VLAN擴展技術

端口隔離

🌐 一、原理總結：

端口隔離功能：實現同一VLAN內端口之間的二層隔離。
用戶只需將端口加入同一個隔離組（Port-isolate group），即可實現這些端口之間不能互通。
實現效果：更安全、更加靈活的組網方案。

📌 二、示例說明（結合圖示）：

PC1、PC2、PC3 同屬 VLAN 2，正常情況下三者可以互相通信。
將 PC1 和 PC2 所在端口（G0/0/1 和 G0/0/2）加入同一個隔離組（group 1）：
plaintext

復制編輯

[Switch-GigabitEthernet0/0/1] port-isolate enable group 1 [Switch-GigabitEthernet0/0/2] port-isolate enable group 1

此時，PC1 和 PC2 無法直接進行二層通信。

? 三、為什么要加隔離又要開啟通信？

加隔離的目的：防止廣播風暴、提升網絡健壯性，尤其在大規模二層網絡中尤為重要。
但實際中部分場景（如 PC1 和 PC2 需要互訪）又需要通信，此時可以啟用三層通信：
plaintext

復制編輯

[SW1-Vlanif10] arp-proxy inner-sub-vlan-proxy enable

啟用后，通過 VLAN 接口代理 ARP，實現三層互通，繞過二層隔離。

? 四、總結一句話：

端口隔離用于同 VLAN 內二層端口間的隔離，提升安全與可靠性；需要通信時可通過 VLAN 接口的 ARP 代理機制實現三層互通。

?Supervlan

🌐 Super-VLAN 與 Sub-VLAN 通信機制總結

📘 基本概念

類型	特點說明
Super-VLAN	建立三層 VLANIF 接口，不包含物理接口，作為多個 Sub-VLAN 的統一網關
Sub-VLAN	包含物理接口，不建立 VLANIF 接口，用于隔離廣播域

🔄 通信規則

通信場景	是否可通信	原因與機制
? 同一 Sub-VLAN 內	可以	屬于同一廣播域，二層直通
? 不同 Sub-VLAN（未開啟 ARP 代理）	不可以	廣播域隔離，無法通過 ARP 獲取 MAC，無法通信
? 不同 Sub-VLAN（開啟 ARP 代理）	可以	ARP 請求由 Super-VLAN 的 VLANIF 代理響應，實現三層轉發通信

🧠 ARP 代理作用

接收 Sub-VLAN A 發出的 ARP 請求；
Super-VLAN 的 VLANIF 接口代為響應；
將數據轉發至目標 Sub-VLAN；
實現隔離廣播域間的通信。

? 配置意義

節省網關 IP 地址：多個 Sub-VLAN 共享一個三層網關；
提升地址管理效率：更靈活的 IP 地址池擴容機制；
增強租戶隔離性：廣播域隔離，提升網絡安全性和性能；
適合多租戶場景：如企業園區、酒店、運營商網絡等。

QinQ

🌐 一、QinQ技術概述

QinQ 是一種 VLAN 標簽疊加技術，通過在原有 802.1Q VLAN 標簽基礎上，再加一層外層 VLAN 標簽，從而實現 VLAN 空間的擴展。

內層Tag（Customer VLAN / C-VLAN）：用戶私有網絡的 VLAN。
外層Tag（Service VLAN / S-VLAN）：運營商或服務網絡打上的 VLAN。

QinQ 報文具有 雙層 VLAN Tag，用于實現跨越公網的用戶隔離和靈活分類管理。

🧱 二、基本QinQ

特點：

基本QinQ 是基于端口配置的，即只要用戶報文進入某個端口，就統一打上固定的外層Tag。

處理流程：

SW1 接收用戶報文（帶有內層 VLAN ID 10 或 20），轉發給 SW2。
SW2 根據端口配置，為報文添加一層外層 VLAN Tag（如 VLAN ID 100）。
帶雙層 Tag 的報文在網絡中轉發。
SW3 接收報文后，剝離外層Tag（VLAN 100），再將報文轉發給 SW4。
SW4 根據剩余的內層 VLAN ID 以及 MAC 地址進行轉發。

適用場景： 用戶較為固定，分類簡單。

🧠 三、靈活QinQ

特點：

靈活QinQ 是基于策略配置外層 VLAN Tag，分類更細致。
可以根據如下條件靈活分類打Tag：
- VLAN標簽
- 優先級（802.1p）
- MAC地址
- 協議類型
- 源IP地址
- 應用程序端口號等

處理流程：

SW1 接收報文（VLAN 10 或 20），轉發給 SW2。
SW2 根據策略識別：
- VLAN 10 報文 → 加外層 Tag VLAN 100
- VLAN 20 報文 → 加外層 Tag VLAN 200
帶有雙層Tag的報文正常在網絡中轉發。
SW3 剝離外層 Tag（100 或 200），保留內層 Tag（10 或 20）。
SW4 根據 VLAN 和 MAC 地址完成最終轉發。

適用場景： 多業務類型、多租戶、復雜分類需求。

🔁 四、QinQ技術作用

作用	說明
擴展VLAN空間	解決 802.1Q VLAN 數量限制（最大4094）的瓶頸問題
支持多租戶隔離	每個租戶使用自己的 VLAN，不互相干擾
跨公網傳輸	用戶報文通過雙層Tag可以安全穿越運營商網絡
提供更靈活的策略	靈活QinQ根據多種字段進行流分類，支持 QoS、ACL 等策略

VXLAN

🟥 一、傳統網絡面臨的問題

1?? MAC 表規模受限

隨著虛擬化發展，VM 數量激增。

二層設備的 MAC 表無法支撐高速增長的 VM 數量。

每臺設備都需維護龐大的 MAC 表，管理壓力驟增。

2?? VLAN 數量受限

VLAN ID 長度為 12bit，僅支持 4096 個 VLAN。

無法滿足大型數據中心海量租戶的隔離需求。

3?? 虛擬機遷移受限

傳統網絡中，虛擬機遷移必須在同一 VLAN 中進行。

跨 VLAN / 跨網段遷移受限，資源調度缺乏靈活性。

🟦 二、VXLAN 的優勢與封裝格式

🔷 1. 基本原理

VXLAN 是基于 UDP 封裝 的「二層 over 三層」隧道協議。

能夠 封裝二層幀，通過三層網絡（甚至廣域網）傳輸。

實現跨地域、跨網絡的虛擬二層互聯。

🔷 2. 打破 VLAN 限制

使用 24bit 的 VNI（VXLAN Network Identifier）進行隔離。

支持多達 22? ≈ 1600 萬個邏輯網絡，極大提升擴展性。

🔷 3. 封裝結構解析

外層封裝：以太網頭 + IP頭（源/目的 VTEP IP）+ UDP頭（端口 4789） VXLAN Header： ┌────────┬───────────────┬───────────┬────────┐ │ Flags │ 保留字段(24b) │ VNI(24b) │ 保留(8b) │ └────────┴───────────────┴───────────┴────────┘ 內層數據：原始二層幀（MAC、IP、Payload）

🟨 三、總結對比表

問題類型	VLAN（傳統）	VXLAN（改進）
租戶隔離能力	12bit → 4096 個 VLAN	24bit VNI → 1600 萬個邏輯網絡
MAC 表規模	MAC 學習壓力大	只需識別 VTEP IP，簡化 MAC 學習負擔
虛擬機遷移限制	僅限同 VLAN 內遷移	跨 VLAN / 廣域網遷移，靈活調度資源
網絡擴展性	靜態 VLAN 配置	支持 SDN 自動化編排，彈性部署

🧠 總結亮點

VXLAN 以三層為基礎，實現靈活的二層擴展。
廣域網穿越能力強，支持大規模租戶隔離。
是傳統 VLAN 技術的重要補充和升級方案。

MUXVLAN

🟥 MUX VLAN 技術解析

🔶 一、什么是 MUX VLAN？

MUX VLAN（Multiplex VLAN）是一種將 VLAN 進一步細分、分組，以實現更細粒度網絡隔離與訪問控制的機制。通過將主 VLAN 與輔助 VLAN 組合使用，實現類似“分組通信”的效果。

🟦 二、MUX VLAN 構成要素

1?? 主 VLAN（Primary VLAN）

所有參與 MUX VLAN 的端口 共享的主 VLAN。
主 VLAN 是 數據交換的主通道，但其訪問受限。

2?? 輔助 VLAN（Secondary VLAN）隔離和組相互不可通

MUX VLAN 下的端口再細分到不同的輔助 VLAN，分為兩類：

🔹 隔離 VLAN（Isolated VLAN）
- 屬于完全隔離的端口組。
- 不能互相通信，只能和主 VLAN 中的 Promiscuous 端口通信。
- 典型場景：客戶機之間不互通，只能訪問網關/服務器。
🔸 組 VLAN（Community VLAN）?
- 屬于同一個組的端口可以相互通信。
- 同樣只能和 Promiscuous 端口通信。
- 典型場景：小組內部互通，但與其他組隔離。

🟨 三、三種端口類型

端口類型	描述
Promiscuous 端口	可以與所有類型 VLAN 通信（主 VLAN、隔離 VLAN、組 VLAN）通常連接網關或服務器
Isolated 端口	只能和 Promiscuous 端口通信，不能與其他 Isolated 端口通信
Community 端口	同一組 VLAN 中可以通信，不同組間不互通，也可與 Promiscuous 端口通信