5、LAN Aggregation(vlan聚合或叫超级vlan-super vlan)
交换网络中,VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的三层交换机中,通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通,这样导致了IP地址的浪费。
VLAN Aggregation(VLAN聚合,也称Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网。它引入了Super-VLAN和Sub-VLAN的概念。
Super-VLAN:
和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理接口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。
Sub-VLAN:
只包含物理接口,用于隔离广播域的VLAN,不能建立三层VLANIF接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。
一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
这样,Sub-VLAN间共用同一个三层接口,既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗,又实现了不同广播域使用同一子网网段地址的目的。消除了子网差异,增加了编址的灵活性,减少了闲置地址浪费。
VLAN Aggregation在实现不同VLAN间共用同一子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。
普通VLAN实现方式中,VLAN间的主机可以通过各自不同的网关进行三层转发来达到互通的目的。但是VLAN Aggregation方式下,同一个Super-VLAN内的主机使用的是同一个网段的地址和共用同一个网关地址。即使是属于不同的Sub-VLAN的主机,由于它们同属一个子网,彼此通信时只会做二层转发,而不会通过网关进行三层转发。而实际上不同的Sub-VLAN的主机在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题。
解决这一问题的方法就是使用Proxy ARP。
6、VLAN Damping(抑制)
如果指定VLAN已经创建对应的VLANIF接口,当VLAN中所有接口状态变为Down而引起VLAN状态变为Down时,VLAN会向VLANIF接口上报接口Down状态,从而引起VLANIF接口状态变化。
为避免由于VLANIF接口状态变化引起的网络震荡,可以在VLANIF接口上启动VLAN Damping功能,抑制VLANIF接口状态变为Down的时间。
当使能VLAN Damping功能,VLAN中最后一个处于Up状态的接口变为Down后,会抑制一定时间(抑制时间可配置)再上报给VLANIF接口。如果在抑制时间内VLAN中有接口Up,则VLANIF接口状态保持Up状态不变。即VLAN Damping功能可以适当延迟VLAN向VLANIF接口上报接口Down状态的时间,从而抑制不必要的路由震荡。
7、MUX VLAN(复合vlan)
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
实际中很少用,但在ISP 中用得多,二层隔离各专线用户,不然会消耗太大VLAN ID
Mux vlan 只提供二层隔离,配置后不能加入vlanif接口,反之处于vlanif接口下则不能配置为MUX vlan。
8、VLAN Switch
VLAN Switch是一种按照VLAN Tag进行数据转发的转发技术,需要预先在网络中各交换节点上建立一条静态转发路径。
交换节点接收到符合转发条件的VLAN报文后,根据VLAN Switch表将报文直接转发到相应的接口,无需查看MAC地址表,提高了转发效率及安全性,可有效的避免MAC地址攻击及广播风暴。
VLAN Switch功能包括:
添加外层VLAN Tag功能,即VLAN Switch stack-vlan功能。
在不同接口之间转换外层VLAN Tag,即VLAN Switch switch-vlan功能。
VLAN Switch stack-vlan(堆叠vlan-添加外层vlan tag)
VLAN Switch stack-vlan功能与VLAN Stacking功能类似,也是一种针对用户不同VLAN封装外层VLAN Tag的二层技术。与VLAN Stacking功能的差异如下表1所示。
VLAN Switch switch-vlan(交换vlan-替换外层vlan tag)
VLAN Switch switch-vlan功能与VLAN Mapping功能类似,可以实现不同VLAN间的通信。与VLAN Mapping功能的差异如表2所示。
| VLAN Switch switch-vlan | 接口在收到带有VLAN Tag帧后,对外层VLAN Tag进行替换操作。当在接口上配置了VLAN Switch switch-vlan或VLAN Mapping功能后,接口在向外发送本地VLAN帧时,将帧中的VLAN Tag替换成外部VLAN的VLAN Tag。当接口在接收外部VLAN帧时,将帧中的VLAN Tag替换成本地VLAN的VLAN Tag。 | VLAN Switch功能需要预先在网络中各交换节点上建立一条静态转发路径。交换节点接收到符合转发条件VLAN报文后,根VLAN Switch表将报文直接转发到相应的接口,无需查看MAC地址表。vlan-switch中的任意VLAN与全局VLAN冲突。如果该VLAN已经应用到VLAN Switch功能中,那么全局中将无法创建该VLAN。 | 优点报文转发时无需查看MAC地址表,提高了转发效率及安全性,可有效的避免MAC地址攻击及广播风暴。缺点如果有大量的用户接入交换节点,对每一个用户都需要进行初始配置,建立静态转发路径。使得网络管理者的任务量加大,不利于管理。 |
| VLAN Mapping | 配置VLAN Mapping功能后,报文的转发需要依赖MAC地址表。VLAN Mapping实现两个VLAN内设备互相通信时,两个VLAN内设备的IP地址必须处于同一网段。 | 优点用户接入方便,不需要网络管理者进行初始配置。通过MAC地址表指导报文转发。缺点报文的转发效率低,易产生广播风暴和受到MAC地址攻击。 |
9、管理VLAN
当用户通过远端网管集中管理设备时,需要在设备上通过VLANIF接口配置IP地址作为设备管理IP,通过管理IP来Telnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN,也可以访问该交换机,增加了交换机的不安全因素。
这种情况下可以配置VLAN为管理VLAN,不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户,限制这两种类型接口加入管理VLAN后,与该接口相连的用户就无法访问该交换机,从而增加了交换机的安全性。
10、VLAN内协议报文透传
当设备作为用户的业务网关时,或者作为二层交换机,但是使能了DHCP/IGMP/MLD Snooping等Snooping功能时,设备需要解析处理相应的协议报文(例如ARP、DHCP、IGMP报文等),即接口上收到的协议报文会上送到CPU进行处理。而接口在上送协议报文时,是不区分VLAN的。即如果部署了上述功能后,则所有VLAN的协议报文都会上送CPU处理。
如果设备只是某些VLAN的业务网关,或者只对某些VLAN部署了Snooping功能。那么对于其他VLAN中的协议报文,设备是不需要处理的,协议报文上送到CPU之后,CPU需要将其重新转发到其他设备进行处理。这种经过CPU处理的转发机制称为软转发,软转发增加了协议报文的处理环节,会对报文的转发速度和效率造成较大影响。
针对上述场景,可以在不需要处理协议报文的VLAN中,部署VLAN内协议报文透传功能,此时这些VLAN的协议报文不会再上送CPU处理,而是直接透传转发到其他设备进行处理,可以提高转发速度和效率。
支持透传的协议报文类型有CFM/ARP/BFD/DHCP/DHCPV6/HTTP/IGMP/MLD/ND/PIM/PIMv6/PPPoE/TACACS
![表情[keai]-铭心博客](https://www.imxbk.com/wp-content/themes/zibll/img/smilies/keai.gif)
暂无评论内容