在网络工程部署中,MUX VLAN、Super VLAN、VLAN Mapping 是三种用于解决特定网络痛点的高级VLAN技术。
- MUX VLAN 通过定义主VLAN与从VLAN的通信规则,在同一网段内实现精细化的二层访问控制,常用于企业内网隔离或酒店客房网络。
- Super VLAN(VLAN聚合)将多个Sub-VLAN聚合并共享一个三层网关,极大节约了IP地址资源,适用于用户密集且需隔离的校园网或小区宽带场景。
- VLAN Mapping 则通过转换数据帧的VLAN标签,解决跨网络域时VLAN ID不一致的问题,广泛应用于园区网分层架构或运营商网络对接。三者分别从访问权限、IP资源和标签转换三个维度,提升了网络部署的灵活性与效率。
一、MUX VLAN
MUX VLAN 主要用于在同一个二层网络内,实现精细化的用户访问权限控制,而无需划分大量独立的 VLAN。
- 场景:企业员工需要访问内部服务器,同时访客也需要访问互联网,但必须确保员工之间、访客之间以及员工与访客之间相互隔离,以防数据泄露或病毒传播。
- 应用 :将服务器端口设为 Principal port ,员工端口设为 Group port (同部门可互通),访客端口设为 Separate port(完全隔离)。这样,所有用户都能访问服务器,但彼此之间无法通信。
MUX VLAN(Multiplex VLAN)即多重 VLAN。分为主VLAN 和从VLAN,从VLAN 又分为互通型从VLAN和隔离型从VLAN。
- 主VLAN与从VLAN之间可以相互通信;
- 互通型从VLAN内的端口之间可以互相通信;
- 隔离型从VLAN内的端口之间不能互相通信;
- 不同从VLAN之间不能互相通信。
主 VLAN 是 MUX VLAN 的关键,所有vlan之间的通信必须通过主 VLAN!(因为不同从vlan间不能通信),互通型从VLAN表示该vlan内的主机可以互相通信,隔离型从vlan就是该vlan内的主机不能互相通信。
vlan 2
mux-vlan # 配置vlan 2 为 主 VLAN
subordinate separate 4 # 配置 vlan 4 为 vlan 2 的隔离型从vlan
subordinate group 3 # 配置 vlan 3 为 vlan 2 的互通型从vlan
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
port mux-vlan enable vlan 2 # 主vlan,用于连接服务器
#
interface GigabitEthernet0/0/2
port mux-vlan enable vlan 3 # 省略access/ port default配置,从vlan 3,连接客户端
# 其他端口配置同理
Server和HostB、HostC、HostD、HostE二层流量互通。(sever在主vlan与所有都互通) HostB和HostC二层流量互通。(同一个互通型从vlan) HostD和HostE二层流量不通。(同一个隔离型从vlan) HostB、HostC和HostD、HostE二层流量不通。(不同从vlan不互通)
二、Super VLAN
Super VLAN主要应用于用户数量庞大、需要大量VLAN进行隔离,但又面临IP地址资源紧张的场景。
- 场景:一个小区或一栋宿舍楼有上百个用户,为了安全和隔离,需要为每户或每个房间划分一个独立的VLAN。如果为每个VLAN分配一个独立的IP网段,会造成大量IP地址浪费(每个子网都有网络地址、广播地址和网关地址的开销)。
- 应用 :使用一个 Super VLAN 作为所有用户VLAN(Sub-VLAN)的统一网关,所有用户共享同一个IP地址段。Sub-VLAN之间在二层隔离,通过Super VLAN的代理ARP功能实现三层互通。
Super VLAN(超级 VLAN,也称VLAN Aggregation,VLAN 聚合)是一种用于优化 IP 地址使用和网络管理的 VLAN 技术。它将多个 Sub - VLAN(子 VLAN)组合在一个逻辑结构下,旨在解决传统 VLAN 配置中可能出现的 IP 地址浪费问题。
- Super VLAN不包含物理接口,只用来建立三层VLANIF接口(网关)。
- 多个 Sub VLAN 共享 Super VLAN 的 IP 子网(节省了IP地址),形成一个大的广播域,同时各 Sub VLAN 在二层相互隔离。
- Sub VLAN 与外部通信都需要通过网关(正常流程)。
- Sub VLAN 之间如果需要通信需要在网关启用arp 代理,且互相通信主机ip不能在两个vlan之间都存在。
如上图 Sub-VLAN2、Sub-VLAN3和Sub-VLAN4共用一个子网10.1.1.1/24,所有主机的网关都是10.1.1.1,每个 Sub VLAN下都可以分配整个网段的ip给主机,Sub-VLAN间无法通信(毕竟IP可能重叠)。如果需要通信就需要arp代理了。
vlan 4
aggregate-vlan # 配置 vlan 4 为super vlan
access-vlan 2 to 3 # 配置vlan 2 和 3 为sub vlan
interface Vlanif4
ip address 10.1.1.1 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable # 配置vlanif 4接口 跨 Sub - VLAN 的 ARP 代理
#其他接入主机的vlan就是 access vlan 2或者3即可实际用途是:比如该企业有很多对外用户,则可以设置super vlan + sub vlan,所有用户都公用super vlan网关,sub vlan可以重复分配ip,sub vlan 本身也应该隔离。这样节省ip地址又有安全隔离的效果。
三、VLAN Mapping
VLAN Mapping 主要用于连接两个VLAN规划不一致的网络,通过转换数据帧的VLAN标签,实现无缝对接。
- 场景:企业客户的私网VLAN ID可能与运营商(ISP)网络的VLAN ID规划发生冲突。或者,客户希望使用QinQ(双层VLAN标签)来扩展自己的VLAN数量,但运营商网络需要识别自己的外层标签。
- 应用 :在运营商网络的边缘设备上部署 2 to 2 VLAN Mapping,将客户报文的双层VLAN标签替换为运营商网络分配的双层标签,确保报文在骨干网中正确传输,避免ID冲突。
VLAN Mapping ,VLAN 映射,也叫 VLAN 转换,通过修改报文携带的 VLAN Tag 来实现不同 VLAN 的相互映射。
工作原理:交换机收到数据报文后,若报文带 Tag,根据配置的 VLAN Mapping 方式,决定替换单层、双层或双层中的外层 Tag;若报文不带 Tag,根据配置的 VLAN 划分方式决定是否添加 VLAN Tag。之后进入 MAC 地址学习阶段,再根据目的 MAC + 映射后 VLAN ID 查找 MAC 地址表项进行转发。
映射方式:
-
1 to 1 映射:当接口收到带有单层 VLAN Tag 的帧后,将报文中携带的单层 VLAN Tag 映射为指定的另一个单层 Tag。例如将 VLAN 2 的 Tag 映射为 VLAN 3 的 Tag。
-
2 to 1 映射:当接口收到带有双层 VLAN Tag 的帧后,将报文中的外层 Tag 映射为指定的 Tag,内层 Tag 作为数据透传。例如将外层 VLAN 100 的 Tag 映射为外层 VLAN 200 的 Tag,内层 VLAN 50 的 Tag 保持不变。
-
2 to 2 映射:将报文中携带的双层 VLAN Tag 整体映射为另一对指定的双层 Tag,主要用于用户私网 VLAN 与运营商分配的 VLAN 不一致时,实现双层标签的端到端替换。例如将用户私网的外层 VLAN 300、内层 VLAN 150 的双层 Tag 映射为运营商分配的外层 VLAN 400、内层 VLAN 250 的双层 Tag。
#接口下配置
qinq vlan-translation enable1 to 1 映射
port vlan-mapping vlan 5 map-vlan 10 # 用户VLAN ID 5 映射为运营商提供的VLAN ID 10
n to 1 映射
port vlan-mapping vlan 2 to 10 map-vlan 5 # 用户VLAN ID 2到10 映射为运营商提供的VLAN ID 5
2 to 1 映射(双层vlan tag替换单层,仅外层)
port vlan-mapping vlan 30 inner-vlan 5 to 10 map-vlan 50 # 将外层vlan30内层vlan5到10的外层标签替换为vlan50,内层不变
2 to 2映射(双层vlan tag替换双层)
port vlan-mapping vlan 40 inner-vlan 30 map-vlan 50 map-inner-vlan 60 # 将外层vlan40替换为vlan50,内层vlan30替换为vlan60
这些VLAN高级技术不常用,这里没有特别详细了。