华为交换机VLAN基础知识（三）

  华为交换机VLAN基础知识（三）

  华为交换机VLAN基础知识（二）https://www.wlgly.net/post-164.html

12、VLAN Aggregation（VLAN聚合或叫超级VLAN-super VLAN）

交换网络中，VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的三层交换机中，通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通，这样导致了IP地址的浪费。

VLAN Aggregation（VLAN聚合，也称Super VLAN）技术就是在一个物理网络内，用多个VLAN隔离广播域，使不同的VLAN属于同一个子网。它引入了Super-VLAN和Sub-VLAN的概念。

1、Super-VLAN：和通常意义上的VLAN不同，它只建立三层接口，与该子网对应，而且不包含物理接口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。

2、Sub-VLAN：只包含物理接口，用于隔离广播域的VLAN，不能建立三层VLANIF接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。

一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

这样，Sub-VLAN间共用同一个三层接口，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址的目的。消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费。

VLAN Aggregation在实现不同VLAN间共用同一子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。

普通VLAN实现方式中，VLAN间的主机可以通过各自不同的网关进行三层转发来达到互通的目的。但是VLAN Aggregation方式下，同一个Super-VLAN内的主机使用的是同一个网段的地址和共用同一个网关地址。即使是属于不同的Sub-VLAN的主机，由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。而实际上不同的Sub-VLAN的主机在二层是相互隔离的，这就造成了Sub-VLAN间无法通信的问题。

解决这一问题的方法就是使用Proxy ARP。

13、VLAN Damping（抑制）

如果指定VLAN已经创建对应的VLANIF接口，当VLAN中所有接口状态变为Down而引起VLAN状态变为Down时，VLAN会向VLANIF接口上报接口Down状态，从而引起VLANIF接口状态变化。

为避免由于VLANIF接口状态变化引起的网络震荡，可以在VLANIF接口上启动VLAN Damping功能，抑制VLANIF接口状态变为Down的时间。

当使能VLAN Damping功能，VLAN中最后一个处于Up状态的接口变为Down后，会抑制一定时间（抑制时间可配置）再上报给VLANIF接口。如果在抑制时间内VLAN中有接口Up，则VLANIF接口状态保持Up状态不变。即VLAN Damping功能可以适当延迟VLAN向VLANIF接口上报接口Down状态的时间，从而抑制不必要的路由震荡。

14、MUX VLAN（复合VLAN）

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。MUX VLAN 只提供二层隔离,配置后不能加入Vlanif接口，反之处于Vlanif接口下则不能配置为MUX VLAN。

例如，在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信实现。如果企业规模很大，拥有大量的用户，那么就要为不能互相访问的用户都分配VLAN，这不但需要耗费大量的VLAN ID，还增加了网络管理者的工作量同时也增加了维护量。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流，而企业客户之间是隔离的。

MUX VLAN分为Principal VLAN（主VLAN））和Subordinate VLAN（从VLAN），Subordinate VLAN又分为Separate VLAN（隔离型从VLAN）和Group VLAN（互通型从VLAN）。

1、Principal VLAN:Principal Port可以和MUX VLAN内的所有接口进行通信。

2、Separate VLAN：Separate Port只能和Principal Port进行通信，和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。

3、Group VLAN：Group Port可以和Principal Port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate Port通信。每个Group VLAN必须绑定一个Principal VLAN。

图11 MUX VLAN应用场景图（接入层）

如上图11所示，根据MUX VLAN特性，企业可以用Principal Port连接企业服务器，Separate Port连接企业客户，Group Port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

图12 MUX VLAN应用组网（汇聚层）

对于汇聚层设备，可以为Principal VLAN创建VLANIF接口，VLANIF接口的IP地址可以作为Host或Server的网关地址。如上图12所示，在汇聚设备Switch1上配置MUX VLAN，可以灵活实现接入流量的隔离或者互通。

15、管理VLAN

当用户通过远端网管集中管理设备时，需要在设备上通过VLANIF接口配置IP地址作为设备管理IP，通过管理IP来Telnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN，也可以访问该交换机，增加了交换机的不安全因素。

这种情况下可以配置VLAN为管理VLAN，不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户，限制这两种类型接口加入管理VLAN后，与该接口相连的用户就无法访问该交换机，从而增加了交换机的安全性。

16、VLAN内协议报文透传

当设备作为用户的业务网关时，或者作为二层交换机，但是使能了DHCP/IGMP/MLD Snooping等Snooping功能时，设备需要解析处理相应的协议报文（例如ARP、DHCP、IGMP报文等），即接口上收到的协议报文会上送到CPU进行处理。而接口在上送协议报文时，是不区分VLAN的。即如果部署了上述功能后，则所有VLAN的协议报文都会上送CPU处理。

如果设备只是某些VLAN的业务网关，或者只对某些VLAN部署了Snooping功能。那么对于其他VLAN中的协议报文，设备是不需要处理的，协议报文上送到CPU之后，CPU需要将其重新转发到其他设备进行处理。这种经过CPU处理的转发机制称为软转发，软转发增加了协议报文的处理环节，会对报文的转发速度和效率造成较大影响。

针对上述场景，可以在不需要处理协议报文的VLAN中，部署VLAN内协议报文透传功能，此时这些VLAN的协议报文不会再上送CPU处理，而是直接透传转发到其他设备进行处理，可以提高转发速度和效率。

支持透传的协议报文类型有CFM/ARP/BFD/DHCP/DHCPV6/HTTP/IGMP/MLD/ND/PIM/PIMv6/PPPoE/TACACS

17、Voice VLAN

Voice VLAN是为用户的语音流专门划分的VLAN。

网络中经常有数据、语音、视频等多种流量同时传输。因为丢包和时延对通话质量的影响很大，用户对语音的质量比数据或者视频的质量更为敏感，因此在带宽有限的情况下就需要优先保证通话质量。

通过配置Voice VLAN，交换机可识别语音流，将语音流加入到Voice VLAN中传输，并对其进行有针对性的QoS保障，当网络发生拥塞时可以优先保证语音流的传输。

图13 常见语音组网

两种常见组语音网方案如上图13。

一般来说，IP电话分为两大类：发送带Tag语音报文的IP电话（如Cisco 7960），发送Untagged语音报文的IP电话（如华为MC850）。

若要提高语音数据流的传输优先级，首先要能识别出语音数据流。识别出语音数据流后，再对语音数据流提升优先级后传输。

Voice VLAN可以通过以下两种方式来实现对语音数据流的识别：

1、通过收到报文的源MAC地址，即基于MAC地址的方式

设备可以根据进入接口的数据报文中的源MAC地址字段来判断该数据流是否为语音数据流。源MAC地址匹配系统设置的语音设备的组织唯一标识符OUI（Organizationally Unique Identifier）的报文被认为是语音数据流。用户需要预先设置OUI，适用于IP电话上送Untagged语音报文的场景。

OUI：OUI指的是MAC地址的前24位（二进制），可以用来表示一个MAC地址段，是IEEE为不同设备供应商分配的一个全球唯一的标识符，各设备厂商再从这个地址段中分配24位，从而形成48位的MAC地址。

所以根据OUI识别IP电话机的原理就是根据IP电话厂商申请的MAC地址段来识别哪些报文是电话机发送的，以此来判断哪些报文属于语音报文。

Voice VLAN中的OUI有别于上述的通常意义的OUI，这个OUI是由用户来配置的，而且可以使用掩码，即不需要一定是24位掩码的，掩码长度用户可以自己指定。OUI的值为voice-vlan mac-address命令中的mac-address和mask参数相与的结果。

图14 基于MAC地址的Voice VLAN示意图

实现原理：如上图14所示，交换机接收到PC和IP Phone发出的Untagged报文后会做如下处理：如果源MAC匹配交换机上配置的OUI（源MAC地址与配置的OUI掩码进行与运算后等于OUI视为匹配），则为该报文加上Voice VLAN的Tag，并提升报文优先级；如果不匹配，就会为其加上PVID的VLAN Tag，从而保证语音报文的优先发送。

基于MAC地址模式下，接口加入Voice VLAN的方式可分为手动模式和自动模式。

自动模式：自动模式是指当语音设备发出的报文中源MAC地址匹配配置的OUI时，系统会将连接语音设备的接口自动加入到Voice VLAN中。

手动模式：手动模式下，当使能Voice VLAN功能后，必须通过手工将连接语音设备的接口加入到Voice VLAN中，这样才能保证Voice VLAN功能生效。

根据使能了Voice VLAN功能的接口对接收到的数据包的过滤机制可以将Voice VLAN的工作模式分为安全模式和普通模式。

安全模式：使能了Voice VLAN功能的入接口只允许收到的源地址与OUI匹配的语音报文通过，该Voice VLAN内的非语音报文将被直接丢弃，其他VLAN内的报文正常转发。只有当通过命令voice-vlan remark-mode mac-address指定语音报文基于MAC地址提升优先级时，安全模式才会生效。

普通模式：使能了Voice VLAN功能的入接口允许同时传输语音报文和非语音报文，容易受到恶意数据流量的攻击。不建议将语音和数据业务规划在同一个VLAN里面。如确有此需要，请确认Voice VLAN工作在普通模式。

2、通过报文携带的VLAN Tag，即基于VLAN的方式

若有大量IP电话接入交换机，配置IP电话的OUI就可能会非常繁琐。可在交换机上配置基于VLAN来提升语音报文的优先级，此时设备会根据进入接口的报文的VLAN ID来判断该数据报文是否为语音报文。当VLAN ID匹配系统配置的Voice VLAN后，则认为是语音数据流。

这种方式实现的前提是IP电话支持获取交换机上配置的Voice VLAN信息的功能，在大量IP电话接入的情况下，可以简化配置。

以上方案是从方便配置的角度给出的。实际上，不管IP电话上送的语音报文是否带VLAN Tag，基于MAC地址和基于VLAN的Voice VLAN都可以实现。

主要区别在于：

当IP电话上送的是Untagged语音报文时，必须配置OUI，才能把语音报文和数据报文区分开来；如果IP电话上送的是带Tag语音报文，则可配置基于VLAN的Voice VLAN，这样在大量IP电话接入的情况下，就不用配置繁琐的OUI，简化配置。

基于VLAN的Voice VLAN实现原理为：

交换机收到PC和IP Phone发来的报文后会判断报文的VLAN ID与接口上配置的Voice VLAN ID是否相同，如果相同则认为此数据流为语音数据流并提升优先级，PC发出的Untagged报文则会被加上PVID的VLAN Tag。

因此基于VLAN的Voice VLAN需要IP Phone可以获取交换机上配置的Voice VLAN信息。

IP Phone获取交换机上Voice VLAN信息的方法有很多种，以下以IP Phone通过LLDP协议获取交换机Voice VLAN信息为例介绍一下实现过程。

图15 基于VLAN的Voice VLAN示意图

如上图15所示，IP电话上线会主动发送LLDP报文，以获取交换机上配置的Voice VLAN信息；交换机收到IP电话发送的LLDP报文，会在相关字段填充Voice VLAN信息发给IP电话；IP电话收到携带Voice VLAN信息的LLDP报文后，再次发送语音报文时就会带Tag发送；

交换机收到带Tag的语音报文，如果Tag和交换机上配置的Voice VLAN匹配，则为其提升优先级后转发。交换机收到Untagged报文，仍然会加入到PVID所在的VLAN中。

这样，当发生网络拥塞的时候交换机就能保证语音报文的优先发送。

华为交换机VLAN基础知识（四）：https://www.wlgly.net/post-169.html