华三交换vlan篇

5324jj

一、Isolate-user-vlan技术介绍随着互联网技术的快速发展，很多运营商采用lan接入小区宽带。基于用户安全和管理计费等方面考虑，运营商一般要求介入用户相互隔离。vlan是天然的隔离手段，于是很自然的一个想法是每个用户一个vlan。但是根据IEEE802.1Q协议规定，设备最大可使用的vlan资源为4094个，对于运营商的设备来说，如果每个用户一个vlan，4094个vlan远远不够，而且为每个只包含一个用户的vlan配置三层接口，将耗费大量的ip地址和部署成本。
    Isolate-user-vlan技术的产生背景：运营商小区宽带接入典型组网，采用LAN方式接入的小区宽带用户的主要应用是上互联网，用户之间相互隔离，每个用户一个vlan，用户数量远远大于4094个vlan，vlan数量限制了更多的接入需求，vlan ID主要消耗在接入层，对于运营商来说，如果既能够保证接入层用户之间相互隔离，又能将接入层的vlan ID屏蔽掉，只可见汇聚层的vlan ID，这样4094个vlan ID够用的。

    Isolate-user-vlan采用二层vlan结构它在同一台设备上配置Isolate-user-vlan和Secondary vlan 两类vlan，其功能如下
    （1）Isolate-user-vlan用于上行连接，不同的Secondary vlan关联到同一个Isolate-user-vlan。上行连接的设备只知道Isolate-user-vlan，而不必关心Secondary vlan ，简化了网络配置，节省了vlan资源。
    （2）Secondary vlan用于连接用户，Secondary vlan之间二层帧互相隔离。如果希望实现同一 Isolate-user-vlan下Secondary vlan用户之间的互通，可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。
    （3）一个Isolate-user-vlan可以和多个Secondary vlan相对应，理论上每个Isolate-user-vlan可以包含4094个Secondary vlan，所以相当于提供了4094*4094个vlan，Isolate-user-vlan下面的Secondary vlan对上行设备不可见。
    Isolate-user-vlan的功能是利用Hybrid类型端口的灵活性以及vlan间的MAC地址同步技术来实现的。
    Hybrid端口在转发数据时，可以按照需要进行多个vlan数据流量的发送和接收，可以根据需要决定发送数据帧时是否携带802.1Q标签。

    每次上行和下行的报文都需要广播才能到达目的地，当Secondary vlan和Isolate-user-vlan包含的端口较多时，这样的处理方式会占用大量的带宽资源，大大降低了交换机的转发性能，而且不安全，通过MAC地址同步机制可以解决这个问题。
    Isolate-user-vlan发MAC地址同步机制有如下两种。
    （1）Secondary vlan到Isolate-user-vlan的同步，即下行端口在Secondary vlan内学习到的MAC地址都同步到Isolate-user-vlan内，而出端口保持不变。
    （2）Isolate-user-vlan到Secondary vlan的同步，即上行端口在Isolate-user-vlan学习到的MAC地址同步到所有的Secondary vlan内，而出端口保持不变。
    同时考虑到用户的行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播。

    二、Isolate-user-vlan技术配置
    1、实验目的：SW1可以和PC1、PC2互通，PC1与PC2不能互通。

    2、使用模拟器版本：LITO1.4.4

    3、使用的ip地址范围是192.168.1.0/24

    4、使用设备两个交换机、两台主机

    拓扑图

   
    主机ip地址配置（注意：这里需要指明网关）

   
    SW1配置

   
    SW2配置

   
    验证结果
    PC1、PC2能够ping通SW1，并且不能互相ping通

   
    如果有需要两台主机互通，可以在SW1上开启本地代理ARP

   
    （注意：在虚拟接口下开启本地ARP代理）

    验证PC1能与PC2ping通

   

CISCO

感谢分享

王杰的Linux

TXisfine

学习了！