VLAN 聚合——Super VLAN

最新推荐文章于 2024-03-19 14:54:00 发布

小柒憨憨吖~

最新推荐文章于 2024-03-19 14:54:00 发布

阅读量3.8k

点赞数 1

分类专栏：路由与交换

本文链接：https://blog.csdn.net/qq_42248536/article/details/101076770

版权

路由与交换专栏收录该内容

68 篇文章 99 订阅

订阅专栏

一、VLAN聚合-介绍

1、LAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关。

2、交换网络中，VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的路由器中，通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。

通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

这样，多个Sub-VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，从而即保证了各个Sub-VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。

3、VLAN 聚合原理简述：

VLAN聚合通过定义Super-VLAN和Sub-VLAN，使Sub-VLAN只包含物理接口，负责保留各自独立的广播域；Super-VLAN不包含物理接口，只用来建立三层VLANIF接口。然后再通过建立Super-VLAN和Sub-VLAN间的映射关系，把三层VLANIF接口和物理接口两部分有机的结合起来，实现所有Sub-VLAN共用一个网关与外部网络通信，并用ARP Proxy实现Sub-VLAN间的三层通信，从而在实现普通VLAN的隔离广播域的同时，达到节省IP地址的目的。

Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同的是，它的VLANIF接口的Up不依赖于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

一个Super-VLAN可以包含一个或多个Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

4、Sub-VLAN之间的通信：

VLAN聚合在实现不同VLAN共用同一子网网段地址的同时，也给Sub-VLAN间的三层转发带来了问题。普通VLAN中，不同VLAN内的主机可以通过各自不同的网关进行三层互通。但是Super-VLAN中，所有Sub-VLAN内的主机使用的是同一个网段的地址，共用同一个网关地址，主机只会做二层转发，而不会送网关进行三层转发。即实际上，不同Sub-VLAN的主机在二层是相互隔离的，这就造成了Sub-VLAN间无法通信的问题。

解决这一问题的方法就是使用Proxy ARP。

Proxy ARP实现不同Sub-VLAN间的三层通信组网图

（1）Proxy ARP实现不同Sub-VLAN间的三层通信：

Host_1与Host_2的通信过程如下（假设Host_1的ARP表中无Host_2的对应表项）：

Host_1将Host_2的IP地址（10.1.1.12）和自己所在网段10.1.1.0/24进行比较，发现Host_2和自己在同一个子网，但是Host_1的ARP表中无Host_2的对应表项。
Host_1发送ARP广播报文，请求Host_2的MAC地址，目的IP为10.1.1.12。
网关Router收到Host_1的ARP请求，由于网关上使能Sub-VLAN间的Proxy ARP，开始使用报文中的目的IP地址在路由表中查找，发现匹配了一条路由，下一跳为直连网段（VLANIF10的10.1.1.0/24），VLANIF10对应Super-VLAN10，则向Super-VLAN10的所有Sub-VLAN接口发送一个ARP广播，请求Host_2的MAC地址。
Host_2收到网关发送的ARP广播后，对此请求进行ARP应答。
网关收到Host_2的应答后，就把自己的MAC地址回应给Host_1。
Host_1之后要发给Host_2的报文都先发送给网关，由网关做三层转发。

（2）Sub-VLAN与其他网络的三层通信：

假设Sub-VLAN2下的主机Host_1想访问与Router_2相连的Server，报文转发流程如下（假设Router_1上已配置了去往10.1.2.0/24网段的路由，Router_2上已配置了去往10.1.1.0/24网段的路由，但两设备没有任何三层转发表项）：

Host_1将Server的IP地址（10.1.2.2）和自己所在网段10.1.1.0/24进行比较，发现和自己不在同一个子网，发送ARP请求给自己的网关，请求网关的MAC地址，目的MAC为全F，目的IP为10.1.1.1。
Router_1收到该请求报文后，查找Sub-VLAN和Super-VLAN的对应关系，知道应该回应Super-VLAN4对应的VLANIF4的MAC地址，并知道从Sub-VLAN2的接口回应给Host_1。
Host_1学习到网关的MAC地址后，开始发送目的MAC为Super-VLAN4对应的VLANIF4的MAC地址、目的IP为10.1.2.2的报文。
Router_1收到该报文后，根据Sub-VLAN和Super-VLAN的对应关系以及目的MAC判断进行三层转发，查三层转发表项没有找到匹配项，上送CPU查找路由表，得到下一跳地址为10.1.10.2，出接口为VLANIF10，并通过ARP表项和MAC表项确定出接口，把报文发送给Router_2。
Router_2根据正常的三层转发流程把报文发送给Server。

Server收到Host_1的报文后给Host_1回应，回应报文的目的IP为10.1.1.2，目的MAC为Router_2上VLANIF20接口的MAC地址，回应报文的转发流程如下：

Server给Host_1的回应报文按照正常的三层转发流程到达Router_1。到达Router_1时，报文的目的MAC地址为Router_1上VLANIF10接口的MAC地址。
Router_1收到该报文后根据目的MAC地址判断进行三层转发，查三层转发表项没有找到匹配项，上送CPU，CPU查路由表，发现目的IP为10.1.1.2对应的出接口为VLANIF4，查找Sub-VLAN和Super-VLAN的对应关系，并通过ARP表项和MAC表项，知道报文应该从Sub-VLAN2的接口发送给Host_1。
回应报文到达Host_1。

（3）Sub-VLAN与其他设备的二层通信：

从Host_1进入Router_1的报文会被打上VLAN2的Tag。在Router_1中这个Tag不会因为VLAN2是VLAN4的Sub-VLAN而变为VLAN4的Tag。该报文从Router_1的Trunk接口IF_3出去时，依然是携带VLAN2的Tag。

也就是说，Router_1本身不会发出VLAN4的报文。就算其他设备有VLAN4的报文发送到该设备上，这些报文也会因为Router_1上没有VLAN4对应的物理接口而被丢弃。因为Router_1的IF_3接口上根本就不允许Super-VLAN4通过。对于其他设备而言，有效的VLAN只有Sub-VLAN2和Sub-VLAN3，所有的报文都是在这些VLAN中交互的。

5、配置注意事项：

在路由器上部署VLAN聚合特性时，需要注意：

VLAN1不能配置为Super-VLAN。
配置某VLAN为Super-VLAN后，该VLAN类型改变为super，不允许任何物理接口加入该VLAN。
流策略只有在Super-vlan的所有Sub-vlan下配置才能生效，在Super-vlan下配置不生效。
配置某个VLAN为子接口的终结VLAN后，该VLAN不能再配置为Super-VLAN或Sub-VLAN。
Super-VLAN对应的VLANIF接口配置IP地址后Proxy ARP才能生效。

6、流策略在Super-VLAN下还是在Sub-VLAN下配置才能生效

VLAN聚合中，设备收发报文携带的VLAN Tag不是Super-VLAN，而是Sub-VLAN，因此，流策略只有在Super-VLAN的所有Sub-VLAN下配置才能生效，在Super-VLAN下配置不生效。

7、相关配置命令：

*** aggregate-vlan ——创建Super-VLAN。

注意：（1）Super-VLAN中不能包含任何物理接口。

（2）VLAN 1不能配置为Super-VLAN。

*** access-vlan ——将Sub-VLAN加入Super-VLAN。将Sub-VLAN加入到Super-VLAN中时，必须保证Sub-VLAN没有创建对应的VLANIF接口。

*** interface vlanif ——创建Super-VLAN对应的VLANIF接口，并进入VLANIF接口视图。 Super-VLAN对应的VLANIF接口的IP地址应包含各Sub-VLAN用户所在的子网段，所有Sub-VLAN共用Super-VLAN的VLANIF接口IP地址。

*** arp-proxy inter-sub-vlan-proxy enable ——使能Sub-VLAN间的Proxy ARP功能。

注意：Super-VLAN对应的VLANIF接口上开启Proxy ARP功能后，该Super-VLAN下所有Sub-VLAN之间均可互相访问。

VLAN聚合在实现不同Sub-VLAN间共用一个子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。

普通VLAN实现方式中，VLAN间的主机可以通过各自不同的网关进行三层转发达到互通的目的。但是VLAN聚合方式下，同一个Super-VLAN内的主机使用的是同一个网段的地址和共用同一个网关地址。即使是属于不同的Sub-VLAN的主机，由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。而实际上不同的Sub-VLAN的主机在二层是相互隔离的，这就造成了Sub-VLAN间无法通信。

为了实现Sub-VLAN间相互通信及Sub-VLAN与其他网络的互通，需要利用Proxy ARP功能。在创建好Super-VLAN和对应的VLANIF接口后，用户需要开启设备的Proxy ARP功能，Super-VLAN利用Proxy ARP功能可以进行ARP请求和响应报文的转发与处理，从而实现Sub-VLAN之间的三层互通。

*** display interface vlanif ——查看VLANIF接口信息。

*** display sub-vlan ——查看Sub-VLAN类型的VLAN表项信息。

*** display super-vlan ——查看Super-VLAN类型的VLAN表项信息。

二、配置演示：

实验要求：将VALN100制定为Super-VLAN，在贺信交换机上配置其VLANIF作为PC的默认网关；
将VLAN 11 及VLAN 12 指定为VLAN100的Sub-VLAN。

配置文件：

                         ******S1******
[S1]dis current-configuration 
#
sysname S1
#
undo info-center enable
#
vlan batch 11 to 12 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
vlan 100
 aggregate-vlan
 access-vlan 11 to 12
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif100
 ip address 192.168.8.254 255.255.255.0
 arp-proxy inter-sub-vlan-proxy enable
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 11
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 12
#
。。。。。。

                              *****S2****

[S2]dis current-configuration 
#
sysname S2
#
undo info-center enable
#
vlan batch 11
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 11
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 11
#
interface Ethernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 11
#
interface Ethernet0/0/4
#
。。。。。。。

                                  ******S3*****
[S3]dis current-configuration 
#
sysname S3
#
undo info-center enable
#
vlan batch 12
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 12
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 12
#
interface Ethernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 12
#
interface Ethernet0/0/4
。。。。。。

小柒憨憨吖~

关注

1
点赞
踩
16

收藏

觉得还不错? 一键收藏
打赏
0
评论
VLAN 聚合——Super VLAN

一、VLAN聚合-介绍1、LAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关。2、交换网络中，VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的路由...
复制链接

扫一扫