组网需求
核心交换机A作为用户网关设备,通过Trunk口下联接入设备Switch B、Switch C、Switch D。要求接入用户通过划分VLAN实现二层隔离,所有VLAN用户共享一个IP网关,实现三层通信以及与外网通信。
实验拓扑
配置要点
- 在接入设备(Switch B、Switch C、Switch D)上仅需按照普通VLAN (本例为VLAN 10、VLAN 20、VLAN 30)进行配置
- 在用户网关设备上配置创建Super vlan,将接入设备上的VLAN10、20、30设置为Sub-VLAN。
- 为Super VLAN设置SVI口,并且为各个Sub-VLAN分配IP地址范围
实验步骤
SWITCHA的配置:
R2_S3760_1(config)#vlan 2
R2_S3760_1(config-vlan)#vlan 10
R2_S3760_1(config-vlan)#vlan 20
R2_S3760_1(config-vlan)#vlan 30
R2_S3760_1(config-vlan)#exit
R2_S3760_1(config)#vlan 2
R2_S3760_1(config-vlan)#supervlan //设置Vlan2为Super vlan
R2_S3760_1(config-vlan)#subvlan 10,20,30 //管理sub vlan 10、20、30
R2_S3760_1(config-vlan)#exit
注:supervlan 广播报文会往所有subvlan进行复制,如果subvlan配置过多会导致性能问题,因此为了不影响转发性能,subvlan个数不宜配置过多。
R3_S3760_2(config)#vlan 10
R3_S3760_2(config-vlan)#subvlan-address-range 192.168.8.10 192.168.8.50 //设置Sub-VLAN 10的IP地址范围
R3_S3760_2(config-vlan)#exit
R3_S3760_2(config)#vlan 20
R3_S3760_2(config-vlan)#subvlan-address-range 192.168.8.60 192.168.8.100
R3_S3760_2(config-vlan)#exit
R3_S3760_2(config)#vlan 30
R3_S3760_2(config-vlan)#subvlan-address-range 192.168.8.110 192.168.8.150
R3_S3760_2(config-vlan)#exit
R3_S3760_2(config)#int vlan 2 //配置Super vlan的SVI地址
R3_S3760_2(config-if-VLAN 2)#ip addr 192.168.8.254 255.255.255.0
R3_S3760_2(config-if-VLAN 2)#exit
R3_S3760_2(config-vlan)#exit
R3_S3760_2(config)#int range g0/25-27
R3_S3760_2(config-if-range)#switchport mode trunk //设置端口为Trunk口,用于连接Switch B、Switch C、Switch D。
R3_S3760_2(config-if-range)#end
R3_S3760_2#conf ter
R3_S3760_2(config)#vlan 2
R3_S3760_2(config-vlan)#proxy-arp
SWITCHB的配置:
R3_S2338_1(config)#vlan 2
R3_S2338_1(config-vlan)#vlan 10
R3_S2338_1(config-vlan)#vlan 20
R3_S2338_1(config-vlan)#vlan 30
R3_S2338_1(config-vlan)#vlan 2
R3_S2338_1(config-vlan)#exit
R3_S2338_1(config)#int range f0/1
R3_S2338_1(config-if-range)#switchport mode trunk
R3_S2338_1(config-if-range)#end
R3_S2338_1#conf t
R3_S2338_1(config)#int range f0/2-3
R3_S2338_1(config-if-range)#switchport access vlan 10
SWITCHC的配置:
R3_S2328_2(config)#vlan 2
R3_S2328_2(config-vlan)#ex
R3_S2328_2(config)#vlan 10
R3_S2328_2(config-vlan)#ex
R3_S2328_2(config)#vlan 20
R3_S2328_2(config-vlan)#ex
R3_S2328_2(config)#vlan 30
R3_S2328_2(config-vlan)#ex
R3_S2328_2(config-vlan)#int range f0/5
R3_S2328_2(config-if-range)#switchport mode trunk
R3_S2328_2(config-if-range)#ex
R3_S2328_2(config)#int range f0/6-7
R3_S2328_2(config-if-range)#switchport access vlan 20
SWITCHD的配置:
R3_S3760_2#conf t
R3_S3760_2(config)#vlan 2
R3_S3760_2(config-vlan)#vlan 10
R3_S3760_2(config-vlan)#vlan 20
R3_S3760_2(config-vlan)#vlan 30
R3_S3760_2(config-vlan)#ex
R3_S3760_2(config)#int f0/1
R3_S3760_2(config-if-FastEthernet 0/1)#switchport access vlan 30
R3_S3760_2(config-if-FastEthernet 0/1)#ex
R3_S3760_2(config)#int f0/24
R3_S3760_2(config-if-FastEthernet 0/24)#switchport mode trunk
R3_S3760_2(config-if-FastEthernet 0/24)#ex
R3_S3760_2(config)#vlan 2
R3_S3760_2(config-vlan)#supervlan
R3_S3760_2(config-vlan)#subvlan 10,20,30
following reason prevent some vlan to be set as supervlan 2's subvlan
the vlan doesn't exist
R3_S3760_2(config-vlan)#ex
R3_S3760_2(config)#int f0/6
R3_S3760_2(config-if-FastEthernet 0/6)#switchport access vlan 30
R3_S3760_2(config-if-FastEthernet 0/6)#ex
R3_S3760_2(config)#int f0/24
R3_S3760_2(config-if-FastEthernet 0/24)#switchport mode trunk
R3_S3760_2(config-if-FastEthernet 0/24)#end
实验结论
VLAN30的主机访问VLAN10的主机。VLAN30的主机访问网关
VLAN10的主机访问VLAN10的主机。VLAN10的主机访问网关
关闭交换机Super vlan代理ARP功能与开启交换机Super vlan代理ARP功能之间的对比
重要说明
1、默认交换机Super vlan代理ARP功能是开启的,这样Sub vlan之间是可以互访的,如果要阻止Sub vlan之间的互访,需要关闭Super vlan的代理功能,命令如下:
R3_S3760_2(config)#vlan 2
R3_S3760_2(config-vlan)#no proxy-arp //关闭Super vlan的代理功能
2、在Sub vlan比较多的情况下可能会导致CPU过高。
3、如果是DHCP 环境,那么是不需要指定Sub vlan地址范围的,也就是不需要配置如下命令:
SwitchA (config)#vlan 10
SwitchA(config-vlan)#subvlan-address-range 192.168.1.10 192.168.1.50
SwitchA (config-vlan)#vlan 20
SwitchA(config-vlan)#subvlan-address-range 192.168.1.60 192.168.196.100
SwitchA (config-vlan)#vlan 30
SwitchA(config-vlan)#subvlan-address-range 192.168.1.110 192.168.1.150
这样同一个Sub vlan的地址就是随机的,根据接入交换机端口vlan的划分来确定PC属于哪个Sub vlan。
4、接入交换机上联口关闭风暴抑制或调整放大
当其他网段用户访问Super Vlan里面的某些用户,当这些用户又不存在的时候,由于SuperVLAN转发IP报文给用户需要先解析用户的ARP信息,由于没有查询到该用户的ARP表项,故交换机会往所有的Sub vlan发送ARP请求,如果Sub vlan比较多,那么就需要发送大量的ARP报文。
包括DHCP环境下,大量广播报文在每个Subvlan中发送,如果subvlan较多,每个subvlan都会复制一份广播报文。
此场景下,可能出现接入交换机上联口默认打开了广播风暴抑制而导致部分广播报文被丢弃的情况,导致DHCP报文或ARP报文被丢弃,建议将接入交换机上联口的风暴控制关闭。
5、另外Super vlan本身有如下限制
(1)Super VLAN不能包含任何成员口,只能包含Sub VLAN,由Sub VLAN包含实际的物理接口。
(2)Super VLAN不能做为其它Super VLAN的Sub VLAN。
(3)vlan 1不能作为SuperVLAN。
(4)Sub VLAN不能配置为网络接口,不能配置IP地址