Isolate-user-vlan技術的原理及配置安全
1、Isolate-user-vlan技術介紹網絡
隨着互聯網技術的快速發展,不少運營商採用lan接入小區寬帶。基於用戶安全和管理計費等方面考慮,運營商通常要求介入用戶相互隔離。vlan是自然的隔離手段,因而很天然的一個想法是每一個用戶一個vlan。可是根據IEEE802.1Q協議規定,設備最大可以使用的vlan資源爲4094個,對於運營商的設備來講,若是每一個用戶一個vlan,4094個vlan遠遠不夠,並且爲每一個只包含一個用戶的vlan配置三層接口,將耗費大量的ip地址和部署成本。
ide
Isolate-user-vlan技術的產生背景:運營商小區寬帶接入典型組網,採用LAN方式接入的小區寬帶用戶的主要應用是上互聯網,用戶之間相互隔離,每一個用戶一個vlan,用戶數量遠遠大於4094個vlan,vlan數量限制了更多的接入需求,vlan ID主要消耗在接入層,對於運營商來講,若是既可以保證接入層用戶之間相互隔離,又能將接入層的vlan ID屏蔽掉,只可見匯聚層的vlan ID,這樣4094個vlan ID夠用的。
性能
Isolate-user-vlan採用二層vlan結構它在同一臺設備上配置Isolate-user-vlan和Secondary vlan 兩類vlan,其功能以下學習
(1)Isolate-user-vlan用於上行鏈接,不一樣的Secondary vlan關聯到同一個Isolate-user-vlan。上行鏈接的設備只知道Isolate-user-vlan,而沒必要關心Secondary vlan ,簡化了網絡配置,節省了vlan資源。spa
(2)Secondary vlan用於鏈接用戶,Secondary vlan之間二層幀互相隔離。若是但願實現同一 Isolate-user-vlan下Secondary vlan用戶之間的互通,能夠經過配置上行設備的本地代理ARP功能來實現三層報文的互通。代理
(3)一個Isolate-user-vlan能夠和多個Secondary vlan相對應,理論上每一個Isolate-user-vlan能夠包含4094個Secondary vlan,因此至關於提供了4094*4094個vlan,Isolate-user-vlan下面的Secondary vlan對上行設備不可見。orm
Isolate-user-vlan的功能是利用Hybrid類型端口的靈活性以及vlan間的MAC地址同步技術來實現的。blog
Hybrid端口在轉發數據時,能夠按照須要進行多個vlan數據流量的發送和接收,能夠根據須要決定發送數據幀時是否攜帶802.1Q標籤。
接口
每次上行和下行的報文都須要廣播才能到達目的地,當Secondary vlan和Isolate-user-vlan包含的端口較多時,這樣的處理方式會佔用大量的帶寬資源,大大下降了交換機的轉發性能,並且不安全,經過MAC地址同步機制能夠解決這個問題。
Isolate-user-vlan發MAC地址同步機制有以下兩種。
(1)Secondary vlan到Isolate-user-vlan的同步,即下行端口在Secondary vlan內學習到的MAC地址都同步到Isolate-user-vlan內,而出端口保持不變。
(2)Isolate-user-vlan到Secondary vlan的同步,即上行端口在Isolate-user-vlan學習到的MAC地址同步到全部的Secondary vlan內,而出端口保持不變。
同時考慮到用戶的行流量要遠遠大於上行流量,下行流量須要進行單播,上行流量能夠進行廣播。
2、Isolate-user-vlan技術配置
一、實驗目的:SW1能夠和PC一、PC2互通,PC1與PC2不能互通。
二、使用模擬器版本:LITO1.4.4
三、使用的ip地址範圍是192.168.1.0/24
四、使用設備兩個交換機、兩臺主機
拓撲圖
主機ip地址配置(注意:這裏須要指明網關)
SW1配置
SW2配置
驗證結果
PC一、PC2可以ping通SW1,而且不能互相ping通
若是有須要兩臺主機互通,能夠在SW1上開啓本地代理ARP
(注意:在虛擬接口下開啓本地ARP代理)
驗證PC1能與PC2ping通