H3C交换系列之isolateuservlan

一、Isolate-user-vlan的出现原因

  随着以太网技术的快速发展，很多运营商采用LAN接入小区宽带。基于用户安全和管理计费等方面的考虑，运营商一般要求接入用户相互隔离。VLAN是天然的隔离手段，但是根据 IEEE 802.1Q 协议规定，设备最大可使用的VLAN资源为4096个。对于运营商的设备来说，如果每个用户一个VLAN，4094个VLAN（0-4095，实际可用为1-4094）远远不够，而且，为每个只包含一个用户的VLAN配置第三层接口，将耗费大量的IP地址和部署成本。

  为了解决上述问题，isolate-user-vlan技术应运而生。

二、Isolate-user-vlan的基本介绍

  Isolate-user-vlan采用二层VLAN接口，它在同一台设备上设置 Isolate-user-vlan 和 Secondary VLAN 两类VLAN。其功能如下:

  （1）Isolate-user-vlan 用于上行连接，不同的 Secondary VLAN 关联到同一个 Isolate-user-vlan 。上行连接的设备只知道 Isolate-user-vlan ，而不必关心 Secondary VLAN ，简化了网络配置，节省了VLAN资源

  （2）Secondary VLAN 用于连接用户，Secondary VLAN 之间二层帧相互隔离。如果希望实现同一Isolate-user-vlan 下 Secondary VLAN 用户之间的互通，可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。

  （3）理论上每个 Isolate-user-vlan 可以包含4094个 Secondary VLAN ，所以相当于提供了 4094 X 4094 个VLAN（ 16760836 ）。

三、Isolate-user-vlan的技术原理

  Isolate-user-vlan的功能是利用了Hybrid类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。

  通过上面可以发现，每次上行和下行的报文都需要ARP广播才能到达目的地，当 Secondary VLAN 和 Isolate-user-vlan包含的端口较多时，这样的处理方法会占用大量的带宽资源，大大降低了交换机的转发性能，而且广播报文容易被截获和侦听，故可以通过MAC地址同步机制可以解决这个问题。

若无MAC地址同步机制(SWB的MAC表)

 上述过程的第2步:PC2的MAC被学习到SWB的VLAN 2中

 上述过程的第4步:SWA的MAC被学习到SWB的VLAN 10中

若使用MAC地址同步机制(SWB的MAC表)

 上述过程的第2步:PC2的MAC被学习到SWB的VLAN 2中，并同步到 Isolate-user-vlan 中

 上述过程的第4步:SWA的MAC被学习到SWB的VLAN 10中，并同步到 Secondary VLAN 中

四、MAC地址同步机制

  Isolate-user-vlan的MAC地址同步机制有如下两种。

  （1）Secondary VLAN 到 Isolate-user-vlan 的同步，即下行端口在 Secondary VLAN 内学习到的MAC地址都同步到 Isolate-user-vlan 内，而出端口则保持不变。

  （2）Isolate-user-vlan 到 Secondary VLAN 的同步，即上行端口在 Isolate-user-vlan 学习到的MAC地址同步到所有的 Secondary VLAN 内，而出端口则保持不变。

  当 Isolate-user-vlan 下面配置了很多 Secondary VLAN 时，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播。所以，所有产品均支持 Secondary VLAN 到 Isolate-user-vlan 的同步，而部分产品不支持 Isolate-user-vlan 到 Secondary VLAN 的同步。

五、Isolate-user-vlan技术配置

  主要包括如下5个步骤:

  （1）配置 Isolate-user-vlan

  （2）配置 Secondary VLAN

  （3）向 Isolate-user-vlan 中添加端口(该端口不能为 Trunk 类型端口)，并确保至少有一个端口的默认 VLAN 就是该 Isolate-user-vlan

  （4）向 Secondary VLAN 中添加端口(该端口不能为 Trunk 类型端口)，并确保至少有一个端口的默认 VLAN 就是该 Secondary VLAN

  （5）配置 Isolate-user-vlan 和 Secondary VLAN 的映射关系

  建立映射关系后，系统将禁止向 Isolate-user-vlan 和 Secondary VLAN 中添加或删除端口以及删除 VLAN，只有在解除了映射关系后才可以执行以上操作。

  默认情况下，用户创建的VLAN不是 Isolate-user-vlan 类型的VLAN，设置 Isolate-user-vlan 的配置命令为:

  [SWA-VLAN10]isolate-user-vlan enable

  默认情况下，用户创建的 Isolate-user-vlan 和 Secondary VLAN 间没有任何映射关系。

  [SWA]isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

六、Isolate-user-vlan配置实例

步骤一：建立物理连接

步骤二：配置Isolate-user-vlan
首先进行基本配置
[SWA]vlan 2
[SWA-vlan2]port e0/4/2
[SWA]vlan 3
[SWA-vlan3]port e0/4/3
[SWA]vlan 10
[SWA-vlan10]port e0/4/1
[SWA-vlan10]isolate-user-vlan enable（设置VLAN 10为Isolate-user-vlan）
[SWA-vlan10]quit
[SWA]isolate-user-vlan 10 secondary 2 3（配置Isolate-user-vlan和Secondary VLAN 间的映射关系）
配置完成后，在SW1上执行 display current-configuration 命令查看当前配置，有如下结果:
interface Ethernet0/4/1
 port link-mode bridge
 port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 2 to 3 10 untagged
 port hybrid pvid vlan 10
#
interface Ethernet0/4/2
 port link-mode bridge
 port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 2 10 untagged
 port hybrid pvid vlan 2
#
interface Ethernet0/4/3
 port link-mode bridge
 port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 3 10 untagged
 port hybrid pvid vlan 3
在SWA上执行 display isolate-user-vlan 命令，查看 Isolate-user-vlan 和 Secondary VLAN 间的映射关系
[SWA]display isolate-user-vlan 
 Isolate-user-VLAN VLAN ID : 10
 Secondary VLAN ID : 2-3
 VLAN ID: 10
 VLAN Type: static
 Isolate-user-VLAN type: isolate-user-VLAN
 Route Interface: not configured
 Description: VLAN 0010
 Name: VLAN 0010
 Broadcast MAX-ratio: 100%
 Tagged   Ports: none
 Untagged Ports:
    Ethernet0/4/1            Ethernet0/4/2            Ethernet0/4/3
 VLAN ID: 2
 VLAN Type: static
 Isolate-user-VLAN type: secondary
 Route Interface: not configured
 Description: VLAN 0002
 Name: VLAN 0002
 Broadcast MAX-ratio: 100%
 Tagged   Ports: none
 Untagged Ports:
    Ethernet0/4/1            Ethernet0/4/2
 VLAN ID: 3
 VLAN Type: static
 Isolate-user-VLAN type: secondary
 Route Interface: not configured
 Description: VLAN 0003
 Name: VLAN 0003
 Broadcast MAX-ratio: 100%
 Tagged   Ports: none
 Untagged Ports:
    Ethernet0/4/1            Ethernet0/4/3
  通过输出信息显示可以看到VLAN2包含了端口E0/4/1和E0/4/2，VLAN3包含了端口E0/4/1和E0/4/3，VLAN10中包含了端口E0/4/1、E0/4/2、E0/4/3，且数据帧都是以Untagged的形式通过端口的。
  
  从以上信息可以看出，Isolate-user-vlan实际上是通过交换机hybrid链路端口的灵活属性来实现的。即交换机通过批处理的方式配置一系列的Hybird端口，并对来自不同VLAN的数据帧进行是否打VLAN标签处理，从而达到Secondary VLAN和Isolate-user-vlan互通，但Secondary VLAN之间隔离的目的。

步骤三：Secondary VLAN 互通测试
在PC上配置IP地址，通过 Ping 命令来测试处于不同Secondary VLAN间的PC能否互通。
配置完成后，PCA上用Ping命令来测试与PCB能否互通，其结果应该是不能互通

步骤四：Secondary VLAN 和 Isolate-user-vlan 互通测试
[SWB]vlan 20
[SWB-vlan20]port e0/4/1
[SWB]interface vlan-interface 20
[SWB-Vlan-interface20]ip address 192.168.1.1 255.255.255.0
配置完成后，其结果应该是SWB与PCA能互通，SWB与PCB能互通

步骤五：查看SWA和SWB的MAC地址表
在SWA上执行 dispaly mac-address命令查看SWA的MAC地址表

从上表的信息可以看出，PCA的MAC被学习到了VLAN2和VLAN10中，PCB的MAC地址被学习到了VLAN3和VLAN10中。
因为S5500-EI系列交换机使用V5软件平台，V5软件平台从设计规格上将Secondary VLAN学习到的MAC地址复制到Isolate-user-vlan中，但是不将Isolate-user-vlan学习到的MAC地址复制到Secondary VLAN。

在SWB上执行display arp 命令查看SWB的ARP地址表

从上表可以看到，ARP表中对应的Type值为D表示：该ARP表项是动态学习到的

在SWB上执行display mac-address 命令查看SWB的MAC地址表

从上表信息可以看出，对SWB来说，PCA和PCB相当于在VLAN20内，对SWA上的VLAN2和VLAN3不可见

步骤六：配置本地代理ARP
如果想让PCA和PCB互通，需要在SWB的VLAN20虚接口上开启本地代理ARP功能。
[SWB]interface Vlan-interface 20
[SWB-Vlan-interface20]local-proxy-arp enable

七、Isolate-user-vlan的优缺点

 优点

 Isolate-user-vlan 优点在于在节省VLAN资源的基础上实现了二层隔离。

 缺点

 Isolate-user-vlan 缺点主要集中在两个方面，首先二层用户的通信必须依靠代理ARP来完成，一定程度上增加上层设备的负担；其次部署Isolate-user-vlan设备的上行口必须Untag上行，欠缺灵活性。

本文出自 “不朽字” 博客，请务必保留此出处http://buxiuzi.blog.51cto.com/11124867/1741999