H3C交换系列之isolate-user-vlan
一、Isolate-user-vlan的出现原因
随着以太网技术的快速发展,很多运营商采用LAN接入小区宽带。基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户相互隔离。VLAN是天然的隔离手段,但是根据 IEEE 802.1Q 协议规定,设备最大可使用的VLAN资源为4096个。对于运营商的设备来说,如果每个用户一个VLAN,4094个VLAN(0-4095,实际可用为1-4094)远远不够,而且,为每个只包含一个用户的VLAN配置第三层接口,将耗费大量的IP地址和部署成本。
为了解决上述问题,isolate-user-vlan技术应运而生。
二、Isolate-user-vlan的基本介绍
Isolate-user-vlan采用二层VLAN接口,它在同一台设备上设置 Isolate-user-vlan 和 Secondary VLAN 两类VLAN。其功能如下:
(1)Isolate-user-vlan 用于上行连接,不同的 Secondary VLAN 关联到同一个 Isolate-user-vlan 。上行连接的设备只知道 Isolate-user-vlan ,而不必关心 Secondary VLAN ,简化了网络配置,节省了VLAN资源
(2)Secondary VLAN 用于连接用户,Secondary VLAN 之间二层帧相互隔离。如果希望实现同一Isolate-user-vlan 下 Secondary VLAN 用户之间的互通,可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。
(3)理论上每个 Isolate-user-vlan 可以包含4094个 Secondary VLAN ,所以相当于提供了 4094 X 4094 个VLAN( 16760836 )。
三、Isolate-user-vlan的技术原理
Isolate-user-vlan的功能是利用了Hybrid类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。
通过上面可以发现,每次上行和下行的报文都需要ARP广播才能到达目的地,当 Secondary VLAN 和 Isolate-user-vlan包含的端口较多时,这样的处理方法会占用大量的带宽资源,大大降低了交换机的转发性能,而且广播报文容易被截获和侦听,故可以通过MAC地址同步机制可以解决这个问题。
若无MAC地址同步机制(SWB的MAC表)
上述过程的第2步:PC2的MAC被学习到SWB的VLAN 2中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
上述过程的第4步:SWA的MAC被学习到SWB的VLAN 10中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
| MAC 1 | VLAN 10 | Port1 |
若使用MAC地址同步机制(SWB的MAC表)
上述过程的第2步:PC2的MAC被学习到SWB的VLAN 2中,并同步到 Isolate-user-vlan 中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
| MAC 2 | VLAN 10 | Port2 |
上述过程的第4步:SWA的MAC被学习到SWB的VLAN 10中,并同步到 Secondary VLAN 中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
| MAC 2 | VLAN 10 | Port2 |
| MAC 1 | VLAN 10 | Port1 |
| MAC 1 | VLAN 2 | Port1 |
| MAC 1 | VLAN 3 | Port1 |
四、MAC地址同步机制
Isolate-user-vlan的MAC地址同步机制有如下两种。
(1)Secondary VLAN 到 Isolate-user-vlan 的同步,即下行端口在 Secondary VLAN 内学习到的MAC地址都同步到 Isolate-user-vlan 内,而出端口则保持不变。
(2)Isolate-user-vlan 到 Secondary VLAN 的同步,即上行端口在 Isolate-user-vlan 学习到的MAC地址同步到所有的 Secondary VLAN 内,而出端口则保持不变。
当 Isolate-user-vlan 下面配置了很多 Secondary VLAN 时,MAC地址同步后,将导致MAC地址表过于庞大,进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量,下行流量需要进行单播,上行流量可以进行广播。所以,所有产品均支持 Secondary VLAN 到 Isolate-user-vlan 的同步,而部分产品不支持 Isolate-user-vlan 到 Secondary VLAN 的同步。
五、Isolate-user-vlan技术配置
主要包括如下5个步骤:
(1)配置 Isolate-user-vlan
(2)配置 Secondary VLAN
(3)向 Isolate-user-vlan 中添加端口(该端口不能为 Trunk 类型端口),并确保至少有一个端口的默认 VLAN 就是该 Isolate-user-vlan
(4)向 Secondary VLAN 中添加端口(该端口不能为 Trunk 类型端口),并确保至少有一个端口的默认 VLAN 就是该 Secondary VLAN
(5)配置 Isolate-user-vlan 和 Secondary VLAN 的映射关系
建立映射关系后,系统将禁止向 Isolate-user-vlan 和 Secondary VLAN 中添加或删除端口以及删除 VLAN,只有在解除了映射关系后才可以执行以上操作。
默认情况下,用户创建的VLAN不是 Isolate-user-vlan 类型的VLAN,设置 Isolate-user-vlan 的配置命令为:
[SWA-VLAN10]isolate-user-vlan enable
默认情况下,用户创建的 Isolate-user-vlan 和 Secondary VLAN 间没有任何映射关系。
[SWA]isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]
六、Isolate-user-vlan配置实例
步骤一:建立物理连接
步骤二:配置Isolate-user-vlan 首先进行基本配置 [SWA]vlan 2 [SWA-vlan2]port e0/4/2 [SWA]vlan 3 [SWA-vlan3]port e0/4/3 [SWA]vlan 10 [SWA-vlan10]port e0/4/1 [SWA-vlan10]isolate-user-vlan enable(设置VLAN 10为Isolate-user-vlan) [SWA-vlan10]quit [SWA]isolate-user-vlan 10 secondary 2 3(配置Isolate-user-vlan和Secondary VLAN 间的映射关系) 配置完成后,在SW1上执行 display current-configuration 命令查看当前配置,有如下结果: interface Ethernet0/4/1 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 2 to 3 10 untagged port hybrid pvid vlan 10 # interface Ethernet0/4/2 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 2 10 untagged port hybrid pvid vlan 2 # interface Ethernet0/4/3 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 3 10 untagged port hybrid pvid vlan 3 在SWA上执行 display isolate-user-vlan 命令,查看 Isolate-user-vlan 和 Secondary VLAN 间的映射关系 [SWA]display isolate-user-vlan Isolate-user-VLAN VLAN ID : 10 Secondary VLAN ID : 2-3 VLAN ID: 10 VLAN Type: static Isolate-user-VLAN type: isolate-user-VLAN Route Interface: not configured Description: VLAN 0010 Name: VLAN 0010 Broadcast MAX-ratio: 100% Tagged Ports: none Untagged Ports: Ethernet0/4/1 Ethernet0/4/2 Ethernet0/4/3 VLAN ID: 2 VLAN Type: static Isolate-user-VLAN type: secondary Route Interface: not configured Description: VLAN 0002 Name: VLAN 0002 Broadcast MAX-ratio: 100% Tagged Ports: none Untagged Ports: Ethernet0/4/1 Ethernet0/4/2 VLAN ID: 3 VLAN Type: static Isolate-user-VLAN type: secondary Route Interface: not configured Description: VLAN 0003 Name: VLAN 0003 Broadcast MAX-ratio: 100% Tagged Ports: none Untagged Ports: Ethernet0/4/1 Ethernet0/4/3 通过输出信息显示可以看到VLAN2包含了端口E0/4/1和E0/4/2,VLAN3包含了端口E0/4/1和E0/4/3,VLAN10中包含了端口E0/4/1、E0/4/2、E0/4/3,且数据帧都是以Untagged的形式通过端口的。 从以上信息可以看出,Isolate-user-vlan实际上是通过交换机hybrid链路端口的灵活属性来实现的。即交换机通过批处理的方式配置一系列的Hybird端口,并对来自不同VLAN的数据帧进行是否打VLAN标签处理,从而达到Secondary VLAN和Isolate-user-vlan互通,但Secondary VLAN之间隔离的目的。
步骤三:Secondary VLAN 互通测试 在PC上配置IP地址,通过 Ping 命令来测试处于不同Secondary VLAN间的PC能否互通。 配置完成后,PCA上用Ping命令来测试与PCB能否互通,其结果应该是不能互通
步骤四:Secondary VLAN 和 Isolate-user-vlan 互通测试 [SWB]vlan 20 [SWB-vlan20]port e0/4/1 [SWB]interface vlan-interface 20 [SWB-Vlan-interface20]ip address 192.168.1.1 255.255.255.0 配置完成后,其结果应该是SWB与PCA能互通,SWB与PCB能互通
步骤五:查看SWA和SWB的MAC地址表 在SWA上执行 dispaly mac-address命令查看SWA的MAC地址表
| MAC Addr | VLAN ID | State | Port Index | Aging Time/s |
| aaaa-aaaa-aaaa | 2 | Learned | E0/4/2 | AGING |
| bbbb-bbbb-bbbb | 3 | Learned | E0/4/3 | AGING |
| MAC-SWB | 10 | Learned | E0/4/1 | AGING |
| aaaa-aaaa-aaaa | 10 | Learned | E0/4/2 | AGING |
| bbbb-bbbb-bbbb | 10 | Learned | E0/4/3 | AGING |
从上表的信息可以看出,PCA的MAC被学习到了VLAN2和VLAN10中,PCB的MAC地址被学习到了VLAN3和VLAN10中。 因为S5500-EI系列交换机使用V5软件平台,V5软件平台从设计规格上将Secondary VLAN学习到的MAC地址复制到Isolate-user-vlan中,但是不将Isolate-user-vlan学习到的MAC地址复制到Secondary VLAN。
在SWB上执行display arp 命令查看SWB的ARP地址表
| IP Address | MAC Address | VLAN ID | Interface | Aging | Type |
| 192.168.1.2 | aaaa-aaaa-aaaa | 20 | E0/4/1 | D | |
| 192.168.1.3 | bbbb-bbbb-bbbb | 20 | E0/4/1 | D |
从上表可以看到,ARP表中对应的Type值为D表示:该ARP表项是动态学习到的
在SWB上执行display mac-address 命令查看SWB的MAC地址表
| MAC Addr | VLAN ID | State | Port Index | Aging Time/s |
| MAC_SWA | 20 | Learned | E0/4/1 | AGING |
| aaaa-aaaa-aaaa | 20 | Learned | E0/4/1 | AGING |
| bbbb-bbbb-bbbb | 20 | Learned | E0/4/1 | AGING |
从上表信息可以看出,对SWB来说,PCA和PCB相当于在VLAN20内,对SWA上的VLAN2和VLAN3不可见
步骤六:配置本地代理ARP 如果想让PCA和PCB互通,需要在SWB的VLAN20虚接口上开启本地代理ARP功能。 [SWB]interface Vlan-interface 20 [SWB-Vlan-interface20]local-proxy-arp enable
七、Isolate-user-vlan的优缺点
优点
Isolate-user-vlan 优点在于在节省VLAN资源的基础上实现了二层隔离。
缺点
Isolate-user-vlan 缺点主要集中在两个方面,首先二层用户的通信必须依靠代理ARP来完成,一定程度上增加上层设备的负担;其次部署Isolate-user-vlan设备的上行口必须Untag上行,欠缺灵活性。