- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
PVLAN技术白皮书
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
目 录
以太网的快速发展对传统VLAN网络提出了更高的要求,基于用户安全和管理计费等方面的考虑,一般要求接入用户二层互相隔离。VLAN是天然的隔离手段,很自然的想法是每个用户一个VLAN。如图1所示,Switch B和Switch C上分别接入三个用户,如果给每个用户划分一个VLAN,则需要占用Device A上的六个VLAN资源。
根据IEEE 802.1Q协议规定,设备最大可使用VLAN资源为4094个。对于核心层设备来说,如果每个用户一个VLAN,4094个VLAN远远不够,而且在一般的交换设备中,通常是采用一个VLAN对应一个VLAN接口的方式来实现VLAN之间的互通,这将耗费大量的IP地址、增加部署成本与日常维护管理难度。为了解决上述问题,PVLAN(Private VLAN,私有VLAN)技术应运而生。
· 节省VLAN及IP资源:
PVLAN采用两层VLAN隔离技术,即分为上行Primary VLAN和下行Secondary VLAN。上行设备只可见Primary VLAN,而不必关心Private VLAN中的Secondary VLAN,从而大大节省了上行设备的VLAN资源。
PVLAN支持L3域功能,对下行不同的Secondary VLAN,均可使用Primary VLAN接口作为网关,并且支持不同Secondary VLAN之间的三层互通,有效地节省了紧缺的IP资源。
· 安全性:
下行Secondary VLAN在配置为Isolated VLAN后,具备隔离功能,同一Secondary VLAN内各端口二层隔离,增强了安全性。
· 高性能:
PVLAN转发采用MAC地址同步技术,同时PVLAN L3域的广播报文在Primary VLAN内通信时由芯片完成发送,具有较高的转发性能。
· Private VLAN:由一组VLAN集构成,包括1个Primary VLAN和其对应的Secondary VLAN。
· Primary VLAN:上行设备感知的用户VLAN,它并不是用户的真正VLAN。
· Secondary VLAN:用户真正属于的VLAN。Secondary VLAN有两种类型:Community VLAN和Isolated VLAN。同一Community VLAN内的下行端口(又称为Community port)可以互通,同一Isolated VLAN内的下行端口(又称为Isolated port)相互隔离。缺省情况下,Secondary VLAN为Community VLAN。
· PVLAN L3域:通过在Primary VLAN接口上指定三层互通的Secondary VLAN,配置Primary VLAN接口的IP地址并开启本地代理ARP(Address Resolution Protocol,地址解析协议)/ND(Neighbor Discovery,邻居发现)功能可以建立PVLAN L3域。其中三层互通的Secondary VLAN被认为加入了该PVLAN L3域,这些Secondary VLAN共用Primary VLAN接口作为网关,大大节省了IP资源。
为了在上行设备上屏蔽Secondary VLAN信息,达到节省VLAN资源的目的,需要PVLAN实现:
· 来自不同Secondary VLAN的报文,能够通过上行端口发送给上行设备,而且不能携带Secondary VLAN信息。
· 来自Primary VLAN的报文,能够通过下行端口发送给用户,而且不能携带Primay VLAN信息。
PVLAN技术中,上下行接口可以采用不同的PVLAN工作模式,在出方向剥离VLAN Tag或替换VLAN Tag,完成屏蔽VLAN的功能。其次,PVLAN采用配置同步以及MAC地址同步技术,简化了用户的配置,提高了报文转发的效率以及安全性。同时,PVLAN支持L3域,对于加入PVLAN L3域的Secondary VLAN,可通过Primary VLAN接口进行三层互通。
PVLAN为端口提供了Host、Trunk secondary、Promiscuous和Trunk promiscuous四种工作模式:
· Host工作模式:工作在Host模式的端口用于与用户相连,负责和终端通信,属于下行端口。对于Host模式的端口,需确保其缺省VLAN为Secondary VLAN,否则该端口无法转发来自Primary VLAN的报文。Host模式适用于只有一个Secondary VLAN通过下行端口的情况,该模式下Secondary VLAN不带Tag通过下行端口。
· Trunk secondary工作模式:工作在Trunk secondary模式的端口用于和下行设备相连,属于下行端口。报文携带的Primary VLAN ID在端口出方向上会替换为对应Secondary VLAN ID,从而对于下行设备屏蔽了Primary VLAN。Trunk secondary模式的端口,对于同一个Primary VLAN只能加入一个Secondary VLAN,但可加入多个不同Primary VLAN对应的Secondary VLAN。Trunk secondary模式适用于需要多个Secondary VLAN通过下行端口的情况,该模式下多个Secondary VLAN携带Tag通过下行端口。
· Promiscuous工作模式:工作在Promiscuous模式的端口用于和上行设备相连,负责和上行设备通信,属于上行端口。Promiscuous模式的端口,需确保其缺省VLAN为Primary VLAN,否则该端口无法转发来自Secondary VLAN的报文。Promiscuous适用于只有一个Primary VLAN通过上行端口的情况,该模式下Primary VLAN不带Tag通过上行端口。
· Trunk pomiscuous工作模式:工作在Trunk promiscuous模式的端口用于和上行设备相连,属于上行端口。报文携带的Secondary VLAN ID在端口出方向上会替换为对应Primary VLAN ID,从而对于上行设备屏蔽了Secondary VLAN。Trunk promiscuous模式适用于多个Primary VLAN携带Tag通过上行端口。
其中,Promiscuous工作模式和Trunk promiscuous工作模式应用于上行端口;Host工作模式和Trunk secondary工作模式应用于下行端口,与Isolated VLAN一起应用时具有隔离功能。通过这四种工作模式,可以对PVLAN的应用进行灵活组网,如图2和图3所示。
图2 Promiscuous&Host工作模式应用示意图
图3 Trunk pomiscuous&Trunk secondary工作模式应用示意图
如图4所示,各工作模式端口间的互通关系为(假设上行端口工作在Promiscuous模式,Trunk promiscuous模式的上行端口与此相同):
· Community port与Promiscuous port之间可以互通。
· Community port之间可以互通。
· Isolated port与Promiscuous port之间可以互通。
· Isolated port之间不能互通。
图4 PVLAN各工作模式端口间的互通关系
PVLAN除了支持本设备内下行端口隔离之外,同样也支持Isolated VLAN的跨设备隔离。对于Isolated VLAN的跨设备隔离,要求报文可以携带Isolated VLAN Tag发送到其它设备上,借助Trunk口(或Hybrid口),可以完成跨设备的隔离。如图5所示,对于Device A到Device B的流量,Community port之间能够互通,Isolated port之间不能互通。
图5 PVLAN跨设备隔离
PVLAN配置同步技术能够对Primary VLAN和Secondary VLAN所包含的端口进行自动同步,在Primary VLAN下有大量Secondary VLAN的环境中,极大地简化了用户对PVLAN功能的部署过程。
PVLAN配置同步的触发需要同时满足三个条件:配置开启Primary VLAN、Primary VLAN与Secondary VLAN建立映射关系,以及端口配置PVLAN工作模式。三个条件的配置无先后依赖关系。配置同步后,端口上的如下两方面的配置将会发生变化:端口类型,端口加入Primary VLAN与Secondary VLAN。
(1) 端口类型:对于Access类型的接口,切换为Hybrid类型;对于Trunk/Hybrid类型的接口保持原接口类型不变。
(2) 端口加入Primary VLAN与Secondary VLAN:若端口此前存在以Tagged/Untagged方式加入某些VLAN的配置,则在保持原有配置的基础上,端口会以下面原则加入其它的VLAN:
¡ 对于Host工作模式的下行端口,以Untagged方式加入Primary VLAN。
¡ 对于Trunk secondary工作模式的下行端口,以Tagged方式加入Primary VLAN和Secondary VLAN。
¡ 对于Promiscuous工作模式的上行端口,以Untagged方式加入Secondary VLAN。
¡ 对于Trunk promiscuous工作模式的上行端口,以Tagged方式加入Primary VLAN和Secondary VLAN。
在Device A上做如下配置:
· 配置VLAN 10为Primary VLAN,VLAN 201、301为其对应的Secondary VLAN。
· 配置GigabitEthernet1/0/1在VLAN 10中工作在Promiscuous模式,GigabitEthernet1/0/2、GigabitEthernet1/0/3在VLAN 301、201中工作在Host模式。
在Device B上做如下配置:
· 配置VLAN 10为Primary VLAN,VLAN 201为其对应的Secondary VLAN。
· 配置VLAN 20为Primary VLAN,VLAN 401为其对应的Secondary VLAN。
· 配置GigabitEthernet1/0/1在VLAN 10、20中工作在Trunk promiscuous模式,GigabitEthernet1/0/2在VLAN 201中工作在Host模式,GigabitEthernet1/0/3在VLAN 201、401中工作在Trunk secondary模式。
配置同步后,端口的相关属性发生了改变,具体信息如图6表2所示。
图6 PVLAN配置同步组网图
|
设备 |
端口 |
类型 |
工作模式 |
端口缺省VLAN |
允许通过的VLAN |
|
Device A |
GigabitEthernet1/0/1 |
Access |
N/A |
10 |
只允许VLAN 10的报文通过 |
|
Device A |
GigabitEthernet1/0/2 |
Access |
N/A |
301 |
只允许VLAN 301的报文通过 |
|
Device A |
GigabitEthernet1/0/3 |
Access |
N/A |
201 |
只允许VLAN 201的报文通过 |
|
Device B |
GigabitEthernet1/0/1 |
Access |
N/A |
1 |
只允许VLAN 1的报文通过 |
|
Device B |
GigabitEthernet1/0/2 |
Access |
N/A |
201 |
只允许VLAN 201的报文通过 |
|
Device B |
GigabitEthernet1/0/3 |
Access |
N/A |
1 |
只允许VLAN 1的报文通过 |
|
设备 |
端口 |
类型 |
工作模式 |
端口缺省VLAN |
允许通过的VLAN |
|
Device A |
GigabitEthernet1/0/1 |
Hybrid |
Promiscuous (VLAN 10) |
10 |
允许VLAN 10、201、301的报文通过 |
|
Device A |
GigabitEthernet1/0/2 |
Hybrid |
Host |
301 |
允许VLAN 10、301的报文通过 |
|
Device A |
GigabitEthernet1/0/3 |
Hybrid |
Host |
201 |
允许VLAN 10、201的报文通过 |
|
Device B |
GigabitEthernet1/0/1 |
Hybrid |
Trunk promiscuous (VLAN 10, 20) |
1 |
允许VLAN 1、10、201、20、401的报文通过 |
|
Device B |
GigabitEthernet1/0/2 |
Hybrid |
Host |
201 |
允许VLAN10、201的报文通过 |
|
Device B |
GigabitEthernet1/0/3 |
Hybrid |
Trunk secondary (VLAN 201, 401) |
1 |
允许VLAN 1、10、201、20、401的报文通过 |
PVLAN不进行MAC地址同步时的转发流程如图7所示。通过MAC地址学习,Device A会生成并维护一张MAC地址表(如表3所示)。如果Device C给Host A发送报文(源MAC为mac_c,目的MAC为mac_a);Device A会给报文添加Tag,VLAN ID为10(即端口的缺省VLAN ID);然后以“mac_a+VLAN 10”为条件去查询MAC地址表。由于找不到相应的表项,该报文会在VLAN 10内广播,并最终从GigabitEthernet1/0/2、GigabitEthernet1/0/3发送出去(如图7中蓝色箭头所示)。
图7 PVLAN无MAC同步转发流程图
在如图8示组网中,Device A上的MAC地址表如表3所示。因此,每次上行和下行的报文都需要广播才能到达目的地。当Secondary VLAN和Primary VLAN包含的端口较多时,这样的处理方式会占用大量的带宽资源,形成大量的广播报文,同时也存在安全问题(如易被截获和侦听)。通过MAC地址同步机制可以解决这个问题。
表3 同步前的MAC地址表
|
源MAC地址 |
VLAN |
出端口 |
|
mac_c |
10 |
GigabitEthernet1/0/1 |
|
mac_a |
301 |
GigabitEthernet1/0/2 |
|
mac_b |
201 |
GigabitEthernet1/0/3 |
MAC地址同步原理如下:
· Secondary VLAN到Primary VLAN的同步,即下行端口在Secondary VLAN内学习到的动态MAC地址都同步到Primary VLAN内。
· Primary VLAN到Secondary VLAN的同步,即上行端口在Primary VLAN学习到的动态MAC地址同步到所有的Secondary VLAN内。
图8 PVLAN MAC地址同步转发流程图
在如图8所示的组网中,Device A上MAC地址同步后生成的MAC地址表如表4所示。
表4 同步后的MAC地址表
|
源MAC地址 |
VLAN |
出端口 |
|
mac_c |
10 |
GigabitEthernet1/0/1 |
|
mac_c |
201 |
GigabitEthernet1/0/1 |
|
mac_c |
301 |
GigabitEthernet1/0/1 |
|
mac_a |
301 |
GigabitEthernet1/0/2 |
|
mac_a |
10 |
GigabitEthernet1/0/2 |
|
mac_b |
201 |
GigabitEthernet1/0/3 |
|
mac_b |
10 |
GigabitEthernet1/0/3 |
当Primary VLAN下面配置了很多Secondary VLAN,MAC地址同步后,将导致MAC地址表过于庞大,进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量,下行流量需要进行单播,上行流量可以进行广播。所以,Secondary VLAN到Primary VLAN的同步所有产品均支持,而Primary VLAN到Secondary VLAN的同步部分产品不支持。
以上为Promiscuous port和Community port之间的通信;Trunk promiscuous port和Community port之间的MAC通信与此相同。对于Promiscuous port或Trunk promiscuous port与Isolated port之间的通信,MAC地址同步机制类似,所不同的是同一个Secondary VLAN下的Isolated port之间二层相互隔离。
加入PVLAN L3域的Secondary VLAN,通过Primary VLAN的VLAN接口进行三层互通,Secondary VLAN本身不允许再创建自己的VLAN接口。未加入PVLAN L3域的Secondary VLAN,可以创建自己的VLAN接口进行三层通信,组网上更为灵活。
如图9所示,Device A支持PVLAN L3,在Device A的Primary VLAN接口上配置本地代理ARP/ND功能,实现Secondary VLAN之间的互通。通信的过程如下:
(1) VLAN接口10上配置了本地代理ARP功能,VLAN接口10接收到Host A发送的ARP请求后,会用自己的MAC地址代理回应ARP请求。
(2) VLAN接口10以自己为源向除GigabitEthernet1/0/1以外的接口发送ARP请求获取Host B的MAC地址,接收到Host B的应答后,ARP表项建立完成。
(3) Host A与Host B互相通信时均认为对方的MAC地址为VLAN接口10的MAC地址。
图9 本地设备配置本地代理ARP/ND功能实现Secondary VLAN之间三层互通
如图10所示,PVLAN配置在不支持PVLAN L3域的Device A上,若要实现不同Secondary VLAN之间的互通,只能依靠在上层设备Device B上配置本地代理ARP/ND功能来实现。通信流程与本地设备配置本地代理ARP/ND功能流程一致,但这样会增加上层设备的负担。
图10 上层设备配置本地代理ARP/ND功能实现Secondary VLAN之间互通
· VLAN 1不能进行PVLAN相关配置。
· PVLAN配置同步包括端口加入VLAN以及将Access端口的链路类型改为Hybrid类型。对于端口缺省VLAN配置和端口已有的VLAN Tagged/Untagged属性,不包含在易用性范围内,要求用户手工保证配置正确。执行undo命令使配置不再满足PVLAN配置同步条件时,相关端口由于PVLAN配置同步触发的配置修改不会恢复为原本的配置。
· PVLAN与二层组播组合使用时,在Primary VLAN上进行的二层组播配置,会同步到与其建立映射的Secondary VLAN上,因此不建议在Secondary VLAN上配置组播协议。
· 当PVLAN设备与PVST(Per-VLAN Spanning Tree,每VLAN生成树)设备进行对接时,要求与上行的PVST设备连接的端口工作在Trunk promiscuous模式,与下行的PVST设备连接的端口工作在Trunk secondary模式,并且要求PVST设备上与PVLAN设备相连端口的链路类型为Trunk类型,否则将触发端口类型不一致保护或者PVID不一致保护。
基于PVLAN二层节省VLAN以及支持Secondary VLAN隔离的特点,用户可以用较少的VLAN资源完成二层组网。
如图11所示,要求所有Host可以与Server进行通信。其中,Host A和Host D之间相互隔离,其它在同一Secondary VLAN下的Host之间可以二层互通。
在Device A上进行如下配置:
· 配置Primary VLAN 10,Isolated VLAN 301和Community VLAN 201为其对应的Secondary VLAN。
· 配置GigabitEthernet1/0/1在Isolated VLAN 301下工作在Host模式。
· 配置GigabitEthernet1/0/2和GigabitEthernet1/0/3在Community VLAN 201下工作在Host模式。
· 配置GigabitEthernet1/0/4为Trunk口,加入Primary VLAN 10、Isolated VLAN 301和Community VLAN 201,以支持在Isolated VLAN 301中的Host A与Host D的隔离以及其它在同一Secondary VLAN下的Host之间的二层互通。
· 配置GigabitEthernet1/0/5在Primary VLAN 10中工作在Promiscuous模式,与上游的Device D相连。
在Device B上进行如下配置:
· 配置Primary VLAN 10,Isolated VLAN 301和Community VLAN 201为其对应的Secondary VLAN;配置Primary VLAN 20,Community VLAN 401为其对应的Secondary VLAN。
· GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/4的配置与Device A上的配置一致。
· 配置GigabitEthernet1/0/3在Secondary VLAN 201、401中工作在Trunk secondary模式,与下游的Device C相连。
· 配置GigabitEthernet1/0/5在Primary VLAN 10、20中工作在Trunk promiscuous模式,与上游的Device D相连。
在Device C上进行如下配置:
· 配置GigabitEthernet1/0/1为Trunk口,加入VLAN 201、401。
· 配置Access口GigabitEthernet1/0/2、GigabitEthernet1/0/3的PVID分别为401、201。
图11 PVLAN二层典型组网图
组网配置完成后:
· Host B与Server的通信:从Server到Host B的下行流量,通过Device A的GigabitEthernet1/0/5进入,为其添加VLAN Tag 10,通过GigabitEthernet1/0/2剥离其VLAN Tag后到达Host B。从Host B到Server的上行流量,通过Device A的GigabitEthernet1/0/2进入,为其添加VLAN Tag 201,通过Device A的GigabitEthernet1/0/5剥离其VLAN Tag后到达Server的接入设备Device D。
· Host A与Server的通信:和Host B与Server的通信类似。需要指出的是,从Host A发出的广播报文(VLAN Tag为Isolated VLAN 301),可以到达Server,但无法到达Host D,原因是报文到达Device B的GigabitEthernet1/0/1时,由于该端口属于Isolated VLAN,报文无法在GigabitEthernet1/0/1口进行转发。
· Host F与Server的通信:从Host F到Server的上行流量,通过Device C的GigabitEthernet1/0/2进入,封装VLAN 401的Tag,并在GigabitEthernet1/0/1携带VLAN 401的Tag发送,报文到达Device B后,在VLAN 401内进行转发,在Device B的GigabitEthernet1/0/5替换其VLAN Tag为 VLAN 20后进行发送,到达Server的接入设备Device D。
通过对PVLAN L3域功能的支持,可以使PVLAN在三层领域有更多的应用。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态分配IP地址等网络配置参数。PVLAN功能可以通过DHCP为Primary VLAN 10的VLAN接口和Secondary VLAN中的Host申请IP地址以及其他配置信息,以便Secondary VLAN之间以及Secondary VLAN与外部进行互通,如图12所示。
图12 PVLAN与DHCP组网图
在Device B上进行如下配置:
· 配置VLAN 10为Primary VLAN,VLAN 201、301为其对应的Secondary VLAN。
· 配置Primary VLAN 10下的Secondary VLAN 201、301三层互通,同时在VLAN接口10上开启本地代理ARP功能。
· 配置GigabitEthernet1/0/1在VLAN 10中工作在Promiscuous模式。
· 配置VLAN接口10通过DHCP协议从DHCP服务器获取IP地址、DNS(Domain Name System,域名系统)服务器地址和静态路由信息。
在Device A上进行如下配置:
· 配置VLAN接口10工作在DHCP服务器模式。
· 配置DHCP地址池,用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数。其中DNS服务器地址为20.1.1.1/24,网关的地址为10.1.1.2/24。
通过上面的组网,Host A和Host B可以通过Primary VLAN 10的VLAN接口申请到IP地址和其它配置信息。
如图13所示,Host A、Host B和Host C需要访问Internet上的Host D。
图13 PVLAN与VRRP组网图
采用VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)技术,将Device A和Device B加入备份组,提高组网的可靠性。当Device A正常工作时,Host A发送给Host D的报文通过Device A转发;当Device A出现故障时,Host A发送给Host D的报文通过Device B转发。当Device A故障恢复后,Device A会抢占成为Master,Host A发送给Host D的报文仍然通过Device A转发。
采用PVLAN L3域技术,Device A和Device B均只需配置一个VLAN接口,即可满足组网需求,从而节省IP资源。
在Device A上进行PVLAN和VRRP的配置:
· 配置VLAN 30为Primary VLAN,VLAN 301~303为其对应的Secondary VLAN。
· 创建VLAN接口30,将VLAN 301~303加入VLAN 30对应的PVLAN L3域,配置VLAN接口30的IP地址为10.1.1.1/24。
· 配置GigabitEthernet1/0/1在VLAN 301~303中工作在Trunk secondary模式。
· 创建VRRP备份组1,并配置备份组1的虚拟IP地址为10.1.1.111/24。
· 配置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证Device A成为Master负责转发。
· 配置Device A工作在抢占方式,以保证Device A故障恢复后,能再次抢占成为Master,即只要Device A正常工作,就由Device A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
在Device B上进行PVLAN和VRRP的配置:
· 配置VLAN 30为Primary VLAN,VLAN 301~303为其对应的Secondary VLAN。
· 创建VLAN接口30,将VLAN 301~303加入VLAN 30对应的PVLAN L3域,配置VLAN接口30的IP地址为10.1.1.2/24。
· 配置GigabitEthernet1/0/1在VLAN 301~303中工作在Trunk secondary模式。
· 创建VRRP备份组1,并配置备份组1的虚拟IP地址为10.1.1.111/24。
· 配置Device B在备份组1中的优先级为100。
· 配置Device B工作在抢占方式,抢占延迟时间为5秒。
在Host A上配置缺省网关为10.1.1.111/24。
基于PVLAN组网要求端口均加入Primary VLAN的特点,二层组播可以在Primary VLAN上进行配置,实现二层组播支持PVLAN的功能。在Primary VLAN上进行的二层组播配置,会分发到与其建立映射的Secondary VLAN上,相当于一组Private VLAN均进行了同样的二层组播配置。PVLAN内的组播流量(包括数据报文和协议报文)在设备内均在Primary VLAN内进行转发,组播表项都维护在Primary VLAN中。
如图14所示,在二层组播支持PVLAN组网中,进行如下配置:
· 在Device A上配置Primary VLAN 10,VLAN 101、VLAN 102和VLAN 103为其对应的Secondary VLAN。
· 配置Device A的GigabitEthernet1/0/1在Primary VLAN 10中工作在Promiscuous工作模式;GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4加入Secondary VLAN 101,并工作在Host模式;GigabitEthernet1/0/5加入Secondary VLAN 102,并工作在Host模式;GigabitEthernet1/0/6加入Secondary VLAN 103,并工作在Host模式。
· 在Device A上配置丢弃未知组播数据。
· Device B通过GigabitEthernet1/0/1连接组播源(Source),通过GigabitEthernet1/0/2连接Device A。
· Device B上运行IGMP(Internet Group Management Protocol,互联网组管理协议)(IGMP版本为IGMPv2),Device A上运行IGMP Snooping(IGMP Snooping版本为2),并由Device B充当IGMP查询器。
· Host A、Host B和Host E为组播组224.1.1.1的固定接收者(Receiver)。
通过配置,使Host A、Host B和Host E能且只能接收发往组播组224.1.1.1的组播数据,并且当Host A、Host B和Host E发生意外而临时中断接收组播数据时,发往组播组224.1.1.1组播数据也能不间断地通过Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/6转发出去;同时,使Device A将收到的未知组播数据直接丢弃,避免在其所属的Primary VLAN 10内广播。
三层组播与PVLAN L3域一起配合使用,在Primary VLAN的VLAN接口上配置三层组播协议。配置完成后,组播流量(包括数据报文和协议报文)均上送Primary VLAN接口,三层组播表项维护在Primary VLAN接口上。
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
Device A |
Vlan-int10 |
10.110.1.1/24 |
Device D |
Vlan-int30 |
10.110.5.1/24 |
|
Vlan-int11 |
192.168.1.1/24 |
Vlan-int11 |
192.168.1.2/24 |
||
|
Vlan-int16 |
192.168.9.1/24 |
Vlan-int15 |
192.168.4.2/24 |
||
|
Device B |
Vlan-int20 |
10.110.2.1/24 |
Device E |
Vlan-int14 |
192.168.3.2/24 |
|
Vlan-int13 |
192.168.2.1/24 |
Vlan-int13 |
192.168.2.2/24 |
||
|
Device C |
Vlan-int20 |
10.110.2.2/24 |
Vlan-int15 |
192.168.4.1/24 |
|
|
Vlan-int14 |
192.168.3.1/24 |
Vlan-int16 |
192.168.9.2/24 |
在如图15所示的三层组播与PVLAN组网中,接收者通过组播方式接收视频点播信息,不同组织的接收者群体组成末梢网络,每个末梢网络中都存在至少一个接收者,整个PIM域采用SM非管理域方式。对组网进行如下配置:
· Host B和Host C为两个末梢网络中的组播信息接收者。
· Device D通过VLAN接口30与组播源(Source)所在网络连接。
· Device A通过VLAN接口10连接末梢网络N1,通过VLAN接口11和VLAN接口16分别连接Device D和Device E。在Device A上配置VLAN 10为Primary VLAN,VLAN 102和VLAN 103为其Secondary VLAN,并且Secondary VLAN 102与Secondary VLAN 103均加入Primary VLAN 10对应的PVLAN L3域。
· Device B通过VLAN接口20连接末梢网络N2,通过VLAN接口13连接Device E。在Device B上配置VLAN 20为Primary VLAN,VLAN 202和VLAN 203为其Secondary VLAN,并且Secondary VLAN 202与Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。
· Device C通过VLAN接口20连接末梢网络N2,通过VLAN接口14连接Device E。在Device C上配置VLAN 20为Primary VLAN,VLAN 202和VLAN 203为其Secondary VLAN,并且Secondary VLAN 202与Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。
· 将Device E的VLAN接口16配置为C-BSR(Candidate Bootstrap Router,候选自举路由器)和C-RP(Candidate Rendezvous Point,候选汇集点),其中C-RP所服务的组播组范围为225.1.1.0/24。
· 在所有设备上将Device D的VLAN接口11配置为静态RP(Rendezvous Point,汇集点),以对动态RP进行备份。Device A与末梢网络N1之间运行IGMPv2;Device B和Device C与末梢网络N2之间也运行IGMPv2。
支持
售前咨询
售后咨询
人工在线咨询
