VLAN基础理论知识(五)
首页 > HuaWei > VLAN   作者:杭州清默网络  2015年11月18日 17:06 星期三  字号:   评论:0 条
时间:2015-11-18 17:06   评论:0 条 
 5LAN Aggregationvlan聚合或叫超级vlan-super vlan

交换网络中,VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的三层交换机中,通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通,这样导致了IP地址的浪费。

VLAN AggregationVLAN聚合,也称Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网。它引入了Super-VLANSub-VLAN的概念。

Super-VLAN

和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理接口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。

Sub-VLAN

只包含物理接口,用于隔离广播域的VLAN,不能建立三层VLANIF接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。

一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLANSub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。

这样,Sub-VLAN间共用同一个三层接口,既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗,又实现了不同广播域使用同一子网网段地址的目的。消除了子网差异,增加了编址的灵活性,减少了闲置地址浪费。

VLAN Aggregation在实现不同VLAN间共用同一子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。

普通VLAN实现方式中,VLAN间的主机可以通过各自不同的网关进行三层转发来达到互通的目的。但是VLAN Aggregation方式下,同一个Super-VLAN内的主机使用的是同一个网段的地址和共用同一个网关地址。即使是属于不同的Sub-VLAN的主机,由于它们同属一个子网,彼此通信时只会做二层转发,而不会通过网关进行三层转发。而实际上不同的Sub-VLAN的主机在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题。

解决这一问题的方法就是使用Proxy ARP

 

 

6VLAN Damping(抑制)

如果指定VLAN已经创建对应的VLANIF接口,当VLAN中所有接口状态变为Down而引起VLAN状态变为Down时,VLAN会向VLANIF接口上报接口Down状态,从而引起VLANIF接口状态变化。

为避免由于VLANIF接口状态变化引起的网络震荡,可以在VLANIF接口上启动VLAN Damping功能,抑制VLANIF接口状态变为Down的时间。

当使能VLAN Damping功能,VLAN中最后一个处于Up状态的接口变为Down后,会抑制一定时间(抑制时间可配置)再上报给VLANIF接口。如果在抑制时间内VLAN中有接口Up,则VLANIF接口状态保持Up状态不变。即VLAN Damping功能可以适当延迟VLANVLANIF接口上报接口Down状态的时间,从而抑制不必要的路由震荡。

 

 

7MUX VLAN(复合vlan

MUX VLANMultiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。

实际中很少用,但在ISP 中用得多,二层隔离各专线用户,不然会消耗太大VLAN ID

Mux vlan 只提供二层隔离,配置后不能加入vlanif接口,反之处于vlanif接口下则不能配置为MUX vlan

 

 

8VLAN Switch

VLAN Switch是一种按照VLAN Tag进行数据转发的转发技术,需要预先在网络中各交换节点上建立一条静态转发路径。

交换节点接收到符合转发条件的VLAN报文后,根据VLAN Switch表将报文直接转发到相应的接口,无需查看MAC地址表,提高了转发效率及安全性,可有效的避免MAC地址攻击及广播风暴。

VLAN Switch功能包括:

添加外层VLAN Tag功能,即VLAN Switch stack-vlan功能。

在不同接口之间转换外层VLAN Tag,即VLAN Switch switch-vlan功能。

VLAN Switch stack-vlan(堆叠vlan-添加外层vlan tag

VLAN Switch stack-vlan功能与VLAN Stacking功能类似,也是一种针对用户不同VLAN封装外层VLAN Tag的二层技术。与VLAN Stacking功能的差异如下表1所示。

VLAN Switch功能与VLAN Stacking功能差异表

功能

共同点

不同点

优缺点

VLAN Switch stack-vlan

接口在收到的帧的最外层VLAN tag外,再加上一层VLAN tag

接口处理帧的方式一样:

接口可以配置多个VLAN,接口可以给不同VLAN的帧加上不同的外层Tag

接口在接收帧时,给帧加上外层Tag;发送帧时,剥掉帧最外层的Tag

VLAN Switch功能需要预先在网络中各交换节点上建立一条静态转发路径。交换节点接收到符合转发条件的VLAN报文后,根据VLAN Switch表将报文直接转发到相应的接口,无需查看MAC地址表。

vlan-switch中的任意VLAN与全局VLAN冲突。如果该VLAN已经应用到VLAN Switch功能中,那么全局中将无法创建该VLAN

优点

报文转发时无需查看MAC地址表,提高了转发效率及安全性,可有效的避免MAC地址攻击及广播风暴。

缺点

如果有大量的用户接入交换节点,对每一个用户都需要进行初始配置,建立静态转发路径。使得网络管理者的任务量加大,不利于管理。

VLAN Stacking

配置VLAN Stacking功能后,报文的转发需要依赖MAC地址表。

优点

用户接入方便,不需要网络管理者进行初始配置。通过MAC地址表指导报文转发。

缺点

报文的转发效率低,易产生广播风暴和受到MAC地址攻击。

 

VLAN Switch switch-vlan(交换vlan-替换外层vlan tag

VLAN Switch switch-vlan功能与VLAN Mapping功能类似,可以实现不同VLAN间的通信。与VLAN Mapping功能的差异如表2所示。

2 VLAN Switch功能与VLAN Mapping功能差异表

功能

共同点

不同点

优缺点

VLAN Switch switch-vlan

接口在收到带有VLAN Tag帧后,对外层VLAN Tag进行替换操作。

当在接口上配置了VLAN Switch switch-vlanVLAN Mapping功能后,接口在向外发送本地VLAN帧时,将帧中的VLAN Tag替换成外部VLANVLAN Tag

当接口在接收外部VLAN帧时,将帧中的VLAN Tag替换成本地VLANVLAN Tag

VLAN Switch功能需要预先在网络中各交换节点上建立一条静态转发路径。

交换节点接收到符合转发条件VLAN报文后,根VLAN Switch表将报文直接转发到相应的接口,无需查看MAC地址表。

vlan-switch中的任意VLAN与全局VLAN冲突。

如果该VLAN已经应用到VLAN Switch功能中,那么全局中将无法创建该VLAN

优点

报文转发时无需查看MAC地址表,提高了转发效率及安全性,可有效的避免MAC地址攻击及广播风暴。

缺点

如果有大量的用户接入交换节点,对每一个用户都需要进行初始配置,建立静态转发路径。使得网络管理者的任务量加大,不利于管理。

VLAN Mapping

配置VLAN Mapping功能后,报文的转发需要依赖MAC地址表。

VLAN Mapping实现两个VLAN内设备互相通信时,两个VLAN内设备的IP地址必须处于同一网段。

优点

用户接入方便,不需要网络管理者进行初始配置。通过MAC地址表指导报文转发。

缺点

报文的转发效率低,易产生广播风暴和受到MAC地址攻击。

 

 

9、管理VLAN

当用户通过远端网管集中管理设备时,需要在设备上通过VLANIF接口配置IP地址作为设备管理IP,通过管理IPTelnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN,也可以访问该交换机,增加了交换机的不安全因素。

这种情况下可以配置VLAN为管理VLAN,不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户,限制这两种类型接口加入管理VLAN后,与该接口相连的用户就无法访问该交换机,从而增加了交换机的安全性。

 

 

10VLAN内协议报文透传

当设备作为用户的业务网关时,或者作为二层交换机,但是使能了DHCP/IGMP/MLD SnoopingSnooping功能时,设备需要解析处理相应的协议报文(例如ARPDHCPIGMP报文等),即接口上收到的协议报文会上送到CPU进行处理。而接口在上送协议报文时,是不区分VLAN。即如果部署了上述功能后,则所有VLAN的协议报文都会上送CPU处理。

如果设备只是某些VLAN的业务网关,或者只对某些VLAN部署了Snooping功能。那么对于其他VLAN中的协议报文,设备是不需要处理的,协议报文上送到CPU之后,CPU需要将其重新转发到其他设备进行处理。这种经过CPU处理的转发机制称为软转发,软转发增加了协议报文的处理环节,会对报文的转发速度和效率造成较大影响。

针对上述场景,可以在不需要处理协议报文的VLAN中,部署VLAN内协议报文透传功能,此时这些VLAN的协议报文不会再上送CPU处理,而是直接透传转发到其他设备进行处理,可以提高转发速度和效率。

支持透传的协议报文类型有CFM/ARP/BFD/DHCP/DHCPV6/HTTP/IGMP/MLD/ND/PIM/PIMv6/PPPoE/TACACS

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/vlan/61.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络