一、VLAN聚合
1、什么是vlan 聚合呢?
VLAN聚合(Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,达到节约IP地址资源的目的。
@Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
@Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口的状态。
2、为什么需要VLAN聚合?
1、交换网络中,VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的三层交换机中,通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通,这在某些情况下导致了IP地址的浪费。
2、因为一个VLAN对应的子网中,子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于编址数,多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。
VLAN聚合的原理
3、话不多说,直接上实验
先搭建环境,如下:
路由器当主机使用,配置地址即可。
LSW1配置如下:
vlan 100
aggregate-vlan
access-vlan 10 20
interface Vlanif100
ip address 10.1.1.254 255.255.255.0interface GigabitEthernet0/0/1
port link-type access
port default vlan 10interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
[S1]dis super-vlan
VLAN ID Sub-vlan
100 10 20[S1]dis sub-vlan
VLAN ID Super-vlan
10 100
20 100 此时,已经做到了隔离vlan的作用,两台主机不能ping通,这是什么原理呢?
原因是这时候LSW1的广播ARP被隔离了。
所以在这时候在LSW1上配置vlan代理ARP,此时,两台主机就可以通信了。
VLAN代理ARP实现两主机相通
arp-proxy inter-sub-vlan-proxy enable
二、MUX VLAN
1、端口隔离(不是MUX VLAN)
在讲MUX VLAN之前先扯一下端口隔离这东西。
三台路由器当作主机测试地址分别为1.1 、1.2 、 1.3
首先他们都在同一vlan 1,当我配置如下配置时,R1与R2不可以相通,R1、R2可以分别和R3相通。由此得出结论:
端口隔离(缺点:仅限本交换机生效)
实现同一个VLAN内,用户之间彼此隔离
1、将交换机接口加入隔离组,相同组内的接口不能互通
2、隔离组内的接口与非隔离的接口可以互通
3、不同隔离组的接口之间客户可以互访配置如下:
[S1]port-group group-member GigabitEthernet 0/0/1 g0/0/2
[S1-port-group]port-isolate enable
[S1]dis port-isolate group all
The ports in isolate group 1:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
The ports in isolate group 2:
GigabitEthernet0/0/32、现在演示MUX VLAN
先来了解一下背景
再看看MUX-VLAN的基本概念,注意:在使用MUX VLAN的过程中,无论是Separate VLAN 还是Group VLAN 都必须与一个Prinpical VLAN 绑定。
3、看完概念,废话不多说,直接上图。
配置如下:
LSW1:
vlan batch 10 20 100
vlan 100
mux-vlan
subordinate separate 10
subordinate group 20interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enableinterface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enableinterface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enableinterface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 4094LSW2:
vlan batch 10 20 100
vlan 100
mux-vlan
subordinate separate 10
subordinate group 20interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enableinterface GigabitEthernet0/0/10
port link-type access
port default vlan 100
port mux-vlan enableinterface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 4094[S1]dis mux-vlan
Principal Subordinate Type Interface
100 - principal
100 10 separate GigabitEthernet0/0/1 GigabitEthernet0/0/2
100 20 group GigabitEthernet0/0/3这时候的结果:
1、pc1、pc2只能和server1通
2、pc3、pc4之间可以通,也可以和server1通
3、server1可以跟任何pc通
做到这里老师提了个问题,这个MUX VLAN 是隔离广播呢?还是隔离单播呢?或者又是说可以隔离一切?
这时候我们抓包验证一下
抓包证明了能隔离广播,于是我们把pc1、pc2 换成是路由器(router)配置静态MAC检验一下。
R1配置:
interface GigabitEthernet0/0/0
mac-address aabb-cc00-0001
ip address 10.1.1.1 255.255.255.0
arp static 10.1.1.2 aabb-cc00-0002
R2配置:
interface GigabitEthernet0/0/0
mac-address aabb-cc00-0002
ip address 10.1.1.2 255.255.255.0
arp static 10.1.1.1 aabb-cc00-0001 抓包验证!!!!!!!!
结果就是还是不通,上结论:
1、主能跟所有通
2、从只能跟从和主
3、分离只能跟主通
4、隔离所有(单播广播)
4、让你打破认知的小细节它又来了(vlan内代理ARP)
别的不多说,先上图。先做好底层配置,划分VLAN,配置端口隔离。
路由器注意使用Router ,LSW1配置如下:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1
这时候显然R1和R2 不能通,但是我们这时候可以用VLAN内
2代理ARP让他们通,骚操作来了。
一条命令搞定:
vlan内代理ARP
[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable这时候我们来验证一下R1、R2的连通性。
这时候你肯定还是不太愿意相信这是VLAN代理ARP能干出来的事,所以,上图。
看完它的MAC地址,你还有什么话说呢?你不得不承认这就是VLAN内代理ARP能干出来的活。
5、学完以上的知识点,居然还有更花的操作(综合实验)。
拓扑如下:
先在这讲一下思路,
1)解决方案:LSW1用Surper VLAN 100,让LSW2、LSW3充当Sub VLAN,再采用VLAN间代理。
arp-proxy inter-sub-vlan-proxy enable2解决方案:LSW2用MUX VLAN,然后采用隔离型(separate)
3)让pc1、pc2通方案:采用VLAN内代理
arp-proxy inner-sub-vlan-proxy enable配置如下:
LSW1:
vlan batch 10 20 100vlan 100
aggregate-vlan
access-vlan 10 20interface Vlanif100
ip address 10.1.1.7 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
arp-proxy inner-sub-vlan-proxy enableinterface GigabitEthernet0/0/23
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 2 to 99 101 to 4094interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 99 101 to 4094LSW2:
vlan batch 10 to 11vlan 10
mux-vlan
subordinate separate 11interface GigabitEthernet0/0/1
port link-type access
port default vlan 11
port mux-vlan enableinterface GigabitEthernet0/0/2
port link-type access
port default vlan 11
port mux-vlan enableinterface GigabitEthernet0/0/23
port link-type access
port default vlan 10
port mux-vlan enableLSW3:
vlan batch 20
interface GigabitEthernet0/0/10
port link-type access
port default vlan 20interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 4094好了,话不多说,好好领悟才是真理,下面进入下一个知识点。
三、QinQ
1、QinQ概述:
2、基本原理
在公网的传输过程中,设备只根据外层VLAN Tag转发报文,并根据报文的外层VLAN Tag进行MAC地址学习,而用户的私网VLAN Tag将被当作报文的数据部分进行传输。即使私网VLAN Tag相同,也能通过公网VLAN Tag区分不同用户。
实验拓扑命令如下:
想要更深入的了解QinQ可以百度访问如下网站(现网好像用的不多):
https://cloud.tencent.com/developer/article/2024078
