《路由交換技術(shù)與應(yīng)用》課件第15章

第15章

VLAN技術(shù)應(yīng)用15.1鏈路聚合技術(shù)與配置15.2PVLAN原理與配置15.3QinQ原理與配置15.4SuperVLAN原理與配置小結(jié)

主要內(nèi)容：

鏈路聚合的原理及配置

PVLAN、QinQ、SuperVLAN技術(shù)原理及配置

鏈路聚合如圖15-1所示。鏈路聚合就是將兩臺交換機(jī)間的多條平行物理鏈路捆綁為一條大帶寬的邏輯鏈路。15.1鏈路聚合技術(shù)與配置

圖15-1鏈路聚合如兩臺交換機(jī)間有4條100Mb/s鏈路，捆綁后認(rèn)為兩臺交換機(jī)間存在一條單向400Mb/s，雙向800Mb/s帶寬的邏輯鏈路，并且聚合鏈路在生成樹環(huán)境中被認(rèn)為是一條邏輯鏈路。

鏈路聚合要求被捆綁的物理鏈路具有相同的特性，如帶寬、雙工方式等，如果是AccessPort，應(yīng)屬于相同的VLAN。15.1.1鏈路聚合的負(fù)載分配機(jī)制

鏈路聚合使用負(fù)載分擔(dān)機(jī)制來均衡使用多條平行的物理鏈路。鏈路聚合負(fù)載分擔(dān)機(jī)制如圖15-2所示。

可以基于源PORT、源MAC地址與目的MAC流等幾種算法在多條物理鏈路上進(jìn)行負(fù)載均衡。

圖15-2鏈路聚合負(fù)載分擔(dān)機(jī)制15.1.2鏈路聚合的優(yōu)點(diǎn)

鏈路聚合結(jié)構(gòu)如圖15-3所示。

圖15-3鏈路聚合結(jié)構(gòu)圖鏈路聚合通過將多個物理鏈路捆綁為一個邏輯鏈路，增加了帶寬并增加了可靠性。

對于兩個交換機(jī)之間的多條平行鏈路，不使用鏈路聚合，STP協(xié)議將保留一條鏈路而阻塞其余鏈路，不能充分利用設(shè)備的端口處理能力與物理鏈路。如果使用鏈路聚合技術(shù)，STP看到的是交換機(jī)之間一條大帶寬的邏輯鏈路。使用鏈路聚合可以充分利用所有設(shè)備的端口處理能力與物理鏈路，流量在多條平行物理鏈路間進(jìn)行負(fù)載均衡。當(dāng)有一條鏈路出現(xiàn)故障時，流量會自動在剩下鏈路間重新分配。并且這種故障切換所用的時間是毫秒級的，遠(yuǎn)快于STP的切換時間，對大部分應(yīng)用都不會造成影響。15.1.3802.1Q和鏈路聚合

聚合鏈路也可以是802.1Q端口，要求所有被捆綁的物理鏈路都是Trunk端口并且允許的VLAN范圍一致。

建議首先設(shè)置鏈路聚合，然后再設(shè)置Trunk。15.1.4鏈路聚合配置實(shí)例

如圖15-4所示，交換機(jī)(Switch)A和交換機(jī)(Switch)B通過Smartgroup端口相連，它們分別由4個物理端口聚合而成。Smartgroup的端口模式為Trunk，承載VLAN10和VLAN20。

圖15-4鏈路聚合交換機(jī)A的配置如下：

/*創(chuàng)建Trunk組*/

ZXR10_A(config)#interfacesmartgroup10

/*綁定端口到Trunk組*/

ZXR10_A(config)#interfacegei_5/1

ZXR10_A(config-if)#smartgroup10modeactive

ZXR10_A(config)#interfacegei_5/2

ZXR10_A(config-if)#smartgroup10modeactive

ZXR10_A(config)#interfacegei_5/3

ZXR10_A(config-if)#smartgroup10modeactive

ZXR10_A(config)#interfacegei_5/4

ZXR10_A(config-if)#smartgroup10modeactive

/*修改smartgroup端口的VLAN鏈路類型*/

ZXR10_A(config)#interfacesmartgroup10

ZXR10_A(config-if)#switchportmodetrunk

ZXR10_A(config-if)#switchporttrunkvlan10

ZXR10_A(config-if)#switchporttrunkvlan20

ZXR10_A(config-if)#switchporttrunknativevlan10交換機(jī)B的配置：

ZXR10_B(config)#interfacesmartgroup11

ZXR10_B(config)#interfacegei_3/5

ZXR10_B(config-if)#smartgroup11modepassive

ZXR10_B(config)#interfacegei_3/6

ZXR10_B(config-if)#smartgroup11modepassive

ZXR10_B(config)#interfacegei_3/7

ZXR10_B(config-if)#smartgroup11modepassive

ZXR10_B(config)#interfacegei_3/8

ZXR10_B(config-if)#smartgroup11modepassive

ZXR10_B(config)#interfacesmartgroup11

ZXR10_B(config-if)#switchportmodetrunk

ZXR10_B(config-if)#switchporttrunkvlan10

ZXR10_B(config-if)#switchporttrunkvlan20

ZXR10_B(config-if)#switchporttrunknativevlan1015.1.5SmartGroup的負(fù)載均衡配置

鏈路聚合支持多種負(fù)荷分擔(dān)方式，分別基于源IP、目的IP、源和目的IP、源MAC、目的MAC、源和目的MAC。默認(rèn)情況下是基于源和目的MAC。

配置SmartGroup的負(fù)載均衡如下：

interfacesmartgroup1

smartgroupload-balance<mode>命令模式：端口

命令功能：設(shè)置端口鏈路聚合負(fù)荷分擔(dān)方式

dst-ip Dstipaddress

dst-mac Dstmacaddress

src-dst-ip Src-dstipaddress

src-dst-mac Src-dstmacaddress

src-ip Srcipaddress

src-mac Srcmacaddress

為了提高網(wǎng)絡(luò)的安全性，要將用戶之間的報文隔離開，傳統(tǒng)的解決辦法是給每個用戶分配一個VLAN。這種方法具有明顯的局限性，主要表現(xiàn)在以下幾個方面：15.2PVLAN原理與配置

(1)目前IEEE802.1Q標(biāo)準(zhǔn)中所支持的VLAN數(shù)目最多為4094個，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴(kuò)展。

(2)每個VLAN對應(yīng)一個IP子網(wǎng)，劃分大量的子網(wǎng)會造成IP地址的浪費(fèi)。

(3)大量VLAN和IP子網(wǎng)的規(guī)劃和管理使網(wǎng)絡(luò)管理變得非常復(fù)雜。

PVLAN(PrivateVLAN)技術(shù)的出現(xiàn)解決了這些問題。PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(IsolatePort)，上行與路由器相連的端口為混合端口(PromiscuousPort)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個VLAN下的端口隔離開來，用戶只能與自己的默認(rèn)網(wǎng)關(guān)通信，網(wǎng)絡(luò)的安全性得到保障。

ZXR103900/3200支持20個PVLAN組，每一組可以任意選擇端口互相隔離，每組只支持1個端口作為上行端口。使用以下命令配置PVLAN：

vlanprivate-mapsession-id<id>[isolate<port-list>][promis<port-list>]

使用showvlanprivate-map命令顯示PVLAN的配置。

下面的配置實(shí)例中配置了兩個隔離組：

隔離組1：端口fei_3/1、fei_3/2、fei_6/4、fei_6/5為隔離端口，端口gei_7/1為混合

端口。

隔離組2：端口fei_3/7、fei_3/8、fei_4/7、fei_4/8為隔離端口，gei_7/4為混合端口。具體配置如下：

ZXR10(config)#vlanprivate-mapsession-id1isolatefei_3/1-2,fei_6/4-5promisgei_7/1

ZXR10(config)#vlanprivate-mapsession-id2isolatefei_3/7-8,fei_4/7-8promisgei_7/4

ZXR10(config)#showvlanprivate-map

Session_idIsolate_PortsPromis_Ports

----------------------------------------------------------

1fei_3/1-2,fei_6/4-5,gei_7/1

2fei_3/7-8,fei_4/7-8,gei_7/4

ZXR10#(config)

QinQ是對基于IEEE802.1Q封裝的隧道協(xié)議的形象稱呼，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標(biāo)簽(內(nèi)層標(biāo)簽)之外再增加一個VLAN標(biāo)簽(外層標(biāo)簽)，外層標(biāo)簽可以將內(nèi)層標(biāo)簽屏蔽起來。QinQ不需要協(xié)議的支持，通過它可以實(shí)現(xiàn)簡單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機(jī)為骨干的小型局域網(wǎng)。15.3QinQ原理與配置

QinQ技術(shù)的典型組網(wǎng)如圖15-5所示，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接服務(wù)提供商網(wǎng)絡(luò)的端口稱為Uplink端口，服務(wù)提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE(ProviderEdge)。

SPVLAN：ServiceProviderVLAN；CVLAN：CustomerVLAN

圖15-5QinQ典型組網(wǎng)用戶網(wǎng)絡(luò)一般通過TrunkVLAN方式接入PE，服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過TrunkVLAN方式對稱連接。

當(dāng)報文從用戶網(wǎng)絡(luò)1到達(dá)交換機(jī)(Switch)A的Customer端口時，無論報文是Tagged還是Untagged的，交換機(jī)A都強(qiáng)行插入外層標(biāo)簽(VLANID為10)。在服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，報文沿著VLAN10的端口傳播，直至到達(dá)交換機(jī)(Switch)B。交換機(jī)B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為Customer端口，于是按照傳統(tǒng)的802.1Q協(xié)議剝離外層標(biāo)簽，恢復(fù)成用戶的原始報文，發(fā)送到用戶網(wǎng)絡(luò)2。這樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過服務(wù)提供商網(wǎng)絡(luò)進(jìn)行透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLANID，而不會導(dǎo)致和服務(wù)提供商網(wǎng)絡(luò)中的VLANID沖突。在全局模式使用以下命令配置QinQ：

switchport<port-list>qinq{normal|uplink|customer|tpid<tpid>}

在端口模式使用以下命令配置QinQ：

switchportqinq{normal|uplink|customer|tpid<tpid>}

小提示：

配置QinQ時，SPVLAN的Customer端口需設(shè)置為Untagged模式，Uplink端口需設(shè)置為Tagged模式。

使用showqinq命令查看QinQ的配置信息。

傳統(tǒng)的ISP網(wǎng)絡(luò)給每個用戶分配一個IP子網(wǎng)，每分配一個子網(wǎng)，就有三個IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、廣播地址和缺省網(wǎng)關(guān)。即使一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費(fèi)。15.4SuperVLAN原理與配置

SuperVLAN有效地解決了這個問題，它把多個VLAN(稱為子VLAN)聚合成一個SuperVLAN，這些子VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)。

利用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個IP子網(wǎng)，并為每個用戶建立一個子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個子VLAN都是一個獨(dú)立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進(jìn)行路由。

ZXR103900/3200上一共可以支持255個SuperVLAN。SuperVLAN的配置主要包括以下內(nèi)容。

(1)創(chuàng)建SuperVLAN：

interface{supervlan<supervlan-id>|<supervlan-name>}

(2)添加子VLAN：

supervlan<supervlan-id>

一個SuperVLAN最多可以綁定8個子VLAN。如果該子VLAN已經(jīng)配置為三層接口，則不允許被綁定。

(3)打開/關(guān)閉子VLAN之間的路由功能：

inter-subvlan-routing{enable|disable}

子VLAN之間的路由功能在缺省情況下是打開的，使用本命令關(guān)閉后，各子VLAN之間失去通信能力，但仍和SuperVLAN外部保持通信。

(4)查看SuperVLAN的配置信息：

showsupervlan[<supervlan-id>]

如圖15-6所示，在交換機(jī)(Switch)A上配置SuperVLAN，分配子網(wǎng)10.1.1.0/24，網(wǎng)關(guān)為10.1.1.1。交換機(jī)(Switch)B上配置兩個子VLAN：VLAN2和VLAN3，屬于SuperVLAN。交換機(jī)A和交換機(jī)B通過Trunk端口相連。

圖15-6SuperVLAN配置實(shí)例交換機(jī)A的配置如下：

/*創(chuàng)建SuperVLAN并分配子網(wǎng)、指定網(wǎng)關(guān)*/

ZXR10_A(config)#interfacesupervlan10

ZXR10_A(config-int)#ipaddress10.1.1.1255.255.255.0

ZXR10_A(config-int)#exit

/*把SubVLAN加入到SuperVLAN*/

ZXR10_A(config)#vlan2

ZXR10_A(config-vlan)#supervlan10

ZXR10_A(config-vlan)#exit

ZXR10_A(config)#vlan3

ZXR10_A(config-vlan)#supervlan10

ZXR10_A(config-vlan)#exit

/*設(shè)置vlantrunk端口*/

ZXR10_A(config)#interfacegei_7/1

ZXR10_A(config-int)#switchmodetrunk

ZXR10_A(config-int)#switchtrunkvlan2-3

交換機(jī)B