? 前言:
? ? ? ? ? ? ?1:華為VLAN聚合通過邏輯分層設計,將廣播域隔離與子網共享結合,既解決了IP地址浪費問題,又實現了靈活的網絡管理
? ? ? ? ? ? ? 2:MUX VLAN(Multiplex VLAN)提供了一種通過VLAN進行網絡資源控制的機制
? ? ? ? ? ? ? 3:QinQ(也稱VLAN Stacking或雙層VLAN標簽技術)是華為設備中用于擴展VLAN數量和簡化網絡管理的關鍵技術,主要應用于運營商網絡、大規模企業網等場景
VLAN聚合:
傳統VLAN設計中,每個VLAN需分配獨立的子網,但每個子網中的子網號(如192.168.1.0)、廣播地址(如192.168.1.255)和網關地址(如192.168.1.1)均無法用于主機,導致大量地址閑置。例如,一個僅需10個主機地址的VLAN可能需分配一個/28子網(含16個地址),其中3個地址被系統占用,剩余13個地址中未使用的也無法被其他VLAN共享? ? ? ?
當網絡中存在大量小型VLAN(如企業部門、酒店客房),每個VLAN單獨劃分子網會導致地址碎片化,管理復雜度高,且難以動態調整
需要將不同用戶或設備隔離到獨立的廣播域,但又不希望因IP子網劃分限制地址分配的靈活性
所以存在子網劃分不靈活?廣播域隔離需求 IP地址浪費等問題
華為VLAN聚合(VLAN Aggregation,又稱Super VLAN)是一種通過邏輯分層優化IP地址分配的技術,其核心目標是解決傳統VLAN設計中IP地址浪費的問題,同時實現廣播域隔離與靈活編址
概述:
Super VLAN(VLAN聚合)
僅作為三層邏輯接口(VLANIF),不綁定任何物理端口,負責子網網關功能
指在一個物理網絡內,用多個VLAN(Sub VLAN)隔離廣播域,并將這些VLAN聚合成一個邏輯的VLAN(Super VLAN),這些Sub VLAN共享其IP子網和缺省網關
Sub VLAN(子VLAN)
僅包含物理接口,用于隔離廣播域,每個Sub VLAN綁定物理端口,用于隔離不同用戶或設備,無法配置三層接口
多個Sub VLAN共享Super VLAN的IP子網,所有主機的IP地址均屬于Super VLAN的網段,無法配置獨立的三層接口,必須通過Super VLAN進行跨子網通信
原理:
IP地址共享
所有Sub VLAN的主機從Super VLAN的同一IP子網中分配地址(如192.168.1.0/24),避免傳統VLAN中子網號、廣播地址、網關地址的重復占用。
示例:
Super VLAN:192.168.1.0/24(網關192.168.1.1)
Sub VLAN 10:192.168.1.2-50
Sub VLAN 20:192.168.1.51-100
二層隔離與三層互通
Sub VLAN內部:同一Sub VLAN的主機可直接二層通信(廣播域內)
Sub VLAN間:需通過Super VLAN的三層路由轉發,依賴代理ARP實現跨廣播域通信
當Sub VLAN與其他設備進行二層通信時,與普通VLAN內二層通信無區別
當主機A(Sub VLAN 10)請求主機B(Sub VLAN 20)的MAC地址時,Super VLAN的網關會代理響應,引導流量經三層轉發
代理ARP(Proxy ARP)
Super VLAN的VLANIF接口啟用代理ARP功能,使不同Sub VLAN的主機誤以為處于同一廣播域,實際流量通過三層路由轉發
當主機A(Sub VLAN 10)嘗試與主機B(Sub VLAN 20)通信時:
主機A發送ARP請求(詢問主機B的MAC地址)
Super VLAN的網關(VLANIF接口)代理響應,返回自己的MAC地址(而非主機B的真實MAC)
主機A將數據包發送給Super VLAN的網關
網關進行三層路由,將數據包轉發到主機B所在的Sub VLAN
本質:
主機誤以為跨Sub VLAN通信是二層可達,實際通過三層路由完成
代理ARP是跨Sub VLAN通信的“欺騙”機制,確保流量經過網關
配置命令:
? ? ??
| 創建Super-VLAN (進入vlan 100后配置) | [Huawei-vlan100] aggregate-vlan | Super-VLAN中不能包含任何物理接口,VLAN1不能配置為Super-VLAN Super-VLAN中的VLAN ID與Sub-VLAN中的VLAN ID 必須使用不同的VLAN ID |
| 將Sub-VLAN加入Super-VLAN | access-vlan 10 20 | 將Sub-VLAN加入到Super-VLAN中時,必須保證Sub-VLAN沒有創建對應的VLANIF接口 |
| 使能Super-VLAN對應的VLANIF接口的Proxy ARP | arp-proxy inter-sub-vlan-proxy enable | 上面兩條都要在同一個vlan口上配置 這個要在VLANIF接口上 |
MUX VLAN
企業內部員工需互相通信,同時需訪問共享資源(如服務器)
外部客戶或合作伙伴需訪問企業服務器,但彼此間需嚴格隔離,防止信息泄露
傳統方案需通過ACL(訪問控制列表)或復雜的三層策略實現隔離與共享,配置繁瑣且擴展性差
于是就產生MUX VLAN,通過二層機制直接實現隔離,降低復雜度,可以實現資源共享與隔離并存,簡化網絡架構
MUX VLAN(也稱為復合VLAN或多路復用VLAN)是華為設備中一種特殊的VLAN技術,其核心思想是通過定義主VLAN(Principal VLAN)和從VLAN(Subordinate VLAN),實現端口間的靈活隔離與互通
概述:
MUX VLAN由以下三類VLAN構成:
| 類型 | 功能 |
|---|---|
| 主VLAN(Principal VLAN) | 作為邏輯容器,包含所有從VLAN(隔離型與互通型)。主VLAN的端口可訪問所有從VLAN |
| 隔離型從VLAN(Separate VLAN) | 同一隔離型從VLAN內的端口彼此完全隔離(即同一個VLAN內的端口不能互相通信),僅能與主VLAN通信 |
| 互通型從VLAN(Group VLAN) | 同一互通型從VLAN內的端口可互相通信,且能與主VLAN通信 |
| 兩個互通型從VLAN不能互相通信,也不能與隔離型VLAN通信 |
配置命令:
| 配置MUX VLAN中的主 VLAN | [Huawei-vlan10] mux-vlan | 如果指定VLAN已經用于主 VLAN,那么該VLAN不能在Super-VLAN、 Sub-VLAN的配置中使用 |
| 配置從 VLAN中的Group VLAN | [Huawei-vlan10] subordinate group 20 | 互通型從VLAN 20 |
| 配置從 VLAN中的Separate VLAN | [Huaweivlan10]subordinate separate 30 | 隔離型從VLAN 30 |
| 啟用接口MUX VLAN功能 | [Huawei-GigabitEthernet0/0/2] port mux-vlan enable? | 所有端口必須為access模式 |
| 主VLAN和從VLAN的端口不能配置VLANIF接口 | 每個MUX VLAN中僅能配置一個隔離型從VLAN | 可配置多個互通型從VLAN(最多128個) |
QinQ
??傳統VLAN僅支持4094個VLAN ID(范圍1~4094),在運營商網絡或大型企業網中,每個客戶或業務需分配獨立VLAN,導致ID迅速耗盡
運營商需在同一物理鏈路上承載不同客戶的流量,并確保嚴格隔離。傳統VLAN需為每個客戶分配獨立ID,管理復雜且不靈活
? 于是QinQ(VLAN Stacking,雙層VLAN標簽技術)的誕生源于傳統VLAN技術在大規模網絡(尤其是運營商網絡)中的局限性,以及企業對網絡擴展性、靈活性和管理簡化的迫切需求
概述:
? QinQ其核心思想是通過在原始VLAN標簽(內層標簽)外再封裝一層新的VLAN標簽(外層標簽),實現多層級網絡流量的靈活隔離與傳輸
雙層VLAN標簽
內層VLAN標簽:由用戶側設備(如企業交換機)生成,標識用戶內部的VLAN劃分
外層VLAN標簽:由運營商網絡設備(如骨干交換機)添加,用于標識不同的業務或客戶
所以即使內層VLANTag相同,也能通過外層VLANTag區分不同用戶
標簽封裝與解封裝
上行封裝(用戶→運營商):運營商設備在接收用戶流量時,根據配置添加外層標簽
下行封裝(運營商→用戶):運營商設備剝離外層標簽后,將僅含內層標簽的幀發送給用戶網絡
| 基本QinQ | 所有用戶流量統一添加固定外層標簽(靜態配置) | 基于端口實現的 |
| 靈活QinQ | 根據用戶內層標簽動態匹配外層標簽,簡單來說就是根據不同的內層Tag而加上不同的外層Tag | 可根據流分類的結果選擇是否打外層VLAN Tag |
配置命令
| 基本QinQ | 配置 |
| 配置接口類型為dot1q-tunnel | [Huawei-GigabitEthernet0/0/1] port link-type dot1q-tunnel |
| 固定外層標簽為VLAN 100 | [Huawei-GigabitEthernet0/0/1] port default vlan 100 ? |
| 靈活QinQ | 配置 | ||
| 開啟接口VLAN轉換功能 | [Huawei-GigabitEthernet0/0/1] qinq vlan-translation enable | 盒式設備需要配置此命令,框式不需要 | |
| 配置靈活QinQ | [Huawei-GigabitEthernet0/0/1] port vlan-stacking vlan 10(to) stack-vlan 100(to) | 接口類型要設為hybrid (后面需要去除標簽) port hybrid untagged vlan 100 | |
:Java 篇)
)
