MUX VLAN
概述
应用典型场景:在企业网络中,1.企业员工和企业客户可以访问企业的服务器。对于企业来说,2.希望企业内部员工之间可以互相交流,而3.企业客户之间是隔离的,不能够互相访问。
普通VLAN技术应用局限:为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
MUX VLAN通过将普通VLAN再划分为不同类别VLAN实现内部的隔离和互通,完成上述典型场景业务:
典型场景实验
使用ENSP环境的S5700,由于该设备不支持同时配置vlanif和mux-vlan(问AI原因是现实设备转发芯片不支持配置这两种方式时不同的转发策略), 实验不成功。下面给出大致配置过程参考:
交换机配置:
# 设计10为principal, 20为group, 30为separate vlan batch 10 20 30 # vlan 10 mux-vlan subordinate separate 30 subordinate group 20 # 增加vlanif 10配置,ip地址为各设备网关 # interface GigabitEthernet0/0/1 port link-type access port default vlan 20 port mux-vlan enable # interface GigabitEthernet0/0/2 port link-type access port default vlan 20 port mux-vlan enable # interface GigabitEthernet0/0/3 port link-type access port default vlan 30 port mux-vlan enable # interface GigabitEthernet0/0/4 port link-type access port default vlan 30 port mux-vlan enable # interface GigabitEthernet0/0/24 port link-type access port default vlan 10 port mux-vlan enablearp proxy是路由器/三层设备的代理功能:当设备收到ARP请求时,代替目标主机回复,让请求者认为目标在同一网段,实际上流量经过三层转发。
什么时候使用arp proxy:同网段、二层隔离时,需要三层互通
VLAN聚合
问题场景:业务配置多个VLAN, 每个VLAN一个网段会浪费3个IP地址(网络地址、子网定向广播地址、网关地址-作为vlanif接口地址),且子网中IP地址即使没使用也不能被其他VLAN使用。
VLAN聚合:通过降低VLAN划分粒度减少IP地址浪费,即将VLAN划分为super-vlan和sub-vlan。多个sub-vlan对应一个super-vlan, 只在super-vlan分配IP子网,所有的sub-vlan通过super-vlan的网关进行三层通信。
# vlan batch 10 20 30 40 99 # vlan 10 aggregate-vlan access-vlan 20 30 40 # interface Vlanif1 # interface Vlanif10 ip address 10.1.1.254 255.255.255.0 arp-proxy inter-sub-vlan-proxy enable # interface Vlanif99 ip address 192.168.10.254 255.255.254.0 # interface GigabitEthernet0/0/1 port link-type access port default vlan 20 # interface GigabitEthernet0/0/2 port link-type access port default vlan 30 # interface GigabitEthernet0/0/3 port link-type access port default vlan 40 # interface GigabitEthernet0/0/24 port link-type access port default vlan 99上述配置实现在不同sub-vlan配置同一网段,sub-vlan与不属于super-vlan的sub-vlan互通,与其他相同super-vlan的sub-vlan间互通(arp-proxy inter-sub-vlan-proxy enable)。sub-vlan的IP地址在super-vlan的网段内灵活分配。
VLAN mapping
应用场景:当局域网内规划的VLAN ID不同但需要二层互通时。
VLAN mapping: 一种VLAN转换技术,在数据帧进入或离开交换机端口时,将原有的VLAN tag替换为另一个VLAN tag。
LSW1: # vlan batch 10 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 10 20 LSW2: # vlan batch 20 # interface GigabitEthernet0/0/1 qinq vlan-translation enable port link-type trunk port trunk allow-pass vlan 10 20 port vlan-mapping vlan 10 map-vlan 20 # 自动完成双向转换,入口vlan10转换成vlan20,出口vlan20转换成vlan10 # interface GigabitEthernet0/0/24 port link-type access port default vlan 20Voice VLAN
voice VLAN的目的是在使用IP网传输语音数据时,由于用户对语音质量是强感知的,通过此技术保障语音质量。具体质量细分如下(AI总结):
| 目的 | 实现方式 | 效果 |
|---|---|---|
| 语音数据分离 | 语音VLAN 10,数据VLAN 20 | 数据突发不影响语音带宽 |
| 优先级保障 | 802.1p CoS 5 + DSCP EF | 网络拥塞时语音优先通过 |
| 延迟控制 | PQ严格优先级队列 | 语音包最先转发,延迟<150ms |
| 抖动控制 | 缓存管理和流量整形 | 语音流平滑,无卡顿 |
| 安全接入 | MAC/LLDP识别 + 端口安全 | 防止非法设备接入语音网络 |
| 简化部署 | 即插即用,自动识别 | 大规模部署无需人工配置每个端口 |
识别入网设备是语音输入设备(IP电话):
| 识别方式 | 原理 | 适用场景 | 优先级 |
|---|---|---|---|
| MAC 地址识别 | 匹配 IP Phone 的 OUI(厂商MAC前缀) | 所有IP Phone,最通用 | 高 |
| LLDP 识别 | 通过LLDP协议识别设备类型为"Telephone" | 支持LLDP的智能IP Phone | 中 |
| CDP 识别 | 思科私有协议识别(华为兼容) | 思科IP Phone环境 | 低 |
LLDP协议:LLDP 是一种数据链路层(二层)发现协议,用于网络设备之间自动交换和通告自身的身份、能力和拓扑信息。
