设置:
我们是一个拥有约 1700 个单元的公寓大楼。每个公寓都配有互联网,每个公寓都配有以太网插头。网络有 60 个 HP 2910al-48G 交换机连接到中央 HP 5412 核心交换机。
租户可以将他们的 PC 直接插入网络,也可以购买自己的家庭网关并将其插入。租户还可以选择使用转储 L2 交换机连接多台 PC。一些租户拥有内置 2 端口交换机的 SIP 电话。
问题:
我们希望在公寓之间提供具有 L2 分离的 IPv4 和 IPv6。我们希望避免在多个公寓之间共享 VLAN。我们希望避免公寓之间的广播聊天。例如,Windows PC 不应自动发现邻居的任何设备。
由于 IPv4 耗尽问题,我们无法为每个公寓分配完整的 IPv4 子网。我们不想部署 NAT。
我们希望为每个公寓分配一个唯一的 /64 IPv6 子网。此外,我们希望通过 DHCPv6 前缀委派为提出此类请求的家庭网关提供 /60 子网。
如何配置 DHCP/DHCPv6 服务器超出了本问题的范围。本问题仅涉及如何配置交换机。但假设 DHCP 服务器可以运行脚本作为地址分配和其他事件的触发器。
有人建议我们为每个公寓配置一个唯一的 VLAN。然后在每个 VLAN 上部署静态 IPv6 /64 子网。应该由 5412 还是 2910 进行路由?交换机如何了解 DHCPv6-PD 分配的 /60 路由?
假设 RIPE 分配了一个 /21(2048 个地址)IPv4 子网。问题是在所有 1700 个 VLAN 中分配单个地址。
有人建议我们使用代理arp选项。这将允许我们使用整个/21,使用主机路由将流量发送到正确的端口。代理arp解决了一个租户向另一个租户发送数据包的情况。
交换机如何了解主机路由?DHCP 服务器为端口上的设备分配地址,因此交换机需要配置路由。
答案1
在第 2 层,您需要的是公寓之间的网络隔离 - 实际上,交换机上的每个端口都应该能够与上游路由器通信,但不能直接与任何其他端口通信。这正是私有 VLAN是专为此目的而设计的。(警告:此链接是 Cisco 定制的内容,但一般概念适用于 ProCurve 设备)实际上,您将每个访问端口放在一个 VLAN 中,并将其标记为隔离的专用 VLAN。然后将上游端口标记为主/混杂端口,这样您就确定了在第 2 层要查找的内容。
但是,当您向上移动堆栈时,情况会变得更加复杂。听起来您正在考虑使用接入交换机作为充当默认路由器的第 4 层设备。我不太熟悉这些设备的 L3/L4 功能,无法说明这将如何工作,更具体地说,让接入交换机充当路由器将如何与上面的 PVLAN 实现交互。为了简单起见,使用 5412 作为 L4 路由器可能会更简单,而将 2910 保留为纯 L2 设备。