Isolate-user-vlan技術的原理及配置
一、Isolate-user-vlan技術介紹
隨着互聯網技術的快速發展,很多運營商採用lan接入小區寬帶。基於用戶安全和管理計費等方面考慮,運營商一般要求介入用戶相互隔離。vlan是天然的隔離手段,於是很自然的一個想法是每個用戶一個vlan。但是根據IEEE802.1Q協議規定,設備最大可使用的vlan資源爲4094個,對於運營商的設備來說,如果每個用戶一個vlan,4094個vlan遠遠不夠,而且爲每個只包含一個用戶的vlan配置三層接口,將耗費大量的ip地址和部署成本。
Isolate-user-vlan技術的產生背景:運營商小區寬帶接入典型組網,採用LAN方式接入的小區寬帶用戶的主要應用是上互聯網,用戶之間相互隔離,每個用戶一個vlan,用戶數量遠遠大於4094個vlan,vlan數量限制了更多的接入需求,vlan ID主要消耗在接入層,對於運營商來說,如果既能夠保證接入層用戶之間相互隔離,又能將接入層的vlan ID屏蔽掉,只可見匯聚層的vlan ID,這樣4094個vlan ID夠用的。
Isolate-user-vlan採用二層vlan結構它在同一臺設備上配置Isolate-user-vlan和Secondary vlan 兩類vlan,其功能如下
(1)Isolate-user-vlan用於上行連接,不同的Secondary vlan關聯到同一個Isolate-user-vlan。上行連接的設備只知道Isolate-user-vlan,而不必關心Secondary vlan ,簡化了網絡配置,節省了vlan資源。
(2)Secondary vlan用於連接用戶,Secondary vlan之間二層幀互相隔離。如果希望實現同一 Isolate-user-vlan下Secondary vlan用戶之間的互通,可以通過配置上行設備的本地代理ARP功能來實現三層報文的互通。
(3)一個Isolate-user-vlan可以和多個Secondary vlan相對應,理論上每個Isolate-user-vlan可以包含4094個Secondary vlan,所以相當於提供了4094*4094個vlan,Isolate-user-vlan下面的Secondary vlan對上行設備不可見。
Isolate-user-vlan的功能是利用Hybrid類型端口的靈活性以及vlan間的MAC地址同步技術來實現的。
Hybrid端口在轉發數據時,可以按照需要進行多個vlan數據流量的發送和接收,可以根據需要決定發送數據幀時是否攜帶802.1Q標籤。
每次上行和下行的報文都需要廣播才能到達目的地,當Secondary vlan和Isolate-user-vlan包含的端口較多時,這樣的處理方式會佔用大量的帶寬資源,大大降低了交換機的轉發性能,而且不安全,通過MAC地址同步機制可以解決這個問題。
Isolate-user-vlan發MAC地址同步機制有如下兩種。
(1)Secondary vlan到Isolate-user-vlan的同步,即下行端口在Secondary vlan內學習到的MAC地址都同步到Isolate-user-vlan內,而出端口保持不變。
(2)Isolate-user-vlan到Secondary vlan的同步,即上行端口在Isolate-user-vlan學習到的MAC地址同步到所有的Secondary vlan內,而出端口保持不變。
同時考慮到用戶的行流量要遠遠大於上行流量,下行流量需要進行單播,上行流量可以進行廣播。
二、Isolate-user-vlan技術配置
1、實驗目的:SW1可以和PC1、PC2互通,PC1與PC2不能互通。
2、使用模擬器版本:LITO1.4.4
3、使用的ip地址範圍是192.168.1.0/24
4、使用設備兩個交換機、兩臺主機
拓撲圖
主機ip地址配置(注意:這裏需要指明網關)
SW1配置
SW2配置
驗證結果
PC1、PC2能夠ping通SW1,並且不能互相ping通
如果有需要兩臺主機互通,可以在SW1上開啓本地代理ARP
(注意:在虛擬接口下開啓本地ARP代理)
驗證PC1能與PC2ping通
