VLAN聚合

学习新思想，争做新青年。今天学习的是VLAN聚合

 

定义

VLAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关。

 

目的

在一般的路由器中，通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。

例如，如图1所示的VLAN规划中，VLAN2预计未来有10个主机地址的需求，但按编址方式，至少需要给其分配一个掩码长度是28的子网10.1.1.0/28，其中10.1.1.0为子网号，10.1.1.15为子网定向广播地址，10.1.1.1为子网缺省网关地址，这三个地址都不能用作主机地址，剩下范围在10.1.1.2～10.1.1.14的地址可以被主机使用，共13个。

VLAN2子网实际地址需求只有10个，剩余的3个也不能再被其他VLAN使用。网络中的VLAN越多，浪费的IP地址也就越多。

图1 普通VLAN网络示意图

 

为了解决上述问题，VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

这样，多个Sub-VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，从而即保证了各个Sub-VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。

 

案例配置一

组网需求

某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中，如图所示，VLAN2和VLAN3属于不同部门。各部门均有访问Internet需求，同时由于业务需要，不同部门间的用户需要互通。

 

配置思路

1. 在SW1、SW2上配置VLAN和接口，将不同部门用户划分到不同VLAN中，并透传各VLAN到SW1。
2. 在SW1上配置Super-VLAN及其对应的VLANIF接口、上行路由，使不同部门的用户能够访问Internet。
3. 在SW1上启用Super-VLAN的Proxy ARP功能，使不同部门的用户间三层互通。

SW1配置

#
sysname SW1
#
vlan batch 2 to 4 10
#
vlan 4
aggregate-vlan  //设置vlan4为主vlan
access-vlan 2 to 3  //在聚合中加入子vlan2、3
#
interface Vlanif4
ip address 10.1.1.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable   //开启代理ARP功能
#
interface Vlanif10
ip address 10.10.10.1 255.255.255.0
#
interface g0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface g0/0/2
port link-type trunk

port trunk allow-pass vlan 2 to 3
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
#
return

 

SW2配置

#
sysname SW2
#
vlan batch 2 to 3
#
interface g0/0/2
port link-type access
port default vlan 2
#
interface g0/0/3
 port link-type access
 port default vlan 3
#
interface g0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return

 

R1配置

#

sysname R1

#

vlan 10

#

interface e0/0/0

portswitch

port link-type trunk

port trunk allow-pass vlan 10

#

interface Vlanif10

ip address 10.10.10.2 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 10.10.10.1

 

配置完成后，PC1可以Ping通PC2

 

案例配置2

 

组网需求

某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中，如图所示，VLAN3001和VLAN3002属于不同部门。各部门均有访问Internet需求，同时由于业务需要，不同部门间的用户需要互通。

 

配置思路

1. 在SW2、SW3上配置VLAN和接口，将不同部门用户划分到不同VLAN中，并透传各VLAN到SW1。
2. 在SW1上配置Super-VLAN及其对应的VLANIF接口、上行路由，使不同部门的用户能够访问Internet。
3. 在SW1上启用Super-VLAN的Proxy ARP功能，使不同部门的用户间三层互通。

SW1配置

#

sysname SW1

#

vlan batch 10 3001 3002

#

vlan 10

aggregate-vlan

access-vlan 3001 to 3002

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 3001 3002

#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 3001 3002

#

int vlanif 10

ip address 192.168.10.254 24

arp-proxy inter-sub-vlan-proxy enable

SW2配置

#

sysname SW2

#

vlan batch 3001 3002

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 3001

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 3001

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 3001 3002

SW3配置

#

sysname SW3

#

vlan batch 3001 3002

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 3002

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 3002

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 3001 3002

 

配置完成后，各部门PC可以互通