【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN

本期主要介绍Private VLAN技术,下期介绍Super VLAN技术

作者:最铁头的网工
来源:CSDN
文章属性:自创,如有抄袭必究
模拟器来自于新华三 HCL 实验室
点击了解更多技术资料和免费学习视频请加入讨论群:662736393
感谢关注铁头娃技术,联系QQ:3473067134
针对本知识点有问题,欢迎加Q一起讨论学习
配置过程:DOU音搜索>>>最铁头的网工

随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带。基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离。VLAN一直是我们用来隔离局域网的手段,于是我们便采用VLAN进行对每一个用户进行局域网的隔离,但是根据IEEE802.1Q协议规定,设备最大可能支持的VLAN数量为4094个,对于运营商的设备来说,那么每个用户1个VLAN,4094个VLAN远远不够,而且每个只包含1个用户的VLAN配置第三层接口,将消耗大量的IP地址和部署成本。

【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN_第1张图片

Private VLAN产生背景
运营商小区宽带接入典型组网。采用LAN方式接入的小区宽带用户的主要应用是上互联网,用户之间产生隔离,每个用户1个VLAN ,用户数远远大于4094个VLAN,VLAN数量限制了更多用户的接入需求。

Privat VLAN产生原理—>VLAN ID上解决问题
VLAN ID主要消耗在接入层,对于运营商来说,如果既能够保证接入层用户之间相互隔离,又能将就接入层的VLAN ID屏蔽,只可见汇聚层的VLAN ID,则4096个V LAN是够用的。为了解决上述问题,Private VLAN技术应运而生。

Private VLAN 采用二层VLAN结构,它在同一台设备上设置Primary VLAN和Secondary VLAN 两类VLAN。功能如下:
1、 Primary VLAN用于上行连接,不同Secondary VLAN关联到同一个Primary VLAN。上行连接的设备只知道Primary VLAN,而不必关心Secondary VLAN,简化了网络的配置,节省VLAN资源。
2、Secondary VLAN用于连接用户,Secondary VLAN之间二层帧互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间互通,可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。通
3、一个Primary VLAN可以和多个Secondary VLAN,理论上每个Primary VLAN 可以包含4094个Secondary VLAN,所以相当于提供了Primary VLAN 和 Secondary VLAN相乘的4094*4094个VLAN ,Primary VLAN下面对应的Secondary VLAN 对上行设备不可见。

Private VLAN技术功能
【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN_第2张图片
通过一个简单的应用来描述 Private VLAN 的技术特点,SWA为三层交换机,是SWB的上行设备,SWB为支持Private VLAN 功能的交换机。在SWB上开启Private VLAN功能,并配置VLAN10 为primary VLAN ,配置VLAN 2,VLAN 3 VLAN4为Secondry VLAN ,这些VLAN2,VLAN 3、VLAN 4 都映射到VLAN 10中。

在SWB上完成Private VLAN配置后,SWB上的VLAN 2、VLAN 3、VLAN 4都可以和SWA互通,对于上层设备SWA来说,只需识别下层交换机SWB的VLAN 10,而不需要识别下层交换机SWB的VLAN 10,而不必关心VLAN 10中包含的VLAN 2、VLAN 3、VLAN4 ,在SWB上的各个VLAN通过传统的VLAN 技术实现二层隔离,也可以在上行设备上SWA上配置本地代理ARP功能实现三层的互通。

Private VLAN技术原理
【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN_第3张图片
其实,Private VLAN 功能是利用了Hybrid 类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。
Hybrid 端口在转发数据时,可以按照需要进行多个VLAN数据流量发送和接收,可以根据需要决定发送数据帧时是否携带IEEE802.1Q标签。正因为这一灵活性,Hybrid端口可以用于交换机之间的连接,也可以用于连接用户计算机。

SWB所示,SWB上Port1、Port2和Port3这个端口都设定位Hybrid 类型,Port1 允许VLAN 2 和VLAN 10的数据帧通过,Port2 允许VLAN 3和VLAN 10的数据帧通过 Port 3允许VLAN 2、VLAN 3、VLAN10的数据帧通过,所有发出去的数据帧都不携带IEEE802.1Q的标签。配置完成后,PCA可以和SWA互通,PCB可以和SWA互通,而PCA和PCB之间隔离。

交换机在转发时会存在一个较为严重的问题。按照需求,SWB的3个端口的PVID应该分别为VLAN 2、VLAN 3 VLAN 10。一开始PCA 发送ARP请求到Port 1,解析SWA (网关)的MAC 地址,PCA 的MAC地址被学习到SWB的VLAN 2中,在SWB没能收到SWA的MAC地址表项,只能在VLAN 2的广播域内广播,因Port 3允许VLAN 2的数据帧通过,所以此广播帧会从port 3 转发出去 ,SWA会收到请求。

当SWA返回ARP响应报文到达SWB的Prot 3时,(源MAC地址MAC_SWA,目的MAC地址MAC_PCA),SWA的MAC地址将被学习到SWB的VLAN 10中,SWB会给报文添加Tag,VLAN ID为10 (默认端口的端口ID),然后以"MAC_PCA+VLAN 10"为条件去查询MAC地址。由于找不到对应的表项,该报文会在VLAN 10内广播,并最终从Port1和Port 2中转发出去

同理每次上行和下行的报文,都需要广播才能到达目的地。当Secondary VLAN 和Primary VLAN包含的端口较多时,这样的处理方式会占用大量的带宽资源,大大降低了交换机的转发性能,而且不安全(广播报文容易被截获和侦听)。通过MAC地址同步机制可以解决这个问题

Primary VLAN的MAC 地址同步机制有如下两种:
1、Secondary VLAN到Primary VLAN的同步,即下行端口在Secondary VLAN内学习到的MAC地址都同步到Primary VLAN内,而出端口则保持不变。
2、Primary VLAN 到 Secondary VLAN内步,即上行端口在Primary VLAN学习到的MAC地址同步到所有的Secondary VLAN内,而出端口则保持不变。

缺点:
当Primary VLAN 下面配置了很多Secondary VLAN,MAC地址同步后,将导致MAC地址表过于庞大,进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量,下行流量需要进行单播,上行流量可以进行广播。所以Secondary VLAN到primary VLAN的同步被所有产品均支持,而Primary VLAN到second VLAN的同步只被部分产品不支持

你可能感兴趣的:(【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN)