在学习高级VLAN之前要先把vlan基础,端口隔离,代理ARP学会,才能更好的去理解高级VLAN的特性
1.MUX VLAN
multiplex VLAN是一种通过vlan进行网络资源控制的机制,可以进行部分VLAN可以互通,部分VLAN间隔离,VLAN内用户隔离
- 只使用于二层网络,对同一网段的用户进行隔离和互通 (同一网段,不同vlan)
- 同一网段不同vlan时,在二层隔离的情况下,还可以指定VLAN通信,还可以实现禁止相同VLAN内的不同设备间的通信
一.技术分类
MUX VLAN | VLAN 类型 | 所属端口 | 通信规则 |
Principal VLAN 主VLAN | principal Port 主端口 | 可以和所有VLAN通信 | |
Subordinate 从VLAN | Group VLAN 互通VLAN | Group Port 互通型从端口 | 可以和主VLAN本VLAN通信 |
Separate VLAN 隔离VLAN | Separate Port 隔离型从端口 | 只能和主VLAN通信 |
二.命令
[SW-vlan10]mux-vlan #配置主VLAN
[SW-vlan10]subordinate group 2 #配置互通型从VLAN
[SW-vlan10]subordinate separate 3 #配置隔离型从VLAN
[SW-GigabitEthernet1/0/1]port mux-vlan enable #开启Mux-VLAN功能
三.实验
(1)划分VLAN
sys
sys S1
vlan batch 10 20 30 40
int g0/0/1
p l a
p d v 20
int g0/0/2
p l a
p d v 20
int g0/0/3
p l a
p d v 30
int g0/0/4
p l a
p d v 40
int g0/0/5
p l a
p d v 10
(2)MUX配置
vlan 10
mux-vlan
subordinate group 10 40
subordinate separate 30
int g0/0/1
port mux-vlan enable
int g0/0/2
port mux-vlan enable
int g0/0/3
port mux-vlan enable
int g0/0/4
port mux-vlan enable
int g0/0/5
port mux-vlan enable
2.Super Vlan
(一)技术背景
在实验部署中,通常会一个vlan对应一个网段和一个vlanif接口来实现三层通信,这样的话vlan一多就会照成ip地址的浪费,而这个技术就是就是将不同vlan使用同一个子网同一个网关,来减少对ip地址的浪费。
不知道大家有没有做过政府网站的渗透测试,如果有了解的话就能看到一个网站基本上覆盖了全省的基本业务,在下面还能找到省下面所有市级官网以及对应的高中学校官网,那大家可以想一下这得多少个ip地址才能做到这样,所有这个Super Vlan就是一个优化技术,来节省ip地址浪费的情况(小声bb,政府网站全是静态网页,好不容易找到数据交互的地方点进去就报错,真的离谱!!! 主要是还不敢用大型工具去扫,我怕扫一下义务直接挂了)
(二)技术分类
又称VLAN Aggregation,VLAN聚合,实验相同网段不同vlan间的通信,不同vlan只需一个vlanif接口就能作为不同vlan的网关
术语 | 备注 |
Super-VLAN | 只创建一个三层VLANIF接口来作为网关,不包含物理接口,负责Sub-vlan使用同一个三层接口作为网关 |
Sub-VLAN | 只包含物理接口,不创建三层VLANIF接口,隔离广播域 |
(三)端口隔离问题
不同vlan之间属于同一个Super-vlan,来进行三层通信,那么问题就来了,Super-vlan是统一的那么在不同vlan相互访问是行不通的,因为在同一网段发送的是arp包,而Sub区域又不同在二层是会被隔离的,那么为了解决这个问题我们唯一的方法就是使用代理ARP技术
(四)命令
命令 | 备注 |
[SWA] vlan 10 [SWA-vlan 10] aggregate-vlan | 配置Super VLAN |
[SWA-vlan 10] access-vlan 2 3 | 将Sub VLAN加入到Super VLAN里 |
[SWA-vlanif10]arp-proxy inter-sub-vlan-proxy enable | 开启代理ARP |
dis super-vlan | 验证 |
(五)实验
基本配置
R1
sys
sys R1
int g0/0/0
ip addr 12.0.0.1 16
int loop 0
ip addr 1.1.1.1 32
q
ip route-static 0.0.0.0 0 12.0.0.2
SW1
sys
sys S1
vlan batch 2 3 10
int g0/0/2
p l a
p d v 2
int g0/0/3
p l a
p d v 3
int vlanif 1
ip addr 12.0.0.2 16
int vlanif 10
ip addr 192.168.0.254 24
q
ip rout-static 0.0.0.0 0 12.0.0.1
Super 配置
SW1
vlan 10
aggregate-vlan
access-vlan 2 to 3
vlan间代理配置
arp-proxy inter-sub-vlan-proxy enable