TMOS系统之VLANs

关于 VLAN

一个VLAN是局域网 (LAN) 上运行在同一 IP 地址空间中的主机的逻辑子集。将主机分组到一个 VLAN 中具有明显的优势。例如，使用 VLAN，您可以：

• 减小广播域的大小，从而提高整体网络性能。
• 大幅减少系统和网络维护任务。功能相关的主机不再需要物理上驻留在一起以实现最佳网络性能。
• 通过对必须传输敏感数据的主机进行分段来增强网络的安全性。

您可以创建 VLAN 并将物理接口与该 VLAN 关联。这样，任何向 BIG-IP ®系统接口发送流量的主机在逻辑上都是该接口所属的一个或多个 VLAN 的成员。

---

1. 默认 VLAN 配置

默认情况下，BIG-IP ®系统包括名为内部的 和外部的. 最初运行 Setup Utility 时，您为每个 VLAN 分配了以下内容：

• 静态和浮动自身 IP 地址
• VLAN 标记
• 一个或多个 BIG-IP 系统接口

典型的 VLAN 配置是系统具有两个 VLAN 外部的和内部的，以及分配给每个 VLAN 的一个或多个 BIG-IP 系统接口。然后，您创建一个虚拟服务器，并将默认负载平衡池与该虚拟服务器相关联。
此图显示了使用默认 VLAN 外部和内部的典型配置。
 

2. 关于 VLAN 和接口

VLAN 直接与 BIG-IP ® 系统上的物理接口相关联。

2.1 接口分配

对于您创建的每个 VLAN，您必须将一个或多个 BIG-IP ®系统接口分配给该 VLAN。将接口分配给 VLAN 时，您间接控制 BIG-IP 系统接口发送或接收消息的主机。 

您不仅可以将单个接口分配给 VLAN，还可以分配中继。

例如，如果您将接口 1.11 分配给 VLAN A, 然后你关联 VLAN A 使用虚拟服务器，则虚拟服务器通过接口 1.11 将其传出流量发送到 VLAN A. 同样，当目标主机向 BIG-IP 系统发送消息时，主机的 VLAN 成员资格决定了应该接收传入流量的 BIG-IP 系统接口。

每个 VLAN 都有一个 MAC 地址。VLAN 的 MAC 地址与分配给该 VLAN 的编号最小的接口的 MAC 地址相同。

2.2 关于标记接口

您可以创建 VLAN 并将接口作为单标记或双标记接口分配给 VLAN。当您将接口分配为标记接口，您可以将多个 VLAN 与这些接口相关联。
一个 VLAN 标签是您分配给 VLAN 的唯一 ID 号，用于标识每个数据包所属的 VLAN。如果您没有为 VLAN 明确分配标签，BIG-IP ®系统会自动分配标签。VLAN 标记的值可以介于 1 和 4094 之间。一旦您或 BIG-IP 系统将标记分配给 VLAN，从该 VLAN 中的主机发送的任何消息都会将此 VLAN 标记作为消息的标头。

如果连接到 BIG-IP 系统接口的设备是另一台交换机，则您在 BIG-IP 系统接口上分配给 VLAN 的 VLAN 标记必须与分配给另一台交换机接口上 VLAN 的 VLAN 标记匹配。

2.3 关于单个标记

此图显示了使用三个未标记接口（其中每个接口必须属于一个单独的 VLAN）与一个单标记接口（属于多个 VLAN）之间的区别。

使用未标记（左）和单标记接口（右）的解决方案

左侧的配置显示了一个具有三个内部接口的 BIG-IP 系统，每个接口都是一个单独的、未标记的接口。这是支持三个独立客户站点的典型解决方案。在这种情况下，每个接口只能接受来自其自己 VLAN 的流量。

相反，右侧的配置显示了一个带有一个内部接口和一个外部交换机的 BIG-IP 系统。交换机将内部接口放置在三个独立的 VLAN 上。该接口在每个 VLAN 上配置为单标记接口。这样，单个接口成为所有三个 VLAN 的标记成员，并接受来自所有三个 VLAN 的流量。右边的配置是左边配置的功能等价物。

如果您将另一台交换机连接到 BIG-IP 系统接口，您分配给 BIG-IP 系统上 VLAN 的 VLAN 标记必须与另一台交换机接口上的 VLAN 标记匹配。

2.4 关于双重标记

对于具有 ePVA 硬件支持的 BIG-IP 系统，该系统包括对 IEEE 802.1QinQ 标准的支持。非正式地称为问答或者双重标记，该标准为您提供了一种将多个 VLAN 标记插入单个帧的方法。这使您可以仅使用一个标签封装来自不同客户的单标签流量。

双标记扩展了网络中可能的 VLAN ID 的数量。使用双重标记，VLAN ID 数量的理论限制从 4096 扩展到 4096*4096。

当你实现双重标记时，你指定一个 内标签它封装了所有单标记流量。然后将所有其他标签指定为外部标签， 或者 客户标签 （C-tags），用于识别和隔离来自这些客户的流量。

一个常见的用例是互联网服务提供商创建一个 VLAN，多个客户可以在其中保留自己的 VLAN，而不考虑重叠的 VLAN ID。此外，您可以在路由域或 vCMP 来宾中使用双标记 VLAN。在后一种情况下，vCMP 主机管理员可以创建双标记 VLAN 并将 VLAN 分配给来宾，就像他们对单标记 VLAN 所做的那样。对于运行旧版本 BIG-IP 软件的 vCMP 来宾，双标记 VLAN 不可分配给来宾。

在支持双标记的系统上，如果您配置快速 L4 本地流量配置文件，则无法启用 Packet Velocity Asic (PVA) 硬件加速。

3. VLAN 与自身 IP 地址的关联

每个 VLAN 都必须有一个与其关联的静态自身 IP 地址。VLAN 的自身 IP 地址表示一个地址空间，即属于该 VLAN 中的主机的 IP 地址范围。之前运行 Setup Utility 时，您为 VLAN 外部分配了一个静态自身 IP 地址，为 VLAN 内部分配了一个静态自身 IP 地址。当向目标服务器发送请求时，BIG-IP 系统可以使用这些自身 IP 地址来确定包含目标服务器的特定 VLAN。

与 VLAN 关联的自身 IP 地址应代表一个地址空间，其中包括 VLAN 所包含的主机的 IP 地址。例如，如果一台主机的地址是11.0.0.1另一台主机的地址是 11.0.0.2，您可以将 VLAN 与自身 IP 地址相关联 11.0.0.100, 网络掩码为 255.255.255.0.

4. 为路由域分配 VLAN

如果您显式创建路由域，则应考虑以下事实：

• 您可以分配 VLAN（和 VLAN 组）来路由您创建的域对象。属于该路由域的流量使用那些分配的 VLAN。
• 在 BIG-IP ®系统安装过程中，系统会自动创建一个默认路由域，其 ID 为 0。路由域 0 分配有两个 VLAN，VLAN 内部的和 VLAN外部的.
• 如果您在管理分区中创建一个或多个 VLAN，而不是 常见的，但不要在该分区中创建路由域，那么您在该分区中创建的 VLAN 会自动分配给路由域 0。

5. 维护 L2 转发表

第 2 层转发是在主机之间直接交换帧的方法，不需要 IP 路由。这是使用每个 VLAN 的简单转发表来完成的。L2 转发表是一个列表，为 VLAN 中的每个主机显示主机的 MAC 地址，以及 BIG-IP ®系统向该主机发送帧所需的接口。L2 转发表的目的是在系统确定不需要路由时帮助 BIG-IP 系统确定发送帧的正确接口。
L2转发表中条目的格式为：

<MAC 地址> -> <如果>

例如，VLAN 中主机的条目可能如下所示：

00:a0:c9:9e:1e:2f -> 2.1

BIG-IP系统在帧通过系统时会学习到各种MAC表项对应的接口，并自动将表项添加到表中。这些条目被称为动态条目. 您还可以手动将条目添加到表中，这些条目称为静态条目. 如果您的网络设备不公布其 MAC 地址，则输入静态条目很有用。系统不会自动更新静态条目。

BIG-IP 系统并不总是需要使用 L2 转发表来寻找接口进行帧传输。例如，如果一个 VLAN 只分配了一个接口，那么 BIG-IP 系统会自动使用该接口。

有时，L2 转发表不包含目标 MAC 地址及其对应的 BIG-IP 系统接口的条目。在这种情况下，BIG-IP 系统通过与 VLAN 关联的所有接口泛洪该帧，直到回复在 L2 转发表中创建一个条目。

6. 其他 VLAN 配置选项

您可以为 VLAN 配置许多设置。

6.1 来源检查

当您启用源检查时，BIG-IP ®系统会验证初始数据包的返回路径是否通过数据包源自的同一 VLAN。请注意，系统仅在禁用全局设置 Auto Last Hop 时启用源检查。

6.2 最大传输单位

您为最大传输单元或 MTU 配置的值是 BIG-IP ®系统允许 IP 数据报通过 BIG-IP 系统接口的最大大小。默认情况下，BIG-IP 系统使用 1518 字节的标准以太网帧大小（如果使用 VLAN 标记，则为 1522 字节），对应的 VLAN 的 MTU 值为 1500 字节。

改变价值的原因之一 <strong>MTU</strong> 设置是当您的 BIG-IP 平台支持<strong>巨型帧</strong>时。一个巨型帧 是具有超过 1500 字节且少于 9000 字节的有效负载的以太网帧。

如果您的 BIG-IP 平台不支持巨型帧并且 VLAN 接收到巨型帧，则系统会丢弃该帧。

6.3 基于 VLAN 的故障安全

VLAN 故障安全是您希望基于 VLAN 相关事件的冗余系统故障转移时启用的一项功能。要配置 VLAN 故障安全，您需要指定超时值以及您希望系统在超时期限到期时采取的操作。

6.4 最后一跳

创建 VLAN 时，可以将 VLAN 指定为 TMM 流量的最后一跳。

6.5 CMP 哈希

这CMP 哈希 设置允许来自客户端系统的所有连接使用同一组 TMM。这提高了系统性能。在配置CMP 哈希值，您可以选择 VLAN 的流量分解标准，源 IP 地址、目标 IP 地址或源和目标地址和端口。默认值使用 TCP/UDP 源/目标端口。请注意，CMP 哈希设置仅出现在现有 VLAN 的属性屏幕上。

6.6 DAG 循环赛

您可以使用DAG 循环法在 VLAN 上进行设置以防止无状态流量使一些 TMM 实例过载，这种情况可能会禁用整个 BIG-IP 系统。启用后，此设置会导致 BIG-IP 系统在 TMM 之间平均负载平衡流量，而不是使用静态散列。这种情况下的无状态流量包括非 IP 第 2 层流量、ICMP、一些 UDP 协议等。默认情况下禁用此设置。

此功能对于防火墙和域名系统 (DNS) 流量特别有用。例如，此功能可防止某些类型的 DDoS 攻击，例如 ICMP DDoS 攻击，该攻击可以通过重复向特定的 TMM 子集发送相同的数据包来使系统过载。

流量的分解仅发生在给定高速网桥 (HSB) 本地的 TMM 上。

6.6.1 指定端口号

在执行此任务之前，请确认您已启用 DAG 循环法相关 VLAN 上的设置。
在 VLAN 上启用 DAG 循环功能时，还必须配置大数据库指定相关目标端口的变量。

• 打开 TMOS 外壳 (tmsh）。
• tmsh
• 指定要使用的端口号。

修改 sys db dag.roundrobin.udp.portlist 值 "端口号：端口号：端口号：端口号"
您使用此指定的值大数据库 变量适用于其上的所有 VLANDAG 循环法设置已启用。
此示例指定系统负载平衡发往端口 53、26、19 和 45 的数据包：
修改 sys db dag.roundrobin.udp.portlist 值“53:26:19:45”

6.6.2 DAG 隧道

您可以使用DAG 隧道在 VLAN 上设置以启用基于硬件的分解。这定义了分解器 (DAG) 如何处理接收到的数据包，这些数据包使用受支持的隧道协议之一（例如 NVGRE、VXLAN、EtherIP、IPIP）封装。

DAG隧道有两种选择：

内
根据内部标头分解封装的数据包。使用内部报头通常会向 DAG 提供更多信息，从而允许在 TMM 实例之间更好地分发数据包。如果您选择的值内，您还必须配置 bigdb 变量以指定端口号，然后任何关联的隧道才能使用内部标头。

外
使用封装数据包的外部标头而不检查内部标头。这是默认值。

指定端口号
在执行此任务之前，请确认您已启用 DAG 隧道相关 VLAN 上的设置。

在 VLAN 上启用 <strong>DAG 隧道</strong>功能时，还必须配置 大数据库指定端口号的变量，以便关联的隧道可以根据数据包的内部标头进行分解。

• 打开 TMOS 外壳 (tmsh）。
• tmsh
• 指定要使用的端口号。

修改 sys db iptunnel.vxlan.udpport价值<端口号>
您使用此指定的值大数据库 变量适用于其上的所有 VLAN DAG 隧道设置已启用。
通常，隧道使用端口 4789。如果您选择使用不同的端口号，则必须确保相关 VXLAN 配置文件中指定的端口号与您使用此命令设置的值相匹配。

6.6.1 使用 tmsh 配置 DAG 隧道

在执行此任务之前，请确认您已配置iptunnel.vxlan.udpport带有端口号的变量。
您可以使用流量管理外壳 (tmsh) 在 VLAN 上配置 DAG 隧道功能。默认值为外.

• 打开 TMOS 外壳 (tmsh）。
• tmsh
• 配置是使用内部标头还是外部标头。

修改vlanvlan_name达格隧道[外|内]