VLAN的高级特性
前言:
1:华为VLAN聚合通过逻辑分层设计,将广播域隔离与子网共享结合,既解决了IP地址浪费问题,又实现了灵活的网络管理
2:MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制
3:QinQ(也称VLAN Stacking或双层VLAN标签技术)是华为设备中用于扩展VLAN数量和简化网络管理的关键技术,主要应用于运营商网络、大规模企业网等场景
VLAN聚合:
传统VLAN设计中,每个VLAN需分配独立的子网,但每个子网中的子网号(如192.168.1.0)、广播地址(如192.168.1.255)和网关地址(如192.168.1.1)均无法用于主机,导致大量地址闲置。例如,一个仅需10个主机地址的VLAN可能需分配一个/28子网(含16个地址),其中3个地址被系统占用,剩余13个地址中未使用的也无法被其他VLAN共享
当网络中存在大量小型VLAN(如企业部门、酒店客房),每个VLAN单独划分子网会导致地址碎片化,管理复杂度高,且难以动态调整
需要将不同用户或设备隔离到独立的广播域,但又不希望因IP子网划分限制地址分配的灵活性
所以存在子网划分不灵活 广播域隔离需求 IP地址浪费等问题
华为VLAN聚合(VLAN Aggregation,又称Super VLAN)是一种通过逻辑分层优化IP地址分配的技术,其核心目标是解决传统VLAN设计中IP地址浪费的问题,同时实现广播域隔离与灵活编址
概述:
Super VLAN(VLAN聚合)
仅作为三层逻辑接口(VLANIF),不绑定任何物理端口,负责子网网关功能
指在一个物理网络内,用多个VLAN(Sub VLAN)隔离广播域,并将这些VLAN聚合成一个逻辑的VLAN(Super VLAN),这些Sub VLAN共享其IP子网和缺省网关
Sub VLAN(子VLAN)
仅包含物理接口,用于隔离广播域,每个Sub VLAN绑定物理端口,用于隔离不同用户或设备,无法配置三层接口
多个Sub VLAN共享Super VLAN的IP子网,所有主机的IP地址均属于Super VLAN的网段,无法配置独立的三层接口,必须通过Super VLAN进行跨子网通信
原理:
IP地址共享
所有Sub VLAN的主机从Super VLAN的同一IP子网中分配地址(如192.168.1.0/24),避免传统VLAN中子网号、广播地址、网关地址的重复占用。
示例:
Super VLAN:192.168.1.0/24(网关192.168.1.1)
Sub VLAN 10:192.168.1.2-50
Sub VLAN 20:192.168.1.51-100
二层隔离与三层互通
Sub VLAN内部:同一Sub VLAN的主机可直接二层通信(广播域内)
Sub VLAN间:需通过Super VLAN的三层路由转发,依赖代理ARP实现跨广播域通信
当Sub VLAN与其他设备进行二层通信时,与普通VLAN内二层通信无区别
当主机A(Sub VLAN 10)请求主机B(Sub VLAN 20)的MAC地址时,Super VLAN的网关会代理响应,引导流量经三层转发
代理ARP(Proxy ARP)
Super VLAN的VLANIF接口启用代理ARP功能,使不同Sub VLAN的主机误以为处于同一广播域,实际流量通过三层路由转发
当主机A(Sub VLAN 10)尝试与主机B(Sub VLAN 20)通信时:
主机A发送ARP请求(询问主机B的MAC地址)
Super VLAN的网关(VLANIF接口)代理响应,返回自己的MAC地址(而非主机B的真实MAC)
主机A将数据包发送给Super VLAN的网关
网关进行三层路由,将数据包转发到主机B所在的Sub VLAN
本质:
主机误以为跨Sub VLAN通信是二层可达,实际通过三层路由完成
代理ARP是跨Sub VLAN通信的“欺骗”机制,确保流量经过网关
配置命令:
| 创建Super-VLAN (进入vlan 100后配置) | [Huawei-vlan100] aggregate-vlan | Super-VLAN中不能包含任何物理接口,VLAN1不能配置为Super-VLAN Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID 必须使用不同的VLAN ID |
| 将Sub-VLAN加入Super-VLAN | access-vlan 10 20 | 将Sub-VLAN加入到Super-VLAN中时,必须保证Sub-VLAN没有创建对应的VLANIF接口 |
| 使能Super-VLAN对应的VLANIF接口的Proxy ARP | arp-proxy inter-sub-vlan-proxy enable | 上面两条都要在同一个vlan口上配置 这个要在VLANIF接口上 |
MUX VLAN
企业内部员工需互相通信,同时需访问共享资源(如服务器)
外部客户或合作伙伴需访问企业服务器,但彼此间需严格隔离,防止信息泄露
传统方案需通过ACL(访问控制列表)或复杂的三层策略实现隔离与共享,配置繁琐且扩展性差
于是就产生MUX VLAN,通过二层机制直接实现隔离,降低复杂度,可以实现资源共享与隔离并存,简化网络架构
MUX VLAN(也称为复合VLAN或多路复用VLAN)是华为设备中一种特殊的VLAN技术,其核心思想是通过定义主VLAN(Principal VLAN)和从VLAN(Subordinate VLAN),实现端口间的灵活隔离与互通
概述:
MUX VLAN由以下三类VLAN构成:
| 类型 | 功能 |
|---|---|
| 主VLAN(Principal VLAN) | 作为逻辑容器,包含所有从VLAN(隔离型与互通型)。主VLAN的端口可访问所有从VLAN |
| 隔离型从VLAN(Separate VLAN) | 同一隔离型从VLAN内的端口彼此完全隔离(即同一个VLAN内的端口不能互相通信),仅能与主VLAN通信 |
| 互通型从VLAN(Group VLAN) | 同一互通型从VLAN内的端口可互相通信,且能与主VLAN通信 |
| 两个互通型从VLAN不能互相通信,也不能与隔离型VLAN通信 |
配置命令:
| 配置MUX VLAN中的主 VLAN | [Huawei-vlan10] mux-vlan | 如果指定VLAN已经用于主 VLAN,那么该VLAN不能在Super-VLAN、 Sub-VLAN的配置中使用 |
| 配置从 VLAN中的Group VLAN | [Huawei-vlan10] subordinate group 20 | 互通型从VLAN 20 |
| 配置从 VLAN中的Separate VLAN | [Huaweivlan10]subordinate separate 30 | 隔离型从VLAN 30 |
| 启用接口MUX VLAN功能 | [Huawei-GigabitEthernet0/0/2] port mux-vlan enable | 所有端口必须为access模式 |
| 主VLAN和从VLAN的端口不能配置VLANIF接口 | 每个MUX VLAN中仅能配置一个隔离型从VLAN | 可配置多个互通型从VLAN(最多128个) |
QinQ
传统VLAN仅支持4094个VLAN ID(范围1~4094),在运营商网络或大型企业网中,每个客户或业务需分配独立VLAN,导致ID迅速耗尽
运营商需在同一物理链路上承载不同客户的流量,并确保严格隔离。传统VLAN需为每个客户分配独立ID,管理复杂且不灵活
于是QinQ(VLAN Stacking,双层VLAN标签技术)的诞生源于传统VLAN技术在大规模网络(尤其是运营商网络)中的局限性,以及企业对网络扩展性、灵活性和管理简化的迫切需求
概述:
QinQ其核心思想是通过在原始VLAN标签(内层标签)外再封装一层新的VLAN标签(外层标签),实现多层级网络流量的灵活隔离与传输
双层VLAN标签
内层VLAN标签:由用户侧设备(如企业交换机)生成,标识用户内部的VLAN划分
外层VLAN标签:由运营商网络设备(如骨干交换机)添加,用于标识不同的业务或客户
所以即使内层VLANTag相同,也能通过外层VLANTag区分不同用户
标签封装与解封装
上行封装(用户→运营商):运营商设备在接收用户流量时,根据配置添加外层标签
下行封装(运营商→用户):运营商设备剥离外层标签后,将仅含内层标签的帧发送给用户网络
| 基本QinQ | 所有用户流量统一添加固定外层标签(静态配置) | 基于端口实现的 |
| 灵活QinQ | 根据用户内层标签动态匹配外层标签,简单来说就是根据不同的内层Tag而加上不同的外层Tag | 可根据流分类的结果选择是否打外层VLAN Tag |
配置命令
| 基本QinQ | 配置 |
| 配置接口类型为dot1q-tunnel | [Huawei-GigabitEthernet0/0/1] port link-type dot1q-tunnel |
| 固定外层标签为VLAN 100 | [Huawei-GigabitEthernet0/0/1] port default vlan 100 |
| 灵活QinQ | 配置 | ||
| 开启接口VLAN转换功能 | [Huawei-GigabitEthernet0/0/1] qinq vlan-translation enable | 盒式设备需要配置此命令,框式不需要 | |
| 配置灵活QinQ | [Huawei-GigabitEthernet0/0/1] port vlan-stacking vlan 10(to) stack-vlan 100(to) | 接口类型要设为hybrid (后面需要去除标签) port hybrid untagged vlan 100 | |