国家 / 地区

PVLAN技术白皮书-6W100

手册下载

PVLAN技术白皮书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。



PVLAN概述

1.1  PVLAN产生背景

以太网的快速发展对传统VLAN网络提出了更高的要求,基于用户安全和管理计费等方面的考虑,一般要求接入用户二层互相隔离。VLAN是天然的隔离手段,很自然的想法是每个用户一个VLAN。如1所示,Switch BSwitch C上分别接入三个用户,如果给每个用户划分一个VLAN,则需要占用Device A上的六个VLAN资源。

图1 传统VLAN网络

 

根据IEEE 802.1Q协议规定,设备最大可使用VLAN资源为4094个。对于核心层设备来说,如果每个用户一个VLAN4094VLAN远远不够,而且在一般的交换设备中,通常是采用一个VLAN对应一个VLAN接口的方式来实现VLAN之间的互通,这将耗费大量的IP地址、增加部署成本与日常维护管理难度。为了解决上述问题,PVLANPrivate VLAN,私有VLAN)技术应运而生。

1.2  PVLAN技术优点

·     节省VLANIP资源:

PVLAN采用两层VLAN隔离技术,即分为上行Primary VLAN和下行Secondary VLAN。上行设备只可见Primary VLAN,而不必关心Private VLAN中的Secondary VLAN,从而大大节省了上行设备的VLAN资源。

PVLAN支持L3域功能,对下行不同的Secondary VLAN,均可使用Primary VLAN接口作为网关,并且支持不同Secondary VLAN之间的三层互通,有效地节省了紧缺的IP资源。

·     安全性:

下行Secondary VLAN在配置为Isolated VLAN后,具备隔离功能,同一Secondary VLAN内各端口二层隔离,增强了安全性。

·     高性能:

PVLAN转发采用MAC地址同步技术,同时PVLAN L3域的广播报文在Primary VLAN内通信时由芯片完成发送,具有较高的转发性能。

PVLAN技术实现

2.1  PVLAN相关术语

·     Private VLAN:由一组VLAN集构成,包括1Primary VLAN其对应Secondary VLAN

·     Primary VLAN:上行设备感知的用户VLAN,它并不是用户的真正VLAN

·     Secondary VLAN:用户真正属于的VLANSecondary VLAN有两种类型:Community VLANIsolated VLAN。同一Community VLAN内的下行端口(又称为Community port可以互通,同一Isolated VLAN内的下行端口(又称为Isolated port相互隔离。缺省情况下,Secondary VLANCommunity VLAN

·     PVLAN L3域:通过在Primary VLAN接口指定三层互通Secondary VLAN,配置Primary VLAN接口的IP地址并开启本地代理ARPAddress Resolution Protocol地址解析协议/NDNeighbor Discovery,邻居发现)功能可以建立PVLAN L3域。其中三层互通的Secondary VLAN被认为加入了该PVLAN L3域,这些Secondary VLAN共用Primary VLAN接口作为网关,大大节省了IP资源。

2.2  PVLAN技术原理

为了在上行设备上屏蔽Secondary VLAN信息,达到节省VLAN资源的目的,需要PVLAN实现:

·     来自不同Secondary VLAN的报文,能够通过上行端口发送给上行设备,而且不能携带Secondary VLAN信息。

·     来自Primary VLAN的报文,能够通过下行端口发送给用户,而且不能携带Primay VLAN信息。

PVLAN技术中,上下行接口可以采用不同的PVLAN工作模式,在出方向剥离VLAN Tag或替换VLAN Tag,完成屏蔽VLAN的功能。其次,PVLAN采用配置同步以及MAC地址同步技术,简化了用户的配置,提高了报文转发的效率以及安全性。同时,PVLAN支持L3域,对于加入PVLAN L3域的Secondary VLAN,可通过Primary VLAN接口进行三层互通。

2.2.1  PVLAN端口工作模式

PVLAN为端口提供了HostTrunk secondaryPromiscuousTrunk promiscuous四种工作模式:

·     Host工作模式:工作在Host模式的端口用于与用户相连,负责和终端通信,属于下行端口。对于Host模式的端口,需确保其缺省VLANSecondary VLAN,否则该端口无法转发来自Primary VLAN的报文。Host模式适用于只有一个Secondary VLAN通过下行端口的情况,该模式下Secondary VLAN不带Tag通过下行端口。

·     Trunk secondary工作模式:工作在Trunk secondary模式的端口用于和下行设备相连,属于下行端口。报文携带的Primary VLAN ID在端口出方向上会替换为对应Secondary VLAN ID,从而对于下行设备屏蔽了Primary VLANTrunk secondary模式的端口,对于同一个Primary VLAN只能加入一个Secondary VLAN,但可加入多个不同Primary VLAN对应的Secondary VLANTrunk secondary模式适用于需要多个Secondary VLAN通过下行端口的情况,该模式下多个Secondary VLAN携带Tag通过下行端口。

·     Promiscuous工作模式:工作在Promiscuous模式的端口用于和上行设备相连,负责和上行设备通信,属于上行端口。Promiscuous模式的端口,需确保其缺省VLANPrimary VLAN,否则该端口无法转发来自Secondary VLAN的报文。Promiscuous适用于只有一个Primary VLAN通过上行端口的情况,该模式下Primary VLAN不带Tag通过上行端口。

·     Trunk pomiscuous工作模式:工作在Trunk promiscuous模式的端口用于和上行设备相连,属于上行端口。报文携带的Secondary VLAN ID在端口出方向上会替换为对应Primary VLAN ID,从而对于上行设备屏蔽了Secondary VLANTrunk promiscuous模式适用于多个Primary VLAN携带Tag通过上行端口。

其中,Promiscuous工作模式和Trunk promiscuous工作模式应用于上行端口;Host工作模式和Trunk secondary工作模式应用于下行端口,与Isolated VLAN一起应用时具有隔离功能。通过这四种工作模式,可以对PVLAN的应用进行灵活组网,如23所示。

图2 Promiscuous&Host工作模式应用示意图

 

图3 Trunk pomiscuous&Trunk secondary工作模式应用示意图

 

2.2.2  PVLAN端口间的互通

4所示,各工作模式端口间的互通关系为(假设上行端口工作在Promiscuous模式,Trunk promiscuous模式的上行端口与此相同):

·     Community portPromiscuous port之间可以互通。

·     Community port之间可以互通。

·     Isolated portPromiscuous port之间可以互通。

·     Isolated port之间不能互通。

图4 PVLAN各工作模式端口间的互通关系

 

 

PVLAN除了支持本设备内下行端口隔离之外,同样也支持Isolated VLAN的跨设备隔离。对于Isolated VLAN的跨设备隔离,要求报文可以携带Isolated VLAN Tag发送到其它设备上,借助Trunk口(或Hybrid口),可以完成跨设备的隔离。如5所示,对于Device ADevice B的流量,Community port之间能够互通,Isolated port之间不能互通。

图5 PVLAN跨设备隔离

 

2.2.3  PVLAN配置同步

PVLAN配置同步技术能够对Primary VLANSecondary VLAN所包含的端口进行自动同步,在Primary VLAN下有大量Secondary VLAN的环境中,极大地简化了用户对PVLAN功能的部署过程。

PVLAN配置同步的触发需要同时满足三个条件:配置开启Primary VLANPrimary VLANSecondary VLAN建立映射关系,以及端口配置PVLAN工作模式。三个条件的配置无先后依赖关系。配置同步后,端口上的如下两方面的配置将会发生变化:端口类型,端口加入Primary VLANSecondary VLAN

(1)     端口类型:对于Access类型的接口,切换为Hybrid类型;对于Trunk/Hybrid类型的接口保持原接口类型不变。

(2)     端口加入Primary VLANSecondary VLAN:若端口此前存在以Tagged/Untagged方式加入某些VLAN的配置,则在保持原有配置的基础上,端口会以下面原则加入其它的VLAN

¡     对于Host工作模式的下行端口,以Untagged方式加入Primary VLAN

¡     对于Trunk secondary工作模式的下行端口,以Tagged方式加入Primary VLANSecondary VLAN

¡     对于Promiscuous工作模式的上行端口,以Untagged方式加入Secondary VLAN

¡     对于Trunk promiscuous工作模式的上行端口,以Tagged方式加入Primary VLANSecondary VLAN

6所示的组网中,端口的相关属性如1所示。

Device A上做如下配置:

·     配置VLAN 10Primary VLANVLAN 201301为其对应的Secondary VLAN

·     配置GigabitEthernet1/0/1VLAN 10工作在Promiscuous模式,GigabitEthernet1/0/2GigabitEthernet1/0/3VLAN 301201工作在Host模式。

Device B上做如下配置:

·     配置VLAN 10Primary VLANVLAN 201为其对应的Secondary VLAN

·     配置VLAN 20Primary VLANVLAN 401为其对应的Secondary VLAN

·     配置GigabitEthernet1/0/1VLAN 1020工作在Trunk promiscuous模式,GigabitEthernet1/0/2VLAN 201工作在Host模式,GigabitEthernet1/0/3VLAN 201401工作在Trunk secondary模式。

配置同步后,端口的相关属性发生了改变,具体信息如62所示。

图6 PVLAN配置同步组网图

 

表1 配置同步前端口的相关属性

设备

端口

类型

工作模式

端口缺省VLAN

允许通过的VLAN

Device A

GigabitEthernet1/0/1

Access

N/A

10

只允许VLAN 10的报文通过

Device A

GigabitEthernet1/0/2

Access

N/A

301

只允许VLAN 301的报文通过

Device A

GigabitEthernet1/0/3

Access

N/A

201

只允许VLAN 201的报文通过

Device B

GigabitEthernet1/0/1

Access

N/A

1

只允许VLAN 1的报文通过

Device B

GigabitEthernet1/0/2

Access

N/A

201

只允许VLAN 201的报文通过

Device B

GigabitEthernet1/0/3

Access

N/A

1

只允许VLAN 1的报文通过

 

表2 配置同步后端口的相关属性

设备

端口

类型

工作模式

端口缺省VLAN

允许通过的VLAN

Device A

GigabitEthernet1/0/1

Hybrid

Promiscuous

(VLAN 10)

10

允许VLAN 10201301的报文通过

Device A

GigabitEthernet1/0/2

Hybrid

Host

301

允许VLAN 10301的报文通过

Device A

GigabitEthernet1/0/3

Hybrid

Host

201

允许VLAN 10201的报文通过

Device B

GigabitEthernet1/0/1

Hybrid

Trunk promiscuous

(VLAN 10, 20)

1

允许VLAN 11020120401的报文通过

Device B

GigabitEthernet1/0/2

Hybrid

Host

201

允许VLAN10201的报文通过

Device B

GigabitEthernet1/0/3

Hybrid

Trunk secondary

(VLAN 201, 401)

1

允许VLAN 11020120401的报文通过

 

2.2.4  MAC地址同步

PVLAN不进行MAC地址同步时的转发流程如7所示。通过MAC地址学习,Device A会生成并维护一张MAC地址表(如3所示)。如果Device CHost A发送报文(源MACmac_c,目的MACmac_a);Device A会给报文添加TagVLAN ID10(即端口的缺省VLAN ID);然后以“mac_a+VLAN 10”为条件去查询MAC地址表。由于找不到相应的表项,该报文会在VLAN 10内广播,并最终从GigabitEthernet1/0/2GigabitEthernet1/0/3发送出去(如7中蓝色箭头所示)。

图7 PVLANMAC同步转发流程图

 

在如8示组网中,Device A上的MAC地址表如3所示。因此,每次上行和下行的报文都需要广播才能到达目的地。当Secondary VLANPrimary VLAN包含的端口较多时,这样的处理方式会占用大量的带宽资源,形成大量的广播报文,同时也存在安全问题(如易被截获和侦听)。通过MAC地址同步机制可以解决这个问题。

表3 同步前的MAC地址表

MAC地址

VLAN

出端口

mac_c

10

GigabitEthernet1/0/1

mac_a

301

GigabitEthernet1/0/2

mac_b

201

GigabitEthernet1/0/3

 

MAC地址同步原理如下

·     Secondary VLANPrimary VLAN的同步即下行端口在Secondary VLAN内学习到的动态MAC地址都同步Primary VLAN内。

·     Primary VLANSecondary VLAN的同步即上行端口在Primary VLAN学习到的动态MAC地址同步到所有的Secondary VLAN内。

图8 PVLAN MAC地址同步转发流程图

 

在如8所示的组网中,Device AMAC地址同步后生成的MAC地址表如4所示。

表4 同步后的MAC地址表

MAC地址

VLAN

出端口

mac_c

10

GigabitEthernet1/0/1

mac_c

201

GigabitEthernet1/0/1

mac_c

301

GigabitEthernet1/0/1

mac_a

301

GigabitEthernet1/0/2

mac_a

10

GigabitEthernet1/0/2

mac_b

201

GigabitEthernet1/0/3

mac_b

10

GigabitEthernet1/0/3

 

Primary VLAN下面配置了很多Secondary VLANMAC地址同步后,将导致MAC地址表过于庞大,进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量,下行流量需要进行单播,上行流量可以进行广播。所以,Secondary VLANPrimary VLAN的同步所有产品均支持,而Primary VLANSecondary VLAN的同步部分产品不支持。

以上为Promiscuous portCommunity port之间的通信;Trunk promiscuous portCommunity port之间的MAC通信与此相同。对于Promiscuous portTrunk promiscuous portIsolated port之间的通信,MAC地址同步机制类似,所不同的是同一个Secondary VLAN下的Isolated port之间二层相互隔离。

2.2.5  PVLAN L3

加入PVLAN L3域的Secondary VLAN,通过Primary VLANVLAN接口进行三层互通,Secondary VLAN本身不允许再创建自己的VLAN接口。未加入PVLAN L3域的Secondary VLAN,可以创建自己的VLAN接口进行三层通信,组网上更为灵活。

9所示,Device A支持PVLAN L3,在Device APrimary VLAN接口上配置本地代理ARP/ND功能,实现Secondary VLAN之间的互通。通信的过程如下:

(1)     VLAN接口10上配置了本地代理ARP功能,VLAN接口10接收到Host A发送的ARP请求后,会用自己的MAC地址代理回应ARP请求

(2)     VLAN接口10以自己为源向除GigabitEthernet1/0/1以外的接口发送ARP请求获取Host BMAC地址,接收到Host B的应答后,ARP表项建立完成

(3)     Host AHost B互相通信时均认为对方的MAC地址为VLAN接口10MAC地址。

图9 本地设备配置本地代理ARP/ND功能实现Secondary VLAN之间三层互通

 

10所示,PVLAN配置在不支持PVLAN L3域的Device A上,若要实现不同Secondary VLAN之间的互通,只能依靠在上层设备Device B上配置本地代理ARP/ND功能来实现。通信流程与本地设备配置本地代理ARP/ND功能流程一致,但这样会增加上层设备的负担。

图10 上层设备配置本地代理ARP/ND功能实现Secondary VLAN之间互通

 

2.3  PVLAN应用限制

·     VLAN 1不能进行PVLAN相关配置。

·     PVLAN配置同步包括端口加入VLAN及将Access端口的链路类型改为Hybrid类型对于端口缺省VLAN配置和端口已有的VLAN Tagged/Untagged属性,不包含在易用性范围内,要求用户手工保证配置正确。执行undo命令使配置不再满足PVLAN配置同步条件时,相关端口由于PVLAN配置同步触发的配置修改不会恢复为原本的配置。

·     PVLAN与二层组播组合使用时,在Primary VLAN上进行的二层组播配置,会同步到与其建立映射的Secondary VLAN上,因此不建议在Secondary VLAN上配置组播协议。

·     PVLAN设备与PVSTPer-VLAN Spanning TreeVLAN生成树)设备进行对接时,要求与上行的PVST设备连接的端口工作在Trunk promiscuous模式,与下行的PVST设备连接的端口工作在Trunk secondary模式,并且要求PVST设备上与PVLAN设备相连端口的链路类型为Trunk类型,否则将触发端口类型不一致保护或者PVID不一致保护。

PVLAN组网应用

3.1.1  PVLAN二层应用

基于PVLAN二层节省VLAN以及支持Secondary VLAN隔离的特点,用户可以用较少的VLAN资源完成二层组网。

11所示,要求所有Host可以与Server进行通信。其中,Host AHost D之间相互隔离,其它在同一Secondary VLAN下的Host之间可以二层互通。

Device A上进行如下配置:

·     配置Primary VLAN 10Isolated VLAN 301Community VLAN 201为其对应的Secondary VLAN

·     配置GigabitEthernet1/0/1Isolated VLAN 301下工作在Host模式。

·     配置GigabitEthernet1/0/2GigabitEthernet1/0/3Community VLAN 201下工作在Host模式。

·     配置GigabitEthernet1/0/4Trunk口,加入Primary VLAN 10Isolated VLAN 301Community VLAN 201,以支持在Isolated VLAN 301中的Host AHost D的隔离以及其它在同一Secondary VLAN下的Host之间的二层互通。

·     配置GigabitEthernet1/0/5Primary VLAN 10中工作在Promiscuous模式,与上游Device D相连。

Device B上进行如下配置:

·     配置Primary VLAN 10Isolated VLAN 301Community VLAN 201为其对应的Secondary VLAN;配置Primary VLAN 20Community VLAN 401为其对应的Secondary VLAN

·     GigabitEthernet1/0/1GigabitEthernet1/0/2GigabitEthernet1/0/4的配置Device A上的配置一致。

·     配置GigabitEthernet1/0/3Secondary VLAN 201401中工作在Trunk secondary模式,与下游Device C相连。

·     配置GigabitEthernet1/0/5Primary VLAN 1020中工作在Trunk promiscuous模式,与上游Device D相连。

Device C上进行如下配置:

·     配置GigabitEthernet1/0/1Trunk口,加入VLAN 201401

·     配置AccessGigabitEthernet1/0/2GigabitEthernet1/0/3PVID分别为401201

图11 PVLAN二层典型组网图

 

组网配置完成后:

·     Host BServer的通信:从ServerHost B的下行流量,通过Device AGigabitEthernet1/0/5进入,为其添加VLAN Tag 10,通过GigabitEthernet1/0/2剥离其VLAN Tag到达Host B。从Host BServer的上行流量,通过Device AGigabitEthernet1/0/2进入,为其添加VLAN Tag 201,通过Device AGigabitEthernet1/0/5剥离其VLAN Tag到达Server的接入设备Device D

·     Host AServer的通信:Host BServer的通信类似。需要指出的是,从Host A发出的广播报文(VLAN TagIsolated VLAN 301),可以到达Server,但无法到达Host D,原因是报文到达Device BGigabitEthernet1/0/1时,由于该端口属于Isolated VLAN,报文无法在GigabitEthernet1/0/1口进行转发。

·     Host FServer的通信:从Host FServer的上行流量,通过Device CGigabitEthernet1/0/2进入,封装VLAN 401Tag,并在GigabitEthernet1/0/1VLAN 401Tag发送,报文到达Device B后,VLAN 401进行转发,在Device BGigabitEthernet1/0/5替换VLAN Tag VLAN 20进行发送,到达Server的接入设备Device D

3.1.2  PVLAN三层应用

通过对PVLAN L3域功能的支持,可以使PVLAN在三层领域有更多的应用。

1. PVLANDHCP组合应用

DHCPDynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态分配IP地址等网络配置参数。PVLAN功能可以通过DHCPPrimary VLAN 10VLAN接口和Secondary VLAN中的Host申请IP地址以及其他配置信息,以便Secondary VLAN之间以及Secondary VLAN与外部进行互通,如12所示。

图12 PVLANDHCP组网图

 

Device B上进行如下配置:

·     配置VLAN 10Primary VLANVLAN 201301为其对应的Secondary VLAN

·     配置Primary VLAN 10下的Secondary VLAN 201301三层互通同时在VLAN接口10开启本地代理ARP功能

·     配置GigabitEthernet1/0/1VLAN 10中工作在Promiscuous模式。

·     配置VLAN接口10通过DHCP协议从DHCP服务器获取IP地址、DNSDomain Name System域名系统)服务器地址和静态路由信息。

Device A上进行如下配置:

·     配置VLAN接口10工作在DHCP服务器模式。

·     配置DHCP地址池,用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数。其中DNS服务器地址为20.1.1.1/24,网关的地址为10.1.1.2/24

通过上面的组网,Host AHost B可以通过Primary VLAN 10VLAN接口申请到IP地址和其它配置信息。

2. PVLANVRRP组合应用

13所示,Host AHost BHost C需要访问Internet上的Host D

图13 PVLANVRRP组网图

 

采用VRRPVirtual Router Redundancy Protocol,虚拟路由器冗余协议)技术,将Device ADevice B加入备份组,提高组网的可靠性。当Device A正常工作时,Host A发送给Host D的报文通过Device A转发;当Device A出现故障时,Host A发送给Host D的报文通过Device B转发。当Device A故障恢复后,Device A会抢占成为MasterHost A发送给Host D的报文仍然通过Device A转发。

采用PVLAN L3域技术,Device ADevice B均只需配置一个VLAN接口,即可满足组网需求,从而节省IP资源。

Device A上进行PVLANVRRP的配置:

·     配置VLAN 30Primary VLANVLAN 301303为其对应的Secondary VLAN

·     创建VLAN接口30,将VLAN 301303加入VLAN 30对应的PVLAN L3域,配置VLAN接口30IP地址为10.1.1.1/24

·     配置GigabitEthernet1/0/1VLAN 301303工作在Trunk secondary模式

·     创建VRRP备份组1,并配置备份组1的虚拟IP地址为10.1.1.111/24

·     配置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证Device A成为Master负责转发

·     配置Device A工作在抢占方式,以保证Device A故障恢复后,能再次抢占成为Master,即只要Device A正常工作,就由Device A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。

Device B上进行PVLANVRRP的配置:

·     配置VLAN 30Primary VLANVLAN 301303为其对应的Secondary VLAN

·     创建VLAN接口30,将VLAN 301303加入VLAN 30对应的PVLAN L3域,配置VLAN接口30IP地址为10.1.1.2/24

·     配置GigabitEthernet1/0/1VLAN 301303工作在Trunk secondary模式

·     创建VRRP备份组1,并配置备份组1的虚拟IP地址为10.1.1.111/24

·     配置Device B在备份组1中的优先级为100

·     配置Device B工作在抢占方式,抢占延迟时间为5秒。

Host A上配置缺省网关为10.1.1.111/24

3.1.3  PVLAN与组播应用

1. 二层组播

基于PVLAN组网要求端口均加入Primary VLAN的特点,二层组播可以在Primary VLAN上进行配置,实现二层组播支持PVLAN的功能。在Primary VLAN上进行的二层组播配置,会分发到与其建立映射的Secondary VLAN上,相当于一组Private VLAN均进行了同样的二层组播配置。PVLAN内的组播流量(包括数据报文和协议报文)在设备内均在Primary VLAN内进行转发,组播表项都维护在Primary VLAN中。

14所示,在二层组播支持PVLAN组网中,进行如下配置:

·     Device A配置Primary VLAN 10VLAN 101VLAN 102VLAN 103为其对应的Secondary VLAN

·     配置Device AGigabitEthernet1/0/1Primary VLAN 10中工作在Promiscuous工作模式;GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/4加入Secondary VLAN 101,并工作在Host模式;GigabitEthernet1/0/5加入Secondary VLAN 102,并工作在Host模式;GigabitEthernet1/0/6加入Secondary VLAN 103,并工作在Host模式。

·     Device A配置丢弃未知组播数据

·     Device B通过GigabitEthernet1/0/1连接组播源(Source),通过GigabitEthernet1/0/2连接Device A

·     Device B上运行IGMPInternet Group Management Protocol互联网组管理协议)(IGMP版本为IGMPv2Device A上运行IGMP SnoopingIGMP Snooping版本为2,并由Device B充当IGMP查询器。

·     Host AHost BHost E为组播组224.1.1.1的固定接收者(Receiver)。

图14 二层组播支持PVLAN组网图

 

通过配置,使Host AHost BHost E能且只能接收发往组播组224.1.1.1的组播数据,并且当Host AHost BHost E发生意外而临时中断接收组播数据时,发往组播组224.1.1.1组播数据也能不间断地通过Device A的接口GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/6转发出去;同时,使Device A将收到的未知组播数据直接丢弃,避免在其所属的Primary VLAN 10内广播。

2. 三层组播

三层组播与PVLAN L3域一起配合使用,在Primary VLANVLAN接口上配置三层组播协议。配置完成后,组播流量(包括数据报文和协议报文)均上送Primary VLAN接口,三层组播表项维护在Primary VLAN接口上。

图15 三层组播支持PVLAN组网图

设备

接口

IP地址

设备

接口

IP地址

Device A

Vlan-int10

10.110.1.1/24

Device D

Vlan-int30

10.110.5.1/24

Vlan-int11

192.168.1.1/24

Vlan-int11

192.168.1.2/24

Vlan-int16

192.168.9.1/24

Vlan-int15

192.168.4.2/24

Device B

Vlan-int20

10.110.2.1/24

Device E

Vlan-int14

192.168.3.2/24

Vlan-int13

192.168.2.1/24

Vlan-int13

192.168.2.2/24

Device C

Vlan-int20

10.110.2.2/24

Vlan-int15

192.168.4.1/24

Vlan-int14

192.168.3.1/24

Vlan-int16

192.168.9.2/24

 

在如15所示的三层组播与PVLAN组网中,接收者通过组播方式接收视频点播信息,不同组织的接收者群体组成末梢网络,每个末梢网络中都存在至少一个接收者,整个PIM域采用SM非管理域方式。对组网进行如下配置:

·     Host BHost C为两个末梢网络中的组播信息接收者。

·     Device D通过VLAN接口30与组播源(Source)所在网络连接。

·     Device A通过VLAN接口10连接末梢网络N1,通过VLAN接口11VLAN接口16分别连接Device DDevice E。在Device A上配置VLAN 10Primary VLANVLAN 102VLAN 103为其Secondary VLAN,并且Secondary VLAN 102Secondary VLAN 103均加入Primary VLAN 10对应的PVLAN L3域。

·     Device B通过VLAN接口20连接末梢网络N2,通过VLAN接口13连接Device E。在Device B上配置VLAN 20Primary VLANVLAN 202VLAN 203为其Secondary VLAN,并且Secondary VLAN 202Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。

·     Device C通过VLAN接口20连接末梢网络N2,通过VLAN接口14连接Device E。在Device C上配置VLAN 20Primary VLANVLAN 202VLAN 203为其Secondary VLAN,并且Secondary VLAN 202Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。

·     Device EVLAN接口16配置为C-BSRCandidate Bootstrap Router,候选自举路由器C-RPCandidate Rendezvous Point,候选汇集点,其中C-RP所服务的组播组范围为225.1.1.0/24

·     在所有设备上将Device DVLAN接口11配置为静态RPRendezvous Point汇集点),以对动态RP进行备份。Device A与末梢网络N1之间运行IGMPv2Device BDevice C与末梢网络N2之间也运行IGMPv2