《《用户隔离综述》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《用户隔离综述》PPT课件.ppt(12页珍藏版)》请在三一办公上搜索。
1、The Isolation of Users,用户隔离,VLANUPLink,802.1Q协议 UTStarcom协议,二层上VLAN信息的传送,The Isolation of Users,802.1Q VLAN,L3 Switch,L2 Switch,L2 Switch,上行口,The Isolation of Users,802.1Q VLAN(续),L3 Switch,L2 Switch,L2 Switch,上行口,The Isolation of Users,802.1Q VLAN(总结),将一个或几个端口通过打标签的方式加入各个VLAN来实现二层交换机上VLAN信息的互通。由于VL
2、AN ID 的上传,对接入汇聚交换机支持的VLAN数有要求。如果所有的应用都在二层上,该方法可以实现用户隔离。如果需要使用三层路由来实现不同网段的互连(一般指接入汇聚交换机上VE端口之间的路由),该方法会将各个VLAN间通过路由连通,不能实现用户隔离(VLAN在这里只起了抑制广播的作用。在使用了三层路由的情况下要实现不同网段用户的隔离,必须在接入汇聚交换机上针对每个端口做ACL,这样可以实现用户隔离,The Isolation of Users,UTStarcom协议,L3 Switch,L2 Switch,L2 Switch,上行口,The Isolation of Users,UTStar
3、com协议(续),L3 Switch,L2 Switch,L2 Switch,上行口,The Isolation of Users,UTStarcom协议(总结),将一个或几个端口通过不打标签的方式加入各个端口VLAN,来实现二层交换机上端口信息的互通。由于VLAN ID 不上传,可以在楼层接入交换机任意设置VLAN,而不用关心接入汇聚交换机是否支持如此多的VLAN数。如果所有的应用都在二层上,该方法可以实现用户隔离。如果需要使用三层路由来实现不同网段的互连(一般指接入汇聚交换机上VE端口之间的路由),该方法会将各个VLAN间通过路由连通,不能实现用户隔离(VLAN在这里只起了抑制广播的作用。
4、在使用了三层路由的情况下要实现不同网段用户的隔离,必须在接入汇聚交换机上针对每个端口做ACL,这样可以实现用户隔离,The Isolation of Users,UPLink,L3 Switch,L2 Switch,L2 Switch,上行口,L2交换机上,设定一个或几个口作为上行口,所有其他端口的广播只发送到该端口,通过该端口与上行交换机互通。,由于隔绝了广播,除了上行口以外,其他各端口之间不能互通。(上行不做路由的情况下),The Isolation of Users,UPLink(续),L3 Switch,L2 Switch,L2 Switch,上行口,The Isolation of
5、Users,UPLink(总结),在L2交换机上,设定一个或几个口作为上行口,所有其他端口的广播只发送到该端口,通过该端口与上行交换机互通。如果所有的应用都在二层上,该方法可以实现用户隔离。(在用户端手动设定ARP,可以实现互连)如果需要使用三层路由来实现不同网段的互连(一般指接入汇聚交换机上VE端口之间的路由),该方法会通过IP地址将用户互连,不能实现用户隔离。在使用了三层路由的情况下要实现不同网段用户的隔离,必须在接入汇聚交换机上针对每个端口做ACL,这样可以实现用户隔离,The Isolation of Users,PVID的 原 理 和 配 置在NETEDGE2024NSF中,可以使用
6、PVID(UTSTARCOM协议)来实现基于硬件的用户隔离,这样可以避免VLAN上传,下面是PVID的具体原理和配置。,Port 1 2 3PVID(Ingress:ALL)101 102 124VID(Egress:Untag)101/124 102/124 101/102/124 RX/TX(Ingress/Egress)A/U A/U A/A(2024NF),The Isolation of Users,PVID的 原 理 和 配 置(详述)在NE2024NSF设备中,PVID代表INGRESS RULE,VID代表EGRESS RULE。当端口接收到一个数据时,它会检查这个数据,如果是
7、打TAG的,端口对数据不做任何改动,如果是不打TAG的,则端口会根据自身的PVID给该数据打上一个与PVID数值一样的TAG(和802.1的TAG一样)。例如,PORT 1的PVID为101,当数据进该端口时,如果是打TAG的数据,就直接送到交换机内部,如果是UNTAG的数据,将会被打上101的TAG。数据进入交换机内部后,各个端口将会将数据的TAG和自己的VID作对比。如果数据的TAG和自己的VID相同,则转发该数据,即允许数据从该端口出,否则,丢弃此数据。如上图,PORT 1端口进的数据,如果是UNTAG,将会被打上101的TAG,因为PORT24的VID为101/102/124,因此,从PORT 1进来的数据可以从PORT 24出。同理,PORT 2进的数据也可以从PORT24出,而PORT2、3不能互通。如果端口进的是TAG数据,则直接进入交换机,只在出交换机时由各端口做比较。对于NE2024NF设备,PORT的RX/TX属性有6中情况,即:A/A;A/U;T/A;T/U;U/A;U/U(注:A代表ALL;U代表UNTAG;T代表TAG)。其中,在A/A的情况下,该端口的PVID不起作用;在A/U或U/U情况下,若进入该端口的数据是UNTAG的,则端口也会根据自身的PVID给该数据打上一个与PVID数值一样的TAG。(另注:VID 即 VLAN ID)。,
