提示:
1).如果ARP请求是从一个网络的主机发往同一网段但不在同一物理网络上的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理(Proxy ARP)。
2)Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP和VLAN间Proxy ARP
Proxy ARP有以下特点:
- Proxy ARP部署在网关上,网络中的主机不必做任何改动。
- Proxy ARP可以隐藏物理网络细节,使两个物理网络可以使用同一个网络号。
- Proxy ARP只影响主机的ARP表,对网关的ARP表和路由表没有影响。
1.1 路由式Proxy ARP
路由式Proxy ARP就是使那些在同一网段却不在同一物理网络上的网络设备能够相互通信的一种功能。
- 在实际应用中,如果连接设备的主机上没有配置缺省网关地址(即不知道如何到达本网络的中介系统),此时将无法进行数据转发。
- 如图所示,PC1的IP地址为1.1.1.1/16,PC2的IP地址为1.1.2.2/16,PC1与PC2处于同一网段。S1通过VLAN2和VLAN3连接两个网络,VLANIF2和VLANIF3的IP地址不在同一个网段
- 当PC1需要与PC2通信时,由于目的IP地址与本机的IP地址为同一网段,因此PC1以广播形式发送ARP请求报文,请求PC2的MAC地址。但是,由于两台主机处于不同的物理网络(不同广播域)中,PC2无法收到PC1的ARP请求报文,因此也就无法应答。
- 通过在S1上启用路由式Proxy ARP功能,可以解决此问题。启用路由式Proxy ARP后,S1收到ARP请求报文后,S1会查找路由表。由于PC2与S1直连,因此S1上存在到PC2的路由表项。S1使用自己的MAC地址给PC1发送ARP应答报文。PC1将以S1的MAC地址进行数据转发。此时,S1相当于PC2的代理。PC1上的ARP表项中到目的地址PC2的IP地址对应的MAC地址为S1的VLANIF2接口的MAC地址。
1.2 VLAN内ARP代理
如果两个用户属于相同的VLAN,但VLAN内配置了端口隔离。此时用户间需要三层互通,可以在关联了VLAN的接口上启动VLAN内Proxy ARP功能。
- PC1和PC2是S1设备下的两个用户。连接PC1和PC2的两个接口在S1属于同一个VLAN2。
- 在S1的两个接口上配置端口隔离: port-isolate enable group 1
- 在S1上启用三层接口int vlanif 2,配置IP地址,并启用VLAN内ARP代理:arp-proxy inner-sub-vlan-proxy enable
- 由于在S1上配置了VLAN内不同接口彼此隔离,因此PC1和PC2不能直接在二层互通。
- 若S1的接口使能了VLAN内Proxy ARP功能,可以使PC1和PC2实现三层互通。S1的接口在接收到目的地址不是自己的ARP请求报文后,S1并不立即丢弃该报文,而是查找该接口的ARP表项。如果存在PC2的ARP表项,则将自己的MAC地址发送给PC1,并将PC1发送给PC2的报文代为转发。实际上此时S1相当于PC2的代理。
1.3 VLAN间ARP代理
如果两台主机处于相同网段但属于不同的VLAN,用户间要进行三层互通,可以在关联了这些VLAN的接口(例如VLANIF接口或者子接口)上使能VLAN间Proxy ARP功能。
- 由于PC1和PC2属于不同的Sub-VLAN,PC1和PC2不能直接实现二层互通。
- 如果S1上使能了VLAN间Proxy ARP功能,可以使PC1和PC2实现三层互通。S1的接口在接收到目的地址不是自己的ARP请求报文后,并不立即丢弃该报文,而是查找ARP表项(包括动态学习的ARP表项和静态配置的ARP表项)。如果存在PC2的ARP表项,则将自己的MAC地址发送给PC1,并将PC1发送给PC2的报文代为转发。实际上此时S1相当于PC2的代理。
1. 在SW1、SW2、SW3和SW4上创建VLAN12、13、24、112、103、212、312、334、305、401和402
根据需求配置相应VLAN,并使用display vlan summary命令查看VLAN的概要信息。
以SW1为例:
vlan batch 12 to 13 24 103 to 104 112 212 305 312 334 401 to 40
2. 将SW1的G0/0/1和G0/0/2划入VLAN112,将G0/0/3划入VLAN103
完成该需求之后,我们通过命令display vlan查看VLAN对应接口信息
interface GigabitEthernet0/0/1
port link-type access
port default vlan 112
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 112
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 103
3. 将SW2的G0/0/1和G0/0/2划入VLAN212
完成该需求后,我们通过命令display vlan来查看基于端口划分VLAN的信息。
4. 将SW3的G0/0/1和SW3的G0/0/2划入VLAN312,将SW3的G0/0/3和G0/0/4划入VLAN334,将SW3的G0/0/5划入VLAN305
完成该需求之后,我们通过命令display vlan查看基于端口划分VLAN的信息
5. 在SW4上,将MAC地址为5489-98CF-447F、IP地址为4.1.1.1的PC41划入VLAN401,MAC地址为5489-98CF-G17D、IP地址为4.2.2.2划入VLAN402
完成该需求后,我们通过命令display policy-vlan all来查看SW4上划分的VLAN信息(此处的MAC地址是PC41和PC42的mac地址)
interface GigabitEthernet0/0/1
port hybrid pvid vlan 401
port hybrid untagged vlan 401
#
interface GigabitEthernet0/0/2
port hybrid pvid vlan 402
port hybrid untagged vlan 402vlan 401
policy-vlan mac-address 5489-9897-08e5 ip 4.1.1.1
vlan 402
policy-vlan mac-address 5489-98a4-2f56 ip 4.2.2.2
在实现需求的过程中,注意VLAN划分主要分为基于端口、基于MAC地址、基于IP地址、基于协议和基于策略。通过需求描述推断出根据哪种方法来划分VLAN。另外在划分VLAN时,需要特别注意端口属性。
此处也可以考虑通过以下命令对结果进行验证:
6. 在SW1上,通过合适的技术实现VLAN112和VLAN103之间的二层隔离、三层转发功能。另外可以在交换机上创建VLAN104,IP地址为1.0.0.254/24
提示:使用supervlan
二层隔离的VLAN之间经过三层接口互通需要启用VLAN间的
Proxy ARP。
完成该需求后,我们通过命令display sub-vlan/ display super-vlan查看
vlan 104
aggregate-vlan
access-vlan 103 112interface Vlanif104
ip address 1.0.0.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
将接口放到vlan中
7. 在SW2上实现VLAN212内PC21和PC22二层隔离三层互通。另外可以在交换机上创建VLAN212,IP地址为2.0.0.254/24
提示:使用port-isolate
二层隔离端口之间经过三层接口互通需要启用VLAN内的Proxy ARP。
完成该需求后,我们通过命令display port-isolate来查看验证是否配置成功(根据需求,我们可以推断出该需求要求我们配置vlan间隔断。需求完成后,我们需要验证PC21、PC22是否能够互通)
进接口:
port-isolate enable
interface GigabitEthernet0/0/1
port link-type access
port default vlan 212
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 212
port-isolate enable group 1interface Vlanif212
ip address 2.0.0.254 255.255.255.0
arp-proxy inner-sub-vlan-proxy enable
8. 在SW3上实现VLAN312、VLAN334均可以和VLAN305通信,但是VLAN312和VLAN334之间不能通信,VLAN312内的PC31和PC32可以互通,另外VLAN334内PC33和PC34不能互访
使用mux-vlan(组vlan互通、隔离vlan不通、组和隔离vlan不互通)
注:LSW3上所有PC都在一个网段
vlan 305
mux-vlan
subordinate separate 334
subordinate group 312#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 312
port mux-vlan enable
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 312
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 334
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 334
port mux-vlan enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 305
port mux-vlan enableinterface GigabitEthernet0/0/10
port link-type access
port default vlan 305
port mux-vlan enable
9. 在SW4上实现VLAN401和VLAN402需要实现互通,其中VLANif401的IP地址为4.1.1.254/24,VLANif402的IP地址为4.2.2.254/24(PC上配置网关)
interface Vlanif401
ip address 4.1.1.254 255.255.255.0
#
interface Vlanif402
ip address 4.2.2.254 255.255.255.0
10. 实现VLAN312、VLAN334和VLAN305中的PC与SW4的VLANif305地址的互通
SW3:
interface GigabitEthernet0/0/10
port link-type access
port default vlan 305
port mux-vlan enable
SW4
interface Vlanif305
ip address 3.0.0.254 255.255.255.0
interface GigabitEthernet0/0/10
port link-type access
port default vlan 305
11. 根据网络拓扑创建相应的VLANif并配置合适的端口属性,允许VLAN12、13、24、112、103、212、312、334、305、401和402通过
完成该需求后,我们通过命令display vlan和display ip interface查看VLAN信息和IP信息
在SW1:
interface Vlanif12
ip address 12.1.1.1 255.255.255.0
#
interface Vlanif13
ip address 13.1.1.1 255.255.255.0
SW2:
interface Vlanif12
ip address 12.1.1.2 255.255.255.0
#
interface Vlanif24
ip address 24.1.1.2 255.255.255.0
SW3:
interface Vlanif13
ip address 13.1.1.3 255.255.255.0
SW4:
interface Vlanif24
ip address 24.1.1.4 255.255.255.0
SW1:
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 103 112 212 305 312 334 401 to 402
#
interface GigabitEthernet0/0/11
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 103 112 212 305 312 334 401 to 402
SW2:
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 103 112 212 305 312 334 401 to 402
#
interface GigabitEthernet0/0/11
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 103 112 212 305 312 334 401 to 402
SW3:
interface GigabitEthernet0/0/11
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 30 103 112 212 305 312 334 401 to 402
SW4:
interface GigabitEthernet0/0/11
port link-type trunk
port trunk allow-pass vlan 12 to 13 24 103 112 212 305 312 334 401 to 402
12. SW1、SW2、SW3和SW4上运行RIPv2并禁用汇总。在SW1上将VLANif12、VLANif13和VLANif104通告进RIPv2;在SW2上将VLANif12、VLANif24和VLANif212通告进RIPv2;在SW3上将VLANif13通告进RIP;在SW4上将VLANif24、VLANif305、VLANif401、VLANif402通告进RIPv2。最终能够实现不同网段的互通(将sw3上的pc机配网关3.0.0.254)
完成该需求后,我们通过命令display ip routing-table查看路由信息
SW1:
rip 1
undo summary
version 2
network 12.0.0.0
network 13.0.0.0
network 1.0.0.0
SW2:
rip 1
undo summary
version 2
network 12.0.0.0
network 24.0.0.0
network 2.0.0.0
SW3:
rip 1
undo summary
version 2
network 13.0.0.0
SW4:
rip 1
undo summary
version 2
network 24.0.0.0
network 3.0.0.0
network 4.0.0.0