新华三数字大赛复赛知识点 VLAN扩展技术:Super VLAN,lsolate-user-VLAN

最新推荐文章于 2024-03-30 20:16:45 发布
最新推荐文章于 2024-03-30 20:16:45 发布
阅读量1.3k 收藏 25
点赞数 26
分类专栏: 网络安全 H3C网络技术 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61074128/article/details/134753552
版权

Super VLAN

lsolated-user-VLAN

  1. Super VLAN技术
    传统的网络给每个VLAN被分配一个IP子网,就有三个IP地址被占用,分别作为子网的网络号、广播地址和缺省网关。如果一些用户的子网中又大量未分配的IP地址,也无法给其他用户使用,因此这种方法会造成IP地址的浪费。Super VLAN有效的解决了这个问题,把多个VLAN(称为子VLAN)聚合成一个SuperVLAN,这些子VLAN使用一个IP子网和缺省网关。
    通过引入Super-VLAN和Sub-VLAN的概念,使得每个Sub-VLAN对应一个广播域,并让多个Sub-VLAN和一个Super-VLAV关联,只给Super-VLAN分配一个IP子网所有Sub-VLAN都使用Super-vlan的IP子网和缺省网管进行三层通信。
    这样,多个Sub-VLAN共享一个网关地址,节约了子网号,子网定向广播,子网缺省的网关地址,且各区域间的主机需求数目也可以在Super-VLAN对应子网内灵活的划分,从而保证各个区域作为一个独立广播实现广播隔离,又节省了IP地址资源,提高编址灵活性。
    在这里插入图片描述

    在这里插入图片描述
    Sub-VLAN之间的通信:
    在Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发。不同Sub-VLAN的主机在二层是互相隔离的,这就造成了Sub-VLAN间无法通信的问题。所有要使用Proxy ARP进行解决。
    在该区域的vlanif接口上启用ProxyARP。
    分别在Switch的Super VLAN2、3上配置proxyARP,就可以实现部门间的互通。
    ARP是地址解析协议,是用来将IP地址解析为MAC地址的协议,主机或三层网络设备上会维护一张ARP表,用于存储IP地址和MAC地址的映射关系,一般ARP表项包括动态ARP表项和静态ARP表项。
    为什么需要ARP:
    在局域网中,当主机或其他三层网络设备有数据要发送给另一台主机或三层网络设备事,需要知道对方的网络层地址(IP地址)。但是仅有IP地址是不够的,因为报文必须封装成帧才能通过物理网络发送,以你发送方还需要知道接收方的物理地址(MAC地址),这就需要一个能够通过IP地址获取物理地址的协议,以完成从IP地址到MAC地址的映射。即ARP协议。
    ARP类型:动态ARP(动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,也可以被静态ARP表项覆盖,动态ARP适用于拓扑结构复杂,通信实时性要求高的网络),静态ARP(静态ARP表表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。不会被老化,不会被动态ARP表项覆盖)。
    正常情况下网络中的设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。但是当网络中存在ARP攻击时,设备中动态ARP表项可能呢干会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。
    静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。可以限制北段设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备ARP表中的IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备之间的正常通信。一般在网关设备上配置静态ARP表项。
    proxy ARP:
    如果ARP请求是从一个网络的主机发往同意网段但不在同一物理网络上的另一台主机。 那么连接这两个网络的设备可以回答该ARP请求,这个过程就叫做ARP代理(Proxy ARP)。
    特点:
    Proxy ARP部署在网关上,网络中的主机不必做任何改动
    Proxy ARP可以隐藏物理网络细节,使两个物理网络可以使用同一个网络号
    只影响主机的ARP表,对网关的ARP表和路由表没有影响

lsolate-user-VLAN
为解决vlan资源紧缺的问题,losolate-user-vlan产生。
Isolate-user-vlan采用分层结构:上行的Isolate-user-vlan和下行的Secondary VLAN。对上行设备来说只需识别Isolate-user-vlan,而不必关心Isolate-user-vlan中的Secondary VLAN,从而节省了上行设备的VLAN资源。同时,将接入用户划入不同的Secondary VLAN,可以实现用户之间二层报文的隔离。
IIsolate-user-vlan主要应用在在园区网或企业网接入中,实现二层报文隔离的同时节省VLAN资源。
Isolate-user-vlan技术原理
Isolate-user-vlan技术是如何屏蔽Secondary VLAN信息、节省VLAN资源的呢?实现这个功能,要求:
来自不同Secondary VLAN的报文,能够通过上行端口发送给上行设备,而且不能携带Secondary VLAN信息。
来自Isolate-user-vlan的报文,能够通过下行端口发送给用户,而且不能携带Isolate-user-vlan信息。
我们知道,Isolate-user-vlan和Secondary VLAN采用不同的VLAN编号,各自包含了不同的端口,通常不同VLAN之间的报文是二层互相隔离的,要达到以上要求,需要两方面的配合:
创建VLAN:VLAN ID等于Isolate-user-vlan的VLAN ID。
配置入端口参数:将端口类型设置为Hybrid,将端口缺省VLAN值设置为Isolate-user-vlan ID,配置端口允许缺省VLAN的报文以untagged方式通过。
对于Secondary VLAN之间的互通,需要在上行设备上配置本地ARP代理,会较大地增加三层设备的负担。

吃土少女古拉拉
关注
专栏目录
2023 华为 Datacom-HCIE 真题题库 12/12(完结)--含解析
mxl00z的博客
06-01 2709
2023 华为 Datacom-HCIE 真题题库 12--含解析
2023 华为 Datacom-HCIE 真题题库 03/12--含解析
mxl00z的博客
05-21 5507
Datacom-HCIE 03(10月26日更新)--含解析
H3C基于ISOlate-user-VLAN解析
weixin_34253539的博客
11-17 258
最近看到一个H3C的一种接口模式,hybrid模式,这个模式可以等于access或trunk 因为有标记或不标记之分,所以可以区分是哪种接口模式, 而且对于应用也很方便,可以阻止同一子网的不同IP间的通信,就省去做ACL的不便之处, vlan数据在传输时会打上本vlan的标记,而且这个标记别的vlan是无权管理,access只会剥离和自己同vlan标记,然后对数据进行交...
H3C交换系列之isolate-user-vlan
weixin_33709609的博客
02-15 2344
一、Isolate-user-vlan的出现原因 随着以太网技术的快速发展,很多运营商采用LAN接入小区宽带。基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户相互隔离。VLAN是天然的隔离手段,但是根据 IEEE 802.1Q 协议规定,设备最大可使用的VLAN资源为4096个。对于运营商的设备来说,如果每个用户一个VLAN,4094个VLAN(0-4095,实际...
华三 h3c super vlan配置
m0_49686750的博客
12-13 5295
Super vlan配置 想在此基础上、SWB上面配置静态路由,实现PC和SWB的互通 [SWA]vlan 2 [SWA-vlan2]port g1/0/1 [SWA]vlan 3 [SWA-vlan3]port g1/0/2 [SWA]vlan 10 [SWA-vlan10]supervlan----------super vlan [SWA-vlan10]subvlan 2 3---------sub vlan [SWA]int vlan 10 [SWA-Vlan-interf.
深入剖析Isolate-user-VLAN工作原理
weixin_34194087的博客
11-16 501
    自从发布了将于明年3月份出版的<Cisco/H3C交换机高级配置与管理技术手册>目录后,许多读者朋友就迫不及待地希望我发布一些读内容。为此,从本篇开始,以后将不定期发布一些读内容,以帮助大家对本书内容的基本了解。     本篇介绍的是华为/H3C交换机隔离用户VLAN工作原理的剖析,这也是许多读者朋友一直弄不明白的。通过本文的介绍,相信你对这类特殊的VLAN工作原理有一个...
华三super vlan配置(简单 适合初学者)
最新发布
k50720601的博客
03-30 837
提醒:由于模拟器不支持super vlan,即使理论上配置都对,PC、SWB之间依然是ping不通的,并且PC ping自己的网关都不通。为了验证super vlan配置是否正确,可以使用display supervlan这条命令查看映射关系。如果是实机,之后在SWA配置静态路由,即可实现PC和不同网段的互通。
Isolate-user-vlan技术白皮书
weixin_30716141的博客
10-20 934
http://www.h3c.com.cn/Products___Technology/Technology/LAN/Other_technology/Technology_book/200804/603079_30003_0.htm Isolate-user-vlan技术白皮书 关键词:Isolate-user-vlan,Secondary VLAN 摘要:Isolate-...
H3C交换系列之Super VLAN
weixin_33888907的博客
02-15 667
一、Super VLAN 的产生背景 Isolate-user-vlan成功地解决了降低VLAN数量的问题,同时在一定程度上也实现了三层网关的共享。但它也存在MAC地址复制而消耗MAC地址表项的问题,并且该技术本身属于一个二层VLAN技术。 在一般的三层交换机中,通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通,这在某些情况下导致了对IP地址的较大浪费。...
H3CIE-RS+笔.docx
01-08
知识点VLAN配置、Secondary VLAN、lsolate-user-lan 2. STP协议:SWA和SWC启用STP,SWC为根,SWB没有启用STP。在初始时链路2没有连接,PCB可以将数据发到PCA,如果此时链路1故障,维护人员将链路2连接,则关于PCB...
构建H3C高性能园区网:Isolate-user-vlan技术配置示例.pptx
05-13
任务2 Isolate-user-vlan技术配置示例 0 1 【知识目标】 熟悉Isolate-user-vlan的基本原理 【能力目标】 能学会Isolate-user-vlan的配置 【思政目标】 培养学生的工匠精神,提高综合职业素养,树立社会主义职业精神。 课程目标 Isolate-user-vlan技术配置命令 设置VLAN的类型为Isolate-user-vlan 建立Isolate-user-vlan和Secondary VLAN间的映射关系 [Switch-vlan10] isolate-user-vlan enable [Switch] isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ] Isolate-user-vlan技术配置示例 VLAN3 VLAN2 PCA PCB G1/0/2 G1/0/1 G1/0/3 G1/0/3 SWA SWB VLAN20 VLAN10 [SWA]vlan 2 [SWA-vlan2]port Gigab
构建H3C高性能园区网:Isolate-user-vlan技术介绍.pptx
05-13
任务1 Isolate-user-vlan技术介绍 0 1 【知识目标】 熟悉Isolate-user-vlan的基本原理 【能力目标】 能学会Isolate-user-vlan的配置 【思政目标】 培养学生的工匠精神,提高综合职业素养,树立社会主义职业精神。 课程目标 运营商 Isolate-user-vlan技术产生背景 Internet 业务管理平台 网络管理平台 核心层 汇聚层 接入层 小区 小区 小区 写字楼 VLAN4 VLAN3 VLAN10 VLAN2 Isolate-user-vlan技术功能 SWA SWB 二层交换机 三层交换机 VLAN10 Isolate-user-vlan技术基本原理 Hybrid端口技术的应用 所有端口都为Hybrid 上行端口允许所有VLAN通过 下行端口允许Isolate-user-vlan和自己的Secondary VLAN MAC地址同步技术 各Secondary VLAN学习的MAC地址同步到Isolate-user-vlan Isolate-user-vlan学习的MAC地址同步到各Secondary VLAN VLAN2 VL
构建H3C高性能园区网:Super VLAN技术配置示例.pptx
05-13
任务4 Super VLAN技术配置示例 0 1 【知识目标】 熟悉Super VLAN的基本原理 【能力目标】 能学会Super VLAN的配置 【思政目标】 培养学生的工匠精神,提高综合职业素养,树立社会主义职业精神。 课程目标 Super VLAN技术配置命令 设置当前VLAN的类型为Super VLAN 建立Super VLAN和Sub VLAN的映射关系 开启本地代理ARP功能 [Switch-vlan10] supervlan [Switch-vlan10] subvlan vlan-list [Switch-Vlan-interface10] local-proxy-arp enable Super VLAN技术配置示例 Sub VLAN3 Sub VLAN2 PCA PCB G1/0/2 G1/0/1 G1/0/3 G1/0/3 SWA SWB Super VLAN10 [SWA]vlan 2 [SWA-vlan2]port GigabitEthernet 1/0/1 [SWA]vlan 3 [SWA-vlan3]port GigabitEthernet 1/0/2 [
supervlan配置案例
06-19
supervlan配置案例
【HCIE备考】笔题库P11-19
逗老师的博客
08-16 2023
目录PART 11PART 12PART 13PART 14PART 15PART 16PART 17PART 18PART 19 PART 11 一、单选题 (本大题共29个小题,总29分) 1/[单选题](1分) 以下关于数字证书说法错误的是哪项? A 数字签名保障数字证书的完整性。 B 数字证书包含公钥信息。 C 当收到的对等体证书在有效期内,但设备自身时间错误且不在证书有效期内,认证失败。 D 两个 PRI 实体即使不在同一 CA 系统中,只要双方能够识别对方 CA,也可以完成身份验证。 正确答案:
isolate-user-vlan隔离用户vlan的配置
weixin_34413103的博客
09-12 262
lab1 根据项目需求搭建好拓扑图: 首先,配置sw2,在E0/4/0接口上创建vlan20,并将该vlan接口配置成带有ip地址的类以太接口 其次,在E0/4/1接口上加入vlan2,同理,E0/4/2加入vlan3; 结合vlan的组网考虑,对上行端口和不同vlan自间做出优化,利用隔离...
Isolate-user vlan使用说明
weixin_33851177的博客
09-23 545
1 ISOLATE-USER-VLAN的引入 在实际应用中有这样一个需求,组网图如下 图 1 SOLATE-USER-VLAN 组网图 SwitchA 下面级联了 SwitchB 和 SwithC ,要求 SwitchB 、 SwitchC 下的各个端口互相隔离,即给每个端口划分一个 VLAN ,与此同时,由于上层设备 SwitchA 的 VLAN 数有限,不允许下...
H3C supervlan 优化调教经过
weixin_33845477的博客
05-14 178
10年磨一剑,回赠互联网,生不带来,死不带走。我们不生产技术,只是互联网额搬运工。 -----------佛山 小西2012年 supervlan 引人我司网络,但一直无好好...
isolate-user-vlan的配置
weixin_34270606的博客
12-14 695
项目一 简介: isolate-user-vlan是华为公司系列以太网交换机的一个特性,通过该特性可实 现网络VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构,在一台 以太网交换机上设置 isolate-user-vlan和 Secondary VLAN两类 VLAN。一个 isolate-user-vlan和多...
Super Vlan
weixin_34220179的博客
03-24 233
1.开启所有设备并连接。2.在DeviceA里配置步骤。3.查看Super VLAN的相关信息,验证以上配置是否生效。 转载于:https://blog.51cto.com/14223406/2368344
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值