華三交換vlan篇

Isolate-user-vlan技術的原理及配置

    1、Isolate-user-vlan技術介紹

    隨着互聯網技術的快速發展，不少運營商採用lan接入小區寬帶。基於用戶安全和管理計費等方面考慮，運營商通常要求介入用戶相互隔離。vlan是自然的隔離手段，因而很天然的一個想法是每一個用戶一個vlan。可是根據IEEE802.1Q協議規定，設備最大可以使用的vlan資源爲4094個，對於運營商的設備來講，若是每一個用戶一個vlan，4094個vlan遠遠不夠，並且爲每一個只包含一個用戶的vlan配置三層接口，將耗費大量的ip地址和部署成本。

    Isolate-user-vlan技術的產生背景：運營商小區寬帶接入典型組網，採用LAN方式接入的小區寬帶用戶的主要應用是上互聯網，用戶之間相互隔離，每一個用戶一個vlan，用戶數量遠遠大於4094個vlan，vlan數量限制了更多的接入需求，vlan ID主要消耗在接入層，對於運營商來講，若是既可以保證接入層用戶之間相互隔離，又能將接入層的vlan ID屏蔽掉，只可見匯聚層的vlan ID，這樣4094個vlan ID夠用的。

    Isolate-user-vlan採用二層vlan結構它在同一臺設備上配置Isolate-user-vlan和Secondary vlan 兩類vlan，其功能以下

    （1）Isolate-user-vlan用於上行鏈接，不一樣的Secondary vlan關聯到同一個Isolate-user-vlan。上行鏈接的設備只知道Isolate-user-vlan，而沒必要關心Secondary vlan ，簡化了網絡配置，節省了vlan資源。

    （2）Secondary vlan用於鏈接用戶，Secondary vlan之間二層幀互相隔離。若是但願實現同一 Isolate-user-vlan下Secondary vlan用戶之間的互通，能夠經過配置上行設備的本地代理ARP功能來實現三層報文的互通。

    （3）一個Isolate-user-vlan能夠和多個Secondary vlan相對應，理論上每一個Isolate-user-vlan能夠包含4094個Secondary vlan，因此至關於提供了4094*4094個vlan，Isolate-user-vlan下面的Secondary vlan對上行設備不可見。

    Isolate-user-vlan的功能是利用Hybrid類型端口的靈活性以及vlan間的MAC地址同步技術來實現的。

    Hybrid端口在轉發數據時，能夠按照須要進行多個vlan數據流量的發送和接收，能夠根據須要決定發送數據幀時是否攜帶802.1Q標籤。

    每次上行和下行的報文都須要廣播才能到達目的地，當Secondary vlan和Isolate-user-vlan包含的端口較多時，這樣的處理方式會佔用大量的帶寬資源，大大下降了交換機的轉發性能，並且不安全，經過MAC地址同步機制能夠解決這個問題。

    Isolate-user-vlan發MAC地址同步機制有以下兩種。

    （1）Secondary vlan到Isolate-user-vlan的同步，即下行端口在Secondary vlan內學習到的MAC地址都同步到Isolate-user-vlan內，而出端口保持不變。

    （2）Isolate-user-vlan到Secondary vlan的同步，即上行端口在Isolate-user-vlan學習到的MAC地址同步到全部的Secondary vlan內，而出端口保持不變。

    同時考慮到用戶的行流量要遠遠大於上行流量，下行流量須要進行單播，上行流量能夠進行廣播。

    2、Isolate-user-vlan技術配置

    一、實驗目的：SW1能夠和PC一、PC2互通，PC1與PC2不能互通。

    二、使用模擬器版本：LITO1.4.4

    三、使用的ip地址範圍是192.168.1.0/24

    四、使用設備兩個交換機、兩臺主機

    拓撲圖

    

    主機ip地址配置（注意：這裏須要指明網關）

    

    SW1配置

    

    SW2配置

    

    驗證結果

    PC一、PC2可以ping通SW1，而且不能互相ping通

    

    若是有須要兩臺主機互通，能夠在SW1上開啓本地代理ARP

    

    （注意：在虛擬接口下開啓本地ARP代理）

    驗證PC1能與PC2ping通