所以在接入用户数目较多的情况下,对于各个用户的隔离处理除了采用 VLAN 技术,一般还结合采用其他的方法,比如 PVLAN 技术方案,更多相关知识:http://www.zhengdaole.com/。
PVLAN(Private VLAN)技术在 802.1QVLAN 的基础上对一个 VLAN 进行第二层 VLAN 划分(即在第一层 VLAN 的基础上进行 PVLAN 的划分和隔离),从而实现用户隔离方案,具体讲就是在以太网交换机上配置的能够与其他端口在网络第二层进行隔离的一组端口。
在以太网接入用户中实现用户隔离时,采用划分 VLAN 以及 PVLAN 相结合的方法,不仅可以减少第一层 VLAN 的数目,并且配置灵活,容易满足各种用户的隔离要求。遗憾的是 PVLAN 不是标准的 IEEE802.1QVLAN 技术,与其他厂家设备存在兼容性问题。
(2)VLAN Stacking
在运行营商接入环境中,接入用户往往需要根据用户的应用或接入地点或设备来区分用户需求。VLAN Stacking 可以根据用户报文的 Tag 或 IP/MAC 等给用户报文打上相应的外层 Tag,以达到区分不同用户的目的。
VLAN Stacking 端口有以下特点。
具备 VLAN Stacking 功能的端口可以配置多个外层 VLAN,端口可以给不同 VLAN 的帧加上不同的外层 Tag。接入用户具备 VLAN Stacking 功能的端口可以在接收帧时给帧加上外层 Tag,发送帧时剥掉帧最外层的 Tag。
这里有一点需要说明,PVLAN 是 802.1Q 的应用方式,而 VLAN 和 SLVAN 能共存,所以这三者完全可以配合使用,但要看交换机的实现功能。
所谓 MAC 地址过滤,是通过在以太网交换机上设置过滤策略来实现用户的二层广播隔离,过滤策略一般是单独针对交换机的某个端口设定,而不是对整个交换机。MAC 地址过滤包括源 MAC 地址过滤和目的 MAC 地址过滤。源 MAC 地址过滤是通过二层交换机端口进行 MAC 地址的过滤,使得该交换机端口只能接收来自特定源地址的数据包,禁止接收其他非指定源 MAC 地址的广播包。
这种方法能够使得各个接入用户之间不能接收到广播包而实现用户隔离。接入用户基于目的 MAC 地址的过滤在以太网交换机内指定上联出口 MAC 地址,用户只能向上联端口发送数据包,而不允许向其他目的 MAC 地址发数据包,这就限制了用户间的信息广播,实现了用户的隔离。
MAC 地址过滤要求过滤策略配置功能必须简单、灵活、快速(过滤功能应在 ASIC 芯片这样的硬件上实现),以提高网络系统的效率。
3.广播流向指定
广播流向指定实现用户广播隔离的原理是在交换机上指定某些端口的广播流向,如指定用户端口的所有广播包只能发给上联端口,而不能在用户端口之间互相转发,上联端口下来的广播包则可转发给所有端口,两个用户端口间无法知道对方的 MAC 地址,广播包又不能发送,从而实现了相互隔离。
以上介绍了解决用户之间的广播隔离问题的 3 种方法,MAC 地址过滤和广播流向指定分别可以和 VLAN 技术结合使用,能达到比较好的效果。
