文章目录
- 1、什么是vlan聚合
- 2、解决的问题
- 3、基本工作原理
- 4、sub-vlan之间的的通信
- 5、应用场景
- 6、配置vlan聚合
1、什么是vlan聚合
VLAN聚合(VLAN Aggregation,也称Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
2、解决的问题
一般的三层交换机中,通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通,这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中,子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于编址数,多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。
为了解决上述问题,VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念,使每个Sub-VLAN对应一个广播域,并让多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP子网,所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。
3、基本工作原理
- Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
- Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同的是,它的VLANIF接口的Up不依赖于自身物理接口的Up,而是只要它所含Sub-VLAN中存在Up的物理接口就Up。
示意图:
4、sub-vlan之间的的通信
普通VLAN中,不同VLAN内的主机可以通过各自不同的网关进行三层互通。但是Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发。即实际上,不同Sub-VLAN的主机在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题。
解决这一问题的方法就是使用Proxy ARP:
假设Sub-VLAN2内的主机Host_1与Sub-VLAN3内的主机Host_2要通信,在Super-VLAN10的VLANIF接口上启用Proxy ARP,如图所示。
Host_1与Host_2的通信过程如下(假设Host_1的ARP表中无Host_2的对应表项):
- Host_1将Host_2的IP地址(10.1.1.12)和自己所在网段10.1.1.0/24进行比较,发现Host_2和自己在同一个子网,但是Host_1的ARP表中无Host_2的对应表项。
- Host_1发送ARP广播报文,请求Host_2的MAC地址,目的IP为10.1.1.12。
- 网关L3 Switch收到Host_1的ARP请求,由于网关上使能Sub-VLAN间的Proxy ARP,开始使用报文中的目的IP地址在路由表中查找,发现匹配了一条路由,下一跳为直连网段(VLANIF10的10.1.1.0/24),VLANIF10对应Super-VLAN10,则向Super-VLAN10的所有Sub-VLAN接口发送一个ARP广播,请求Host_2的MAC地址。
- Host_2收到网关发送的ARP广播后,对此请求进行ARP应答。
- 网关收到Host_2的应答后,就把自己的MAC地址回应给Host_1。
- Host_1之后要发给Host_2的报文都先发送给网关,由网关做三层转发。
同网段之间进行的是二层转发,但是又是隔离的vlan所以正常情况下是无法转发的,当网关开启arp代理后,L3实际上进行了arp欺骗,它通过代理获取到了Host_2的arp回复,然后以此回复Host_1,这样以后Host_1的报文就会先发给网关了。
5、应用场景
某公司拥有多个部门,为了提升业务安全性,将不同部门划分到不同VLAN中。各部门均有访问Internet需求,且由于业务需要,部门1与部门2间需要互通,部门3与部门4间需要互通,但公司IP地址有限。
6、配置vlan聚合
实验图:
配置步骤:
配置A交换机:
# 配置接口GE1/0/1、GE1/0/2、GE1/0/3、GE1/0/4为Access类型。
#创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/1 1/0/2
[SwitchA-vlan2] quit
# 创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。
[SwitchA] vlan 3
[SwitchA-vlan3] port gigabitethernet 1/0/3 1/0/4
[SwitchA-vlan3] quit
# 配置SwitchA连接SwitchB的接口,透传VLAN2和VLAN3到SwitchB。
[SwitchA] interface gigabitethernet 1/0/5
[SwitchA-GigabitEthernet1/0/5] port link-type trunk
[SwitchA-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 3
[SwitchA-GigabitEthernet1/0/5] qui配置B交换机:
# 创建VLAN2、VLAN3、VLAN4、VLAN10,并配置SwitchB连接SwitchA的接口,使VLAN2和VLAN3透传到SwitchB。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 2 3 4 10
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] port link-type trunk
[SwitchB-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 3
[SwitchB-GigabitEthernet1/0/5] quit
# 在SwitchB上配置Super-VLAN 4,并将VLAN2、VLAN3加入到Super-VLAN 4,作为其Sub-VLAN。
[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit
# 创建并配置VLANIF4,使不同部门的用户可通过Super-VLAN 4访问Internet。
[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit
# 在SwitchB上配置上行接口GE1/0/1,透传SwitchB与出口网关Router的互联VLAN。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet1/0/1] quit
# 创建并配置VLANIF10,指定其IP地址为SwitchB与出口网关Router对接的IP地址。
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 10.10.1.1 255.255.255.0
[SwitchB-Vlanif10] quit
# 在SwitchB上配置一条到出口网关Router的缺省静态路由,使用户能够访问Internet。
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
# 在SwitchB的Super-VLAN 4下配置Proxy ARP,使不同部门的用户间三层互通。
[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit验证:
配置完成后,VLAN2的用户与VLAN3的用户可以相互Ping通,且都可以访问Internet。
