VLAN高级技术

1.前言
 VLAN的高级技术：VLAN聚合、MUX VLAN、QinQ，进一步加深对VLAN高级技术的理解与应用

2.目标
 描述VLAN聚合工作原理
 描述MUX VLAN的应用场景
 描述QinQ实现的方式
 实现VLAN聚合、MUX VLAN、QinQ的配置

3.VLAN聚合
 1.VLAN聚合（VLAN Aggregation，也称Super-VLAN）:
 指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，进而达到节约IP地址资源的目的。
 Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
 Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同，Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态
 

 2.VLAN聚合的原理
 每个Sub-VLAN对应一个广播域，多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。
 

 3.相同Sub-VLAN内部通信
 同一个Sub-VLAN之间属于同一个广播域，因此相同Sub-VLAN之间可以通过二层直接通信
 4.不同Sub-VLAN之间通信举例
 Super-VLAN VLANIF100开启ARP代理之后PC1和PC2之间通信过程如下：
 PC1发现PC2与自己在同一网段，且自己ARP表无PC2对应表项，则直接发送ARP广播请求PC2的MAC地址。
 作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求，由于网关上使能Sub-VLAN间的ARP代理功能，则向Super-VLAN 100的所有Sub-VLAN接口发送一个ARP广播，请求PC2的MAC地址。
 PC2收到网关发送的ARP广播后，对此请求进行ARP应答。
 网关收到PC2的应答后，就把自己的MAC地址回应给PC1，PC1之后要发给PC2的报文都先发送给网关，由网关做三层转发。
 5.VLAN聚合关键配置命令
 创建Super-VLAN
 [Huawei-vlan100] aggregate-vlan
 将Sub-VLAN加入Super-VLAN
 [Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }
 使能Super-VLAN对应的VLANIF接口的Proxy ARP
 [Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable
 6.案例配置：
 

 SW1的配置如下：
 [SW1] vlan batch 10 20 #创建Sub-VLAN
 [SW1] interface GigabitEthernet0/0/1
 [SW1-GigabitEthernet0/0/1] port link-type trunk
 [SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
 [SW1] interface GigabitEthernet0/0/2
 [SW1-GigabitEthernet0/0/2] port link-type trunk
 [SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
 [SW1] vlan 100 #创建Super-VLAN
 [SW1-vlan100] aggregate-vlan
 [SW1-vlan100] access-vlan 10 20 #将VLAN10,20作为VLAN100的Sub-VLAN
 [SW1] interface vlanif 100
 [SW1-vlanif100] ip address 192.168.1.254 24
 [SW1-vlanif100] arp-proxy inter-sub-vlan-proxy enable
 #使能Sub-VLAN间的Proxy ARP功能

4.MUX VLAN产生背景
 MUX VLAN分为Principal VLAN（主VLAN）和Subordinate VLAN（从VLAN），Subordinate VLAN又分为Separate VLAN（隔离型从VLAN）和Group VLAN（互通型从VLAN）。
 

 4.1 MUX VLAN的应用
 在交换机上，通过把部门A和部门B所在的VLAN分别设置为互通型从VLAN，把访客区所属的VLAN设置为隔离型从VLAN，把服务器所连接口所属VLAN设置为Principal VLAN，即主VLAN。并且所有从VLAN都与主VLAN绑定。从而实现如下网络设计要求：
 部门A内的用户之间能够实现二层互通。
 部门B内的用户之间能够实现二层互通。
 部门A与部门B的用户之间二层隔离。
 部门A和部门B的员工都能够通过二层访问服务器。
 访客区内的任意PC除了能访问服务器之外，不能访问其他任意设备，包括其他访客。
 

 4.2 MUX VLAN配置命令
 1.配置MUX VLAN中的Principal VLAN：配置该VLAN为MUX VLAN，即Principal VLAN。如果指定VLAN已经用于Principal VLAN，那么该VLAN不能在Super-VLAN、Sub-VLAN的配置中使用
 [Huawei-vlan100] mux-vlan
 2.配置Subordinate VLAN中的Group VLAN：一个Principal VLAN下最多配置128个Group VLAN
 [Huawei-vlan100] subordinate group { vlan-id1 [ to vlan-id2 ] }
 3.配置Subordinate VLAN中的Separate VLAN：一个Principal VLAN下只能配置一个Separate VLAN，同一MUX VLAN中Group VLAN和Separate VLAN的VLAN ID不能相同
 [Huawei-vlan100] subordinate separate vlan-id
 4.使能接口MUX VLAN功能
 使能接口的MUX VLAN功能，协商类型negotiation-auto和negotiation-desirable接口不支持配置
 port mux-vlan enable
 4.3 MUX VLAN配置举例
 

 SW1配置如下：
 [SW1] vlan batch 10 20 30 100 #创建所有VLAN
 [SW1] vlan 100
 [SW1-vlan100] mux-vlan
 #指定VLAN100为主VLAN
 [SW1-vlan100] subordinate group 10 20
 #指定VLAN10， 20为互通型从VLAN
 [SW1-vlan100] subordinate separate 30
 #指定VLAN30为隔离型从VLAN
 [SW1] interface GigabitEthernet0/0/1
 [SW1-GigabitEthernet0/0/1] port link-type access
 [SW1-GigabitEthernet0/0/1] port default vlan 10
 [SW1-GigabitEthernet0/0/1] port mux-vlan enable vlan 10
 #接口加入相关VLAN，并且激活MUX VLAN功能
 #其他接口与GE0/0/1配置类似，此处省略

5 QinQ
5.1 QinQ概述
 随着以太网技术在网络中的大量部署，利用VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特，仅能表示4096个VLAN，无法满足城域以太网中标识大量用户的需求，于是QinQ技术应运而生。
 QinQ（802.1Q in 802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能
 

5.2 QinQ封装结构
 QinQ封装报文是在无标签的以太网数据帧的源MAC地址字段后面加上两个VLAN标签构成。
 

5.3 QinQ工作原理
 在公网的传输过程中，设备只根据外层VLAN Tag转发报文，并根据报文的外层VLAN Tag进行MAC地址学习，而用户的私网VLAN Tag将被当作报文的数据部分进行传输。即使私网VLAN Tag相同，也能通过公网VLAN Tag区分不同用户。
5.4 QinQ在园区网络中的应用
 1.场景需求
 单个终端用户可溯源。
 每个终端一个独立的二层广播域，最大限度地限制BUM流量对网络造成的影响。
 终端用户到BRAS设备之间二层互通，匹配PPPoE等认证需求。
 

 2.解决方案
 接入交换机为每个下行端口划分一个独立的VLAN。
 接入交换机将用户的原始数据转发给汇聚交换机时打上一层802.1Q标记。
 汇聚交换机部署QinQ，为每个下行接口分配一个独立的VLAN（每台接入交换机都对应一个唯一的VLAN），将数据打上第二层标记，然后将流量送往核心交换机。
 核心交换机将流量透传给BRAS设备，由其执行QinQ解封装。
5.5 QinQ配置命令
 配置接口类型为dot1q-tunnel
 [Huawei-GigabitEthernet0/0/1] port link-type dot1q-tunnel
 使能接口VLAN转换功能
 [Huawei-GigabitEthernet0/0/1] qinq vlan-translation enable
 配置配置灵活QinQ：配置不同的内层VLAN叠加不同的外层VLAN，缺省情况下，外层VLAN优先级与内层VLAN优先级保持一致
 [Huawei-GigabitEthernet0/0/1] port vlan-stacking vlan vlan-id1 [ to vlan-id2 ] stack-vlan vlan-id3 [ remark-8021p 8021p-value ]
5.6 QinQ配置举例 - 基本QinQ
 

 SW1配置如下：
 [SW1] vlan batch 100 200
 [SW1] interface GigabitEthernet 0/0/1
 #配置GE0/0/1外层TAG为100
 [SW1-GigabitEthernet0/0/1] port link-type dot1q-tunnel
 [SW1 -GigabitEthernet0/0/1] port default vlan 100
 [SW1] interface GigabitEthernet 0/0/2
 #配置GE0/0/2外层TAG为200
 [SW1-GigabitEthernet0/0/2] port link-type dot1q-tunnel
 [SW1-GigabitEthernet0/0/2] port default vlan 200
 [SW1] interface GigabitEthernet 0/0/3
 [SW1-GigabitEthernet0/0/3] port link-type trunk
 [SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 200
 #配置外层VLAN tag的TPID值
 [SW1-GigabitEthernet0/0/3] qinq protocol 9100
 SW2配置与SW1类似，此处省略