VLAN高级特性
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标准以太网帧类型参数+16比特的IEEE 802.3类型参数 RFC1042帧类型参数+16比特的IEEE 802.3 类型参数 SNAP_8021H帧类型参数+16比特的IEEE 802.3 类型参数 SNAP_Other帧类型参数+40比特的PID参数 LLC_Other帧类型参数+DSAP参数+SSAP参数
13
Isolate-user-VLAN的应用 的应用
Isolate-user-VLAN是一种纯二层的VLAN技术。它的主要目标 是在解决大量接入层用户的隔离问题的同时又不增加汇聚层设 备负担。
接入交换机SA或SB的所有用户共享同一个VLAN接入到汇聚交换 机SC 接入交换机的用户之间采用独立的VLAN ID进行用户隔离
20
Байду номын сангаас
Super VLAN的工作原理 的工作原理
Super VLAN中的概念
Super VLAN:
超级VLAN,提供VLAN三层接口并为所有Sub VLAN提供三层转发服 务
Sub VLAN
隔离各Sub VLAN用户之间的二层广播
ARP Proxy
完成各Sub VLAN之间的ARP报文代理
21
ARP Proxy
28
VLAN VPN的配置 的配置
VLAN VPN的配置包括:
是能VLAN VPN (端口视图)
vlan-vpn enable VLAN VPN不能与GVRP、GMRP、NTDP、STP、802.1X以及IRF 在同一端口下共存
配置外层标签优先级信任(端口视图)
vlan-vpn inner-cos-trust enable
23
Super VLAN的通信 的通信
Super VLAN中存在如下几种通信:
Sub VLAN到外部的三层通信
等同于Super VLAN到外部的三层通信
Sub VLAN之间的通信
ARP Proxy
Super VLAN与外部的二层通信(不存在)
禁止super VLAN包含用户 Trunk链路禁止super VLAN
协议VLAN的配置主要分为两个步骤:
配置协议VLAN的协议模板(VLAN视图)
protocol-vlan [ procotol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id [ ssap ssap-id ] | ssap ssap-id } | snap etype etype-id }
配置外层标签的TPID(端口视图)
vlan-vpn tpid 9100
29
BPDU Tunnel
BPDU Tunnel是为了解决VPN网络环路而出现的隧道技术之一
引入
二层交换机横行天下时,广播也泛滥成灾 VLAN技术解决上述根本问题 4K VLAN无法满足大型网络之需 VLAN隔离、VLAN聚合横空出世
1
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
2
VLAN技术简要回顾 1 技术简要回顾
VLAN技术以802.1Q为标准规定了协议的工作原理、基本构架 VLAN技术核心技术在于对标准以太网数据帧的改造
802.1Q数据帧
TPID:0X8100 Priority:802.1P优先级 CFI:地址格式指示 VLAN ID:数据的VLAN归属
3
VLAN技术简要回顾 2 技术简要回顾
VLAN网络中的链路类型:
VLAN VPN通过简单的增加Tag标签完成报文封装,并形成以 VLAN ID标识的隧道。 每个VPN一个隧道或多个隧道(灵活QinQ)
27
VLAN VPN的原理 的原理
VLAN VPN是一种提供简单二层VPN服务的VLAN技术
通过双层TAG标签隔离VPN和Public流量 通过外层VLAN ID区分VPN业务 通过保留内存VLAN ID区分客户业务
协议VLAN的特点及特殊应用 的特点及特殊应用 协议
协议VLAN采用的技术决定了自身的特点:
节省上层交换机的VLAN数量,屏蔽接入VLAN 降低汇聚层交换机的VLAN接口数量 浪费大量的MAC地址表项
协议VLAN的特殊应用
资源共享
连接共享资源的为isolate-user VLAN 连接客户端的为secondary VLAN
14
Isolate-user-VLAN的基本原理 的基本原理
Isolate-user-VLAN的基本原理基于两个基本技术:
Hybrid端口技术 MAC地址同步技术
Hybrid端口技术的应用
所有端口都为Hybrid 上行端口允许所有VLAN通过 下行端口允许isolate-user VLAN和自己的Secondary VLAN
Access链路
终端接入链路,允许一个VLAN的数据帧通过,数据帧不携带Tag。
Trunk链路
VLAN干道链路,允许多个VLAN的数据帧通过,数据帧携带Tag(端 口缺省VLAN的数据帧除外)。
Hybrid链路
混合链路,允许多个VLAN的数据帧通过,数据帧是否携带Tag可以 灵活控制。
4
划分VLAN的方法 的方法 划分
19
Super VLAN的应用 的应用
Super VLAN是一种节省VLAN接口及IP地址的三层VLAN技术
普通VLAN组网应用
N个VLAN,需要N个VLAN接口,N个IP子网 每个IP子网需要固定的三个IP地址(网关地址、广播地址、网段地址)
Super VLAN组网应用
唯一VLAN接口为所有sub VLAN服务 节省3(N-1)个IP地址
isolate-user-vlan isolate-user-vlan secondary vlan-id-list 建立映射关系前必须配置好各secondary vlan和isolate-user-vlan的端 口成员。
18
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
MAC地址同步技术
各Secondary VLAN学习的MAC地址同步到isolater-user VLAN Isolater-user VLAN学习的MAC地址同步到各Secondary VLAN
15
MAC地址同步结果 地址同步结果
下面是MAC地址同步后的结果:
MAC ADDR VLAN ID STATE 0000-0000-0001 10 Learned 0000-0000-0001 2 Learned 0000-0000-0002 10 Learned 0000-0000-0002 3 Learned 0000-0000-0005 10 Learned 0000-0000-0005 2 Learned 0000-0000-0005 3 Learned
ARP Proxy应用于相同IP网段处于不同物理网段时的ARP报文 转发
ARP广播报文的转发范围,本网段 路由器(三层网关)的中继
检查路由和ARP表项 ARP 以自己的身份代替目标主机响应ARP请求
22
Super VLAN的实现模型 的实现模型
Super VLAN的实现
Super VLAN与Sub VLAN形成映射 不同Sub VLAN主机在不同的广播域 各sub VLAN借用super VLAN的VLAN接口进行三层通行 Sub VLAN间的通信依靠Super VLAN接口的ARP Proxy完成
– 统一协议VLAN最多包含5个协议模板(即协议索引)
配置端口为Hybrid并下发协议VLAN
port link-type hybrid port hybrid vlan vlan-id untagged port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index ] | all }
9
协议组ID A A B B B
协议组与VLAN的映射 的映射 协议组与
协议组与VLAN的映射
协议组ID与VLAN ID形成唯一映射 每端口一张映射表 映射表必须包含一个特殊表项
无协议ID,VLAN ID为端口的PVID
协议组ID A B
VLAN ID 5 10 1(PVID)
10
协议VLAN的配置 的配置 协议
PORT INDEX Ethernet0/1 Ethernet0/1 Ethernet0/2 Ethernet0/2 Ethernet0/10 Ethernet0/10 Ethernet0/10
AGING TIME AGING AGING AGING AGING AGING AGING AGING
16
11
协议VLAN的维护命令 的维护命令 协议
协议VLAN提供如下维护命令
查询协议VLAN的协议模板
display protocol-vlan vlan-id
查询端口的协议VLAN
display protocol-vlan interface interface-number
12
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
17
Isolate-user-VLAN的配置 的配置
Isolate-user-VLAN的配置分为如下几个步骤:
配置各VLAN的端口成员 使能isolate-user-VLAN(VLAN视图)
isolate-user-vlan enable
建立isolate-user-vlan与secondary vlan的映射(系统视图)
标准以太网、RFC1042或SNAP_8021H格式帧需要确定此参数
确定数据帧的LLC_snaps参数
LLC_Other需要确定此参数,也即是DSAP和SSAP
确定数据帧的snap_pid参数
SNAP_Other 需要确定此参数,也即是PID
7
协议VLAN的协议模板 的协议模板 协议
协议模板根据用户配置形成,主要用于数据帧的协议分类。可 以分为如下几类:
24
Super VLAN的配置 的配置
Super VLAN的配置分为如下几个步骤:
配置Sub VLAN 配置Super VLAN
supervlan(VLAN视图)
配置Super VLAN和Sub VLAN的映射
subvlan sub-vlan-list(VLAN视图)
配置Super VLAN的三层接口
协议组ID
标识一组协议 ,并最终将这一组协议映射到某一VLAN
8
协议VLAN的协议组数据库 的协议组数据库 协议
协议组数据库是一个分配了协议组ID的多组协议的集合
协议模板 协议组ID
每个数据帧得到唯一的协议组ID
帧格式 Ethernet II Ethernet II Ethernet II SNAP_Other LLC_Other 协议号 08-00 08-06 81-37 81-37 81-37
Super VLAN的三层接口一旦配置将自动使能ARP代理,且不能手工 关闭。
Super VLAN的状态检查
display supervlan
25
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
26
VLAN VPN的应用 的应用
序号 1 2
协议类型 IP IPX
VLAN ID 5 10
6
协议VLAN的协议分类 的协议分类 协议
协议VLAN根据帧格式将所有数据帧分为如下几类:
标准以太网帧(Ethernet) RFC1042格式帧 SNAP_8021H格式帧 SNAP_Other格式帧 LLC_Other格式帧
确定IEEE 802.3类型(EtherType)参数
划分VLAN的方法:
基于端口划分VLAN 基于协议划分VLAN 基于IP子网划分VLAN 基于MAC地址划分VLAN
协议VLAN
基于协议划分的VLAN 基于IP子网划分的VLAN有时也被称为协议VLAN
5
协议VLAN的组网应用 的组网应用 协议
协议VLAN的应用
根据数据帧指示的上层协议类型进行VLAN的划分 运行同一协议的主机属于同一个VLAN 同一端口可能存在不同的协议类型 不同的协议类型可能属于不同的VLAN 端口可能属于多个协议VLAN,Hybrid链路的典型应用
13
Isolate-user-VLAN的应用 的应用
Isolate-user-VLAN是一种纯二层的VLAN技术。它的主要目标 是在解决大量接入层用户的隔离问题的同时又不增加汇聚层设 备负担。
接入交换机SA或SB的所有用户共享同一个VLAN接入到汇聚交换 机SC 接入交换机的用户之间采用独立的VLAN ID进行用户隔离
20
Байду номын сангаас
Super VLAN的工作原理 的工作原理
Super VLAN中的概念
Super VLAN:
超级VLAN,提供VLAN三层接口并为所有Sub VLAN提供三层转发服 务
Sub VLAN
隔离各Sub VLAN用户之间的二层广播
ARP Proxy
完成各Sub VLAN之间的ARP报文代理
21
ARP Proxy
28
VLAN VPN的配置 的配置
VLAN VPN的配置包括:
是能VLAN VPN (端口视图)
vlan-vpn enable VLAN VPN不能与GVRP、GMRP、NTDP、STP、802.1X以及IRF 在同一端口下共存
配置外层标签优先级信任(端口视图)
vlan-vpn inner-cos-trust enable
23
Super VLAN的通信 的通信
Super VLAN中存在如下几种通信:
Sub VLAN到外部的三层通信
等同于Super VLAN到外部的三层通信
Sub VLAN之间的通信
ARP Proxy
Super VLAN与外部的二层通信(不存在)
禁止super VLAN包含用户 Trunk链路禁止super VLAN
协议VLAN的配置主要分为两个步骤:
配置协议VLAN的协议模板(VLAN视图)
protocol-vlan [ procotol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id [ ssap ssap-id ] | ssap ssap-id } | snap etype etype-id }
配置外层标签的TPID(端口视图)
vlan-vpn tpid 9100
29
BPDU Tunnel
BPDU Tunnel是为了解决VPN网络环路而出现的隧道技术之一
引入
二层交换机横行天下时,广播也泛滥成灾 VLAN技术解决上述根本问题 4K VLAN无法满足大型网络之需 VLAN隔离、VLAN聚合横空出世
1
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
2
VLAN技术简要回顾 1 技术简要回顾
VLAN技术以802.1Q为标准规定了协议的工作原理、基本构架 VLAN技术核心技术在于对标准以太网数据帧的改造
802.1Q数据帧
TPID:0X8100 Priority:802.1P优先级 CFI:地址格式指示 VLAN ID:数据的VLAN归属
3
VLAN技术简要回顾 2 技术简要回顾
VLAN网络中的链路类型:
VLAN VPN通过简单的增加Tag标签完成报文封装,并形成以 VLAN ID标识的隧道。 每个VPN一个隧道或多个隧道(灵活QinQ)
27
VLAN VPN的原理 的原理
VLAN VPN是一种提供简单二层VPN服务的VLAN技术
通过双层TAG标签隔离VPN和Public流量 通过外层VLAN ID区分VPN业务 通过保留内存VLAN ID区分客户业务
协议VLAN的特点及特殊应用 的特点及特殊应用 协议
协议VLAN采用的技术决定了自身的特点:
节省上层交换机的VLAN数量,屏蔽接入VLAN 降低汇聚层交换机的VLAN接口数量 浪费大量的MAC地址表项
协议VLAN的特殊应用
资源共享
连接共享资源的为isolate-user VLAN 连接客户端的为secondary VLAN
14
Isolate-user-VLAN的基本原理 的基本原理
Isolate-user-VLAN的基本原理基于两个基本技术:
Hybrid端口技术 MAC地址同步技术
Hybrid端口技术的应用
所有端口都为Hybrid 上行端口允许所有VLAN通过 下行端口允许isolate-user VLAN和自己的Secondary VLAN
Access链路
终端接入链路,允许一个VLAN的数据帧通过,数据帧不携带Tag。
Trunk链路
VLAN干道链路,允许多个VLAN的数据帧通过,数据帧携带Tag(端 口缺省VLAN的数据帧除外)。
Hybrid链路
混合链路,允许多个VLAN的数据帧通过,数据帧是否携带Tag可以 灵活控制。
4
划分VLAN的方法 的方法 划分
19
Super VLAN的应用 的应用
Super VLAN是一种节省VLAN接口及IP地址的三层VLAN技术
普通VLAN组网应用
N个VLAN,需要N个VLAN接口,N个IP子网 每个IP子网需要固定的三个IP地址(网关地址、广播地址、网段地址)
Super VLAN组网应用
唯一VLAN接口为所有sub VLAN服务 节省3(N-1)个IP地址
isolate-user-vlan isolate-user-vlan secondary vlan-id-list 建立映射关系前必须配置好各secondary vlan和isolate-user-vlan的端 口成员。
18
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
MAC地址同步技术
各Secondary VLAN学习的MAC地址同步到isolater-user VLAN Isolater-user VLAN学习的MAC地址同步到各Secondary VLAN
15
MAC地址同步结果 地址同步结果
下面是MAC地址同步后的结果:
MAC ADDR VLAN ID STATE 0000-0000-0001 10 Learned 0000-0000-0001 2 Learned 0000-0000-0002 10 Learned 0000-0000-0002 3 Learned 0000-0000-0005 10 Learned 0000-0000-0005 2 Learned 0000-0000-0005 3 Learned
ARP Proxy应用于相同IP网段处于不同物理网段时的ARP报文 转发
ARP广播报文的转发范围,本网段 路由器(三层网关)的中继
检查路由和ARP表项 ARP 以自己的身份代替目标主机响应ARP请求
22
Super VLAN的实现模型 的实现模型
Super VLAN的实现
Super VLAN与Sub VLAN形成映射 不同Sub VLAN主机在不同的广播域 各sub VLAN借用super VLAN的VLAN接口进行三层通行 Sub VLAN间的通信依靠Super VLAN接口的ARP Proxy完成
– 统一协议VLAN最多包含5个协议模板(即协议索引)
配置端口为Hybrid并下发协议VLAN
port link-type hybrid port hybrid vlan vlan-id untagged port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index ] | all }
9
协议组ID A A B B B
协议组与VLAN的映射 的映射 协议组与
协议组与VLAN的映射
协议组ID与VLAN ID形成唯一映射 每端口一张映射表 映射表必须包含一个特殊表项
无协议ID,VLAN ID为端口的PVID
协议组ID A B
VLAN ID 5 10 1(PVID)
10
协议VLAN的配置 的配置 协议
PORT INDEX Ethernet0/1 Ethernet0/1 Ethernet0/2 Ethernet0/2 Ethernet0/10 Ethernet0/10 Ethernet0/10
AGING TIME AGING AGING AGING AGING AGING AGING AGING
16
11
协议VLAN的维护命令 的维护命令 协议
协议VLAN提供如下维护命令
查询协议VLAN的协议模板
display protocol-vlan vlan-id
查询端口的协议VLAN
display protocol-vlan interface interface-number
12
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
17
Isolate-user-VLAN的配置 的配置
Isolate-user-VLAN的配置分为如下几个步骤:
配置各VLAN的端口成员 使能isolate-user-VLAN(VLAN视图)
isolate-user-vlan enable
建立isolate-user-vlan与secondary vlan的映射(系统视图)
标准以太网、RFC1042或SNAP_8021H格式帧需要确定此参数
确定数据帧的LLC_snaps参数
LLC_Other需要确定此参数,也即是DSAP和SSAP
确定数据帧的snap_pid参数
SNAP_Other 需要确定此参数,也即是PID
7
协议VLAN的协议模板 的协议模板 协议
协议模板根据用户配置形成,主要用于数据帧的协议分类。可 以分为如下几类:
24
Super VLAN的配置 的配置
Super VLAN的配置分为如下几个步骤:
配置Sub VLAN 配置Super VLAN
supervlan(VLAN视图)
配置Super VLAN和Sub VLAN的映射
subvlan sub-vlan-list(VLAN视图)
配置Super VLAN的三层接口
协议组ID
标识一组协议 ,并最终将这一组协议映射到某一VLAN
8
协议VLAN的协议组数据库 的协议组数据库 协议
协议组数据库是一个分配了协议组ID的多组协议的集合
协议模板 协议组ID
每个数据帧得到唯一的协议组ID
帧格式 Ethernet II Ethernet II Ethernet II SNAP_Other LLC_Other 协议号 08-00 08-06 81-37 81-37 81-37
Super VLAN的三层接口一旦配置将自动使能ARP代理,且不能手工 关闭。
Super VLAN的状态检查
display supervlan
25
课程内容
协议VLAN 第一章 协议 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN
26
VLAN VPN的应用 的应用
序号 1 2
协议类型 IP IPX
VLAN ID 5 10
6
协议VLAN的协议分类 的协议分类 协议
协议VLAN根据帧格式将所有数据帧分为如下几类:
标准以太网帧(Ethernet) RFC1042格式帧 SNAP_8021H格式帧 SNAP_Other格式帧 LLC_Other格式帧
确定IEEE 802.3类型(EtherType)参数
划分VLAN的方法:
基于端口划分VLAN 基于协议划分VLAN 基于IP子网划分VLAN 基于MAC地址划分VLAN
协议VLAN
基于协议划分的VLAN 基于IP子网划分的VLAN有时也被称为协议VLAN
5
协议VLAN的组网应用 的组网应用 协议
协议VLAN的应用
根据数据帧指示的上层协议类型进行VLAN的划分 运行同一协议的主机属于同一个VLAN 同一端口可能存在不同的协议类型 不同的协议类型可能属于不同的VLAN 端口可能属于多个协议VLAN,Hybrid链路的典型应用