Isolate-user-vlan是为了解决运营商接入用户隔离和资源限制的问题而诞生的技术。它通过设置Isolate-user-vlan和Secondary VLAN实现用户隔离,同时通过MAC地址同步机制优化转发性能。配置包括创建VLAN、添加端口和建立映射关系等步骤。尽管Isolate-user-vlan节省了资源并实现了隔离,但也存在依赖代理ARP和上行口灵活性不足的缺点。
一、Isolate-user-vlan的出现原因
随着以太网技术的快速发展,很多运营商采用LAN接入小区宽带。基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户相互隔离。VLAN是天然的隔离手段,但是根据 IEEE 802.1Q 协议规定,设备最大可使用的VLAN资源为4096个。对于运营商的设备来说,如果每个用户一个VLAN,4094个VLAN(0-4095,实际可用为1-4094)远远不够,而且,为每个只包含一个用户的VLAN配置第三层接口,将耗费大量的IP地址和部署成本。
为了解决上述问题,isolate-user-vlan技术应运而生。
二、Isolate-user-vlan的基本介绍
Isolate-user-vlan采用二层VLAN接口,它在同一台设备上设置 Isolate-user-vlan 和 Secondary VLAN 两类VLAN。其功能如下:
(1)Isolate-user-vlan 用于上行连接,不同的 Secondary VLAN 关联到同一个 Isolate-user-vlan 。上行连接的设备只知道 Isolate-user-vlan ,而不必关心 Secondary VLAN ,简化了网络配置,节省了VLAN资源
(2)Secondary VLAN 用于连接用户,Secondary VLAN 之间二层帧相互隔离。如果希望实现同一Isolate-user-vlan 下 Secondary VLAN 用户之间的互通,可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。
(3)理论上每个 Isolate-user-vlan 可以包含4094个 Secondary VLAN ,所以相当于提供了 4094 X 4094 个VLAN( 16760836 )。
三、Isolate-user-vlan的技术原理
Isolate-user-vlan的功能是利用了Hybrid类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。
通过上面可以发现,每次上行和下行的报文都需要ARP广播才能到达目的地,当 Secondary VLAN 和 Isolate-user-vlan包含的端口较多时,这样的处理方法会占用大量的带宽资源,大大降低了交换机的转发性能,而且广播报文容易被截获和侦听,故可以通过MAC地址同步机制可以解决这个问题。
若无MAC地址同步机制(SWB的MAC表)
上述过程的第2步:PC2的MAC被学习到SWB的VLAN 2中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
上述过程的第4步:SWA的MAC被学习到SWB的VLAN 10中
| MAC | VLAN | Port |
| MAC 2 | VLAN 2 | Port2 |
| MAC 1 | VLAN 10 | < |
最低0.47元/天 解锁文章
扫一扫
490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
