能提供的端口隔離組一般都有限。監(jiān)控應(yīng)用：NVR雙IP組網(wǎng)—端口隔離可以在交換機(jī)上使用端口隔離來解決安全隔離問題。交換機(jī)上所有內(nèi)網(wǎng)接口禁止與外網(wǎng)口通信，外網(wǎng)口僅可以與NVR的接口通信，NVR的接口可以與所有的網(wǎng)口通信。推薦交換機(jī)：TP-LINKTL-SF1008L8口樓道交換機(jī)（參考價(jià)225元）

/197287.htmlTP-LINKTL-SF1016L16口樓道交換機(jī)（參考價(jià)389元）

/252688.htmlTP-LINKTL-SF1024L24口樓道交換機(jī)（參考價(jià)589元）

/197288.html配置手冊(cè)：/download/2012920171258.pdf

（page18～page19——編輯端口）

外網(wǎng)內(nèi)網(wǎng)IP1IP2IPC1NVRXP1IPC2XP2網(wǎng)口1網(wǎng)口2VLAN應(yīng)用技術(shù)Isolate-userVLANSuperVLAN端口隔離QinQ（VMAN）組播VLAN其他討論QinQQinQ可以簡(jiǎn)單認(rèn)為是報(bào)文攜帶了兩層8021Qtag。QinQ技術(shù)的出現(xiàn)讓運(yùn)營(yíng)商可以以較低成本為客戶提供二層VPN。QinQ完全在運(yùn)營(yíng)商網(wǎng)絡(luò)上實(shí)施，用戶對(duì)QinQ不感知。在運(yùn)營(yíng)上網(wǎng)絡(luò)中的報(bào)文，內(nèi)層tag為客戶私有VLAN標(biāo)識(shí)，外層tag為運(yùn)營(yíng)商分配給客戶的VLAN?？蛻艨梢元?dú)立規(guī)劃自己的VLANID，運(yùn)營(yíng)商網(wǎng)絡(luò)的變化不影響客戶網(wǎng)絡(luò)。QinQ不需要單獨(dú)的信令協(xié)議，只需要靜態(tài)配置，簡(jiǎn)潔穩(wěn)定。當(dāng)然，還有：節(jié)省VLAN資源！QinQ應(yīng)用示意圖客戶A，LAN1-100客戶A，LAN1-100客戶B，LAN1-200客戶B，LAN1-200Trunk端口運(yùn)營(yíng)商網(wǎng)絡(luò)VLAN30VLAN30VLAN20VLAN20VLAN20：Tunnel端口，打上或剝掉外層標(biāo)簽VLAN20：Trunk端口，客戶側(cè)單tag，運(yùn)營(yíng)商側(cè)雙tag20headerdatauservlanheaderdatauservlanheaderdatauservlanQinQ報(bào)文結(jié)構(gòu)我司和CISCO，內(nèi)外層標(biāo)簽的Etype相同都是0x8100Foundry和Extreme，外層標(biāo)簽的Etype為0x9100。(最新版本可能有變化)。QinQ原理先介紹tunnel端口：配置了支持QinQ的端口，tunnel端口被配置為屬于運(yùn)營(yíng)商分配給客戶的VLAN，tunnel端口只在運(yùn)營(yíng)商設(shè)備上配置。上圖中客戶A被分配了VLAN20，所有和客戶A相連的tunnel端口，在運(yùn)營(yíng)商網(wǎng)絡(luò)中屬于VLAN20A客戶數(shù)據(jù)（已經(jīng)有一層客戶VLAN標(biāo)簽）到達(dá)tunnel端口，會(huì)再添加一層標(biāo)簽，VLANID為20，在運(yùn)營(yíng)上網(wǎng)絡(luò)中，帶著tag在VLAN20中按正常二層轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)。A客戶數(shù)據(jù)離開tunnel端口，外層標(biāo)簽會(huì)被剝掉，剩下內(nèi)層客戶VLAN標(biāo)簽，到達(dá)客戶側(cè)交換機(jī)按正常的tag報(bào)文在客戶網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。MAC學(xué)習(xí)：客戶數(shù)據(jù)到達(dá)tunnel端口，其MAC學(xué)習(xí)在運(yùn)營(yíng)商分配給客戶的VLAN中（A客戶的數(shù)據(jù)MAC學(xué)習(xí)在VLAN20）；數(shù)據(jù)到達(dá)客戶側(cè)，MAC學(xué)習(xí)在內(nèi)層客戶VLAN標(biāo)簽標(biāo)注的VLAN中QinQ功能對(duì)客戶側(cè)交換機(jī)不可見，運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)客戶透明。QinQ應(yīng)用注意事項(xiàng)必須保證報(bào)文在運(yùn)營(yíng)商分配給客戶的VLAN中以Tag轉(zhuǎn)發(fā)，即確?？蛻羲淼涝谶\(yùn)營(yíng)上網(wǎng)絡(luò)中一致、貫通?？蛻魝?cè)PVID所在VLAN的處理

如果PVID所在VLAN報(bào)文不帶tag，必須保證客戶所有和運(yùn)營(yíng)商網(wǎng)絡(luò)相連的端口的PVID一致。讓PVID所在VLAN也帶tag，CISCO有相關(guān)命令，我司沒有，只能用hybrid端口實(shí)現(xiàn)。QinQ應(yīng)用中的挑戰(zhàn)客戶側(cè)帶8021Qtag的報(bào)文攜帶了8021p優(yōu)先級(jí)，TunnelPort打上外層標(biāo)簽后，外層標(biāo)簽以后的報(bào)文內(nèi)容是不可識(shí)別的，這會(huì)導(dǎo)致客戶優(yōu)先級(jí)丟失。解決辦法之一是在打外層標(biāo)簽時(shí)把內(nèi)層標(biāo)簽的8021p優(yōu)先級(jí)拷貝到外層標(biāo)簽還有一個(gè)問題，運(yùn)營(yíng)商期望能根據(jù)客戶繳納的費(fèi)用的不同，分配給客戶不同的優(yōu)先級(jí)，而客戶內(nèi)部又可能有不同優(yōu)先級(jí)，這個(gè)矛盾如何解決？QinQ應(yīng)用中的挑戰(zhàn)QinQ網(wǎng)絡(luò)中，運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)客戶透明，當(dāng)客戶和運(yùn)營(yíng)商網(wǎng)絡(luò)之間的連接有冗余時(shí)必然導(dǎo)致環(huán)路問題。（QinQ應(yīng)用示意圖中的A客戶。）這一挑戰(zhàn)要求運(yùn)營(yíng)商網(wǎng)絡(luò)能透明傳輸STP/RSTP/MSTP報(bào)文，這樣客戶可以跨運(yùn)營(yíng)商網(wǎng)絡(luò)構(gòu)建自己的STP樹，切斷冗余鏈路。為了保證客戶全網(wǎng)VLAN配置的一致性，動(dòng)態(tài)VLAN協(xié)議如GVRP、VTP等也要求通過運(yùn)營(yíng)商網(wǎng)絡(luò)透?jìng)鳌Ｈ绻蛻羰褂肎MRP作組播應(yīng)用的話，GMRP報(bào)文也要求透?jìng)鳌inQ的局限性QinQ報(bào)文中，三層以上的字段無法識(shí)別，導(dǎo)致了不少局限性，如對(duì)QinQ報(bào)文只能根據(jù)MAC進(jìn)行過濾。VLAN應(yīng)用技術(shù)Isolate-userVLANSuperVLAN端口隔離QinQ（VMAN）組播VLAN其他討論組播