局域網(wǎng)協(xié)議-Isolate-user-vlan技術(shù)白皮書-D_第1頁
局域網(wǎng)協(xié)議-Isolate-user-vlan技術(shù)白皮書-D_第2頁
局域網(wǎng)協(xié)議-Isolate-user-vlan技術(shù)白皮書-D_第3頁
局域網(wǎng)協(xié)議-Isolate-user-vlan技術(shù)白皮書-D_第4頁
局域網(wǎng)協(xié)議-Isolate-user-vlan技術(shù)白皮書-D_第5頁
已閱讀5頁,還剩7頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Isolate-user-vlan技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 10頁, 共10頁Isolate-user-vlan技術(shù)白皮書關(guān)鍵詞:Isolate-user-vlan,Secondary VLAN摘 要:Isolate-user-vlan采用二層VLAN結(jié)構(gòu):Isolate-user-vlan和Secondary VLAN。上行設(shè)備只識別Isolate-user-vlan,而不必關(guān)心Isolate-user-vlan中包含的Secondary VLAN, 從而節(jié)省了VLAN資源,簡化了網(wǎng)絡(luò)配置。本文介紹了Isolate-user-vlan的技術(shù)原理

2、以及組網(wǎng)應(yīng)用。縮略語:縮略語英文全名中文解釋VLANVirtual Local Area Network虛擬局域網(wǎng)ARPAddress Resolution Protocol地址解析協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)優(yōu)點及應(yīng)用場景 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 Isolate-user-vlan實

3、現(xiàn)機(jī)制 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 相關(guān)術(shù)語 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 Isolate-user-vlan技術(shù)原理 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 Isolate-user-vlan配置同步 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark4 Isolate-user-vlan的MAC地址同步 HYPERLINK l _bookmark4 7 HYPE

4、RLINK l _bookmark5 Isolate-user-vlan的報文轉(zhuǎn)發(fā) HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 應(yīng)用限制 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 組網(wǎng)圖 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 組網(wǎng)環(huán)境 HYPERLINK l _bookmark6 9概述產(chǎn)生背景在園區(qū)網(wǎng)中,基于用戶安全和管理

5、計費等方面的考慮,運(yùn)營商一般要求接入用戶互相二層隔離。VLAN是天然的隔離手段,于是很自然的想法是每個用戶一個VLAN。如圖 HYPERLINK l _bookmark0 1所示,Switch B和Switch C上分別接入三個用戶,如果給每個用戶劃分一個VLAN,則需要占用Device A上的六個VLAN資源。圖1 扁平的網(wǎng)絡(luò)組網(wǎng)圖根據(jù)IEEE 802.1Q協(xié)議規(guī)定,設(shè)備最大可使用VLAN資源為4094個。對于核心層設(shè)備來說,如果每個用戶一個VLAN,4094個VLAN遠(yuǎn)遠(yuǎn)不夠。為解決VLAN資源緊缺的問題,Isolate-user-vlan應(yīng)運(yùn)而生。支持Isolate-user-vlan功

6、能后,可以將 HYPERLINK l _bookmark0 圖1中的用戶所在的VLAN(VLAN 1015) 配置為Secondary VLAN ,將VLAN 2 和VLAN 3 配置為Isolate-user-vlan (如 HYPERLINK l _bookmark1 圖 HYPERLINK l _bookmark1 2)。這樣,Device A上只需配置VLAN 2和VLAN 3,節(jié)省了四個VLAN資源。圖2 Isolate-user-vlan功能示意圖技術(shù)優(yōu)點及應(yīng)用場景Isolate-user-vlan 采用分層結(jié)構(gòu): 上行的Isolate-user-vlan 和下行的Secondar

7、y VLAN。對上行設(shè)備來說只需識別Isolate-user-vlan,而不必關(guān)心Isolate-user-vlan 中的Secondary VLAN,從而節(jié)省了上行設(shè)備的VLAN資源。同時,將接入用戶劃入不同的Secondary VLAN,可以實現(xiàn)用戶之間二層報文的隔離。IIsolate-user-vlan主要應(yīng)用在在園區(qū)網(wǎng)或企業(yè)網(wǎng)接入中,實現(xiàn)二層報文隔離的同時節(jié)省VLAN資源。Isolate-user-vlan實現(xiàn)機(jī)制相關(guān)術(shù)語Isolate-user-vlan :上行設(shè)備感知的用戶 VLAN ,它并不是用戶的真正VLAN。Secondary VLAN:用戶真正屬于的 VLAN。上行端口:和

8、上行設(shè)備相連的端口,負(fù)責(zé)和上行設(shè)備通信。上行端口的缺省VLAN ID 必須配置為 isolate-user-vlan 的 VLAN ID,否則該端口無法轉(zhuǎn)發(fā)來自 Secondary VLAN 的報文。下行端口:和用戶相連的端口,負(fù)責(zé)和終端通信。下行端口的缺省 VLAN ID 必須配置為 Secondary VLAN 的 VLAN ID,否則該端口無法轉(zhuǎn)發(fā)來自Isolate-user-vlan 的報文。Isolate-user-vlan技術(shù)原理Isolate-user-vlan技術(shù)是如何屏蔽Secondary VLAN信息、節(jié)省VLAN資源的呢?實現(xiàn)這個功能,要求:來自不同 Secondary

9、VLAN 的報文,能夠通過上行端口發(fā)送給上行設(shè)備,而且不能攜帶 Secondary VLAN 信息。來自 Isolate-user-vlan 的報文,能夠通過下行端口發(fā)送給用戶,而且不能攜帶 Isolate-user-vlan 信息。我們知道,Isolate-user-vlan和Secondary VLAN采用不同的VLAN編號,各自包含了不同的端口,通常不同VLAN之間的報文是二層互相隔離的,要達(dá)到以上要求, 需要兩方面的配合:在本設(shè)備上需要進(jìn)行配置同步和MAC地址同步處理。詳細(xì)介紹請參見 HYPERLINK l _bookmark2 2.2.1和 HYPERLINK l _bookmark

10、4 2.2.2 。上行設(shè)備需要進(jìn)行必須的配置:創(chuàng)建 VLAN:VLAN ID 等于 Isolate-user-vlan 的 VLAN ID。配置入端口參數(shù):將端口類型設(shè)置為 Hybrid,將端口缺省 VLAN 值設(shè)置為Isolate-user-vlan ID,配置端口允許缺省 VLAN 的報文以 untagged 方式通過。Isolate-user-vlan配置同步配置Isolate-user-vlan功能后,系統(tǒng)會自動對Isolate-user-vlan和Secondary VLAN所包含的端口進(jìn)行配置同步:對于上行端口,會將端口類型修改為 Hybrid,并允許來自 Secondary VL

11、AN 的報文以 untagged 方式通過。而上行設(shè)備的入端口通過手工配置已經(jīng)將端口的缺省 VLAN 值設(shè)置為 Isolate-user-vlan ID,所以,當(dāng)上行設(shè)備收到這樣的報文后,均認(rèn)為這些報文來自 Isolate-user-vlan,并給它們添加 tag,tag 中的 VLAN ID 等于 Isolate-user-vlan ID。從而,屏蔽了 Secondary VLAN 信息。對于下行端口,會將端口類型修改為 Hybrid,并允許來自 Isolate-user-vlan的報文以 untagged 方式通過。如 HYPERLINK l _bookmark3 圖3所示的組網(wǎng)中,端口默

12、認(rèn)都為Access口,端口Ethernet1/2屬于VLAN 2、端口Ethernet1/3屬于VLAN 3、端口Ethernet1/5屬于VLAN 5,端口的相關(guān)屬性如表 HYPERLINK l _bookmark3 1 所示。然后配置VLAN 5 為Isolate-user-vlan , VLAN 2 、3 、4 均為SecondaryVLAN。配置同步后,端口的相關(guān)屬性改變了,具體信息如表 HYPERLINK l _bookmark3 2所示。Eth1/5VLAN 5SwitchEth1/5Eth1/2Eth1/3VLAN 2VLAN 3Host 2 MAC: mac_2Host 3 M

13、AC: mac_3Device MAC: mac_a圖3 Isolate-user-vlan配置同步組網(wǎng)圖表1 配置同步前端口的相關(guān)屬性端口類型端口缺省 VLAN允許通過的VLANEth1/5Access5只允許VLAN 5的報文通過Eth1/2Access2只允許VLAN 2的報文通過Eth1/3Access3只允許VLAN 3的報文通過表2 配置同步后端口的相關(guān)屬性端口類型端口缺省VLANIsolate-user-vlan 角色允許通過的VLANEth1/5Hybrid5Isolate-user-vlan允許VLAN 2 、VLAN 3 、VLAN 5的報文以untagged 方式通過Et

14、h1/2Hybrid2Secondary VLAN允許VLAN 2、VLAN 5的報文以untagged方式通過Eth1/3Hybrid3Secondary VLAN允許VLAN 3、VLAN 5的報文以untagged方式通過Isolate-user-vlan的MAC地址同步通過配置同步,來自Secondary VLAN的報文能以untagged方式從上行端口發(fā)送出去,來自Isolate-user-vlan的報文能以untagged方式從下行端口發(fā)送出去。這些報文是如何找到相應(yīng)的出接口的呢?通過MAC地址學(xué)習(xí),如 HYPERLINK l _bookmark3 圖3所示的組網(wǎng)中Switch會生

15、成并維護(hù)一張MAC地址表(如 HYPERLINK l _bookmark4 表3 所示) 。如果Device給Host 2 發(fā)送報文( 源MAC為mac_a,目的MAC為mac_2);Switch會給報文添加tag,VLAN ID為5(即端口的缺省VLAN ID);然后以“mac_2+VLAN 5”為條件去查詢MAC地址表。由于找不到相應(yīng)的表項,該報文會在VLAN 5內(nèi)廣播,并最終從Eth1/2、Eth1/3發(fā)送出去。同理,每次上行和下行的報文都需要廣播才能到達(dá)目的地。當(dāng)Secondary VLAN和Isolate-user-vlan包含的端口較多時,這樣的處理方式會占用大量的帶寬資源,也不安

16、全(廣播報文容易被截獲和偵聽)。通過MAC地址同步機(jī)制可以解決這個問題。Isolate-user-vlan的MAC地址同步機(jī)制為:Secondary VLAN 到 Isolate-user-vlan 的同步,即下行端口在 Secondary VLAN 內(nèi)學(xué)習(xí)到的動態(tài) MAC 地址都同步至 Isolate-user-vlan 內(nèi)。Isolate-user-vlan 到 Secondary VLAN 的同步,即上行端口在 Isolate-user- vlan 學(xué)習(xí)到的動態(tài) MAC 地址同步到所有的 Secondary VLAN 內(nèi)。當(dāng)Isolate-user-vlan下面配置了很多Secondar

17、y VLAN,MAC地址同步后,將導(dǎo)致MAC地址表過于龐大,進(jìn)而影響設(shè)備的轉(zhuǎn)發(fā)性能。同時考慮到用戶的下行流量要遠(yuǎn)遠(yuǎn)大于上行流量,下行流量需要進(jìn)行單播,上行流量可以進(jìn)行廣播,所以, Secondary VLAN到Isolate-user-vlan的同步所有產(chǎn)品均支持,而Isolate-user-vlan 到Secondary VLAN的同步部分產(chǎn)品不支持。 HYPERLINK l _bookmark3 如圖3所示的組網(wǎng)中,MAC地址同步后生成的MAC表項如表 HYPERLINK l _bookmark5 4所示。表3 同步前的MAC地址轉(zhuǎn)發(fā)表目的 MACVLAN出端口mac_22Eth1/2ma

18、c_33Eth1/3mac_a5Eth1/5表4 同步后的MAC地址轉(zhuǎn)發(fā)表目的 MACVLAN出端口mac_22Eth1/2mac_25Eth1/2mac_33Eth1/3mac_35Eth1/3mac_a5Eth1/5mac_a2Eth1/5mac_a3Eth1/5Isolate-user-vlan的報文轉(zhuǎn)發(fā)下面通過圖 HYPERLINK l _bookmark3 3中Host 2的報文流程來闡述Isolate-user-vlan的實現(xiàn)機(jī)制。Host 2 第一次發(fā)出單播上行報文,報文為 untagged 報文,源 MAC 地址為mac_2,目的 MAC 地址為 mac_a。Switch 通過

19、下行端口 Ethernet1/2 收到報文,給報文打上端口缺省 VLAN 的標(biāo)簽 2,并學(xué)習(xí) MAC 地址,記錄 MAC 地址表項(mac_2+VLAN2+Eth1/2)(表示目的 MAC 地址為 mac_2 , VLAN 標(biāo)簽為 2 的報文,出接口為Ethernet1/2)。根據(jù) MAC 地址同步原則,該 MAC 地址同時同步學(xué)習(xí)到 VLAN 5 內(nèi),設(shè)備同時記錄 MAC 地址表項(mac_2+VLAN5+Eth1/2)。由于 Switch 當(dāng)前沒有 mac_a 的 MAC 表項,因此設(shè)備在 VLAN 2 內(nèi)廣播該報文。由于配置同步,Ethernet1/5 端口允許 VLAN 2 的報文以 untagged 方式通過,所以報文去掉 tag 后通過 Ethernet1/5 發(fā)送出去。Device A 收到報文后進(jìn)行響應(yīng)。Switch 通過上行端口 Ethernet1/5 收到報文,給報文打上端口缺省 VLAN 的標(biāo) 簽5 , 并 學(xué) 習(xí)MAC地 址 , 記 錄MAC地 址 表 項(mac_a+VLAN5+Eth1/5)。通過 MAC 地址同步,又生成兩條 MAC 地址表項(mac_a+VLAN2+Eth1/5)和(mac_a+VLAN3+E

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論