概念
為了實現不同Sub VLAN間的三層互通及Sub VLAN與其他網路的互通,需要利用ARP代理功能。通過ARP代理可以進行ARP請求和回響
報文的轉發與處理,從而實現了二層隔離連線埠間的三層互通。
super vlan 是節省
IP位址的.可以讓不同VLAN的
網關使用同一個IP.而這個IP就是SUPER VLAN的IP,它是邏輯上的VLAN,它是不需要把連線埠加到這個VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,這些子VLAN是物理的,要加連線埠才能激活的.只要有一個子VLAN是激活的,那么SUPER VLAN就是激活的.
PVLAN 是節省VLAN數的.
PVLAN把一個VLAN劃分成若干個子VLAN,每個VLAN都是物理的,都是要加入實際的連線埠才能激活的.
兩者是有區別的,套用在不同場合.當目前已經用的比較少了,因為有更先進的
QinQ技術,可以給一個數據打2層的VLAN標記.
super vlan 可以實現同一個VLAN 內的連線埠間的隔離
當然,前提是
交換機支持VLAN聚合。現在一般的
三層交換機都支持,對用戶作用也很大。一旦我們使用VLAN聚合功能,就允許客戶端在同一
子網里使用不同的
廣播域,但是這些客戶端使用的還是同一個
路由接口,從而達到增強
IP位址利用率的目的。可以跟VLAN做比較,通常一個VLAN,一個子網,也即一個廣播域,一個路由接口(本文中談的都是三層VLAN),而VLAN聚合則把一個子
網段分成地址段,即幾個廣播域,IP位址和路由接口都不變,至於子網段之間的通訊與否,可以根據需要設定。
使用VLAN聚合時,超VLAN可以定義一個任意IP位址,但是沒有自己的成員連線埠,連線埠都是指定在子VLAN中。子VLAN作為超VLAN的成員,並沒有自己的IP位址,而是使用超VLAN的IP位址作為自己的路由接口地址。通常,客戶端都是指定在子VLAN內,我們可以在子VLAN中有選擇的分配給一些地址段,前提是這些地址段必須在超VLAN的
子網範圍內,以便於我們更好的管理IP位址。當然,根據需要,我們可以控制各子VLAN之間是否需要通訊。我們平時使用時,子VLAN可以很小,但是必須要為今後網路的擴容而且不重新定義子網的情況留下空間,
假如不使用VLAN聚合,即通常使用VLAN的情況,每個VLAN需要一個
路由接口地址,並且需要大的子網。結果是不能有效的利用
IP位址,造成浪費。
VLAN聚合是VLAN的一項比較獨特的功能,在使用中有如下特性:
●所有
廣播包和未知流量都局限在子VLAN內部,不會跨越子VLAN邊界。子VLAN內部的所有流量只在子VLAN內部交換,這樣可以有效的
隔離子VLAN之間的流量。
●客戶端即
主機都放置在子VLAN內。在超VLAN的
路由接口地址範圍內,每台主機可以任意設定一個IP位址。在子VLAN內的每台主機的
子網掩碼都是和超VLAN定義的子網掩碼相同,並且他們的路由地址即
網關就是超VLAN的路由接口地址。
●子VLAN之間的所有流量都是通過超VLAN來路由的。例如,在子VLAN間不會有
ICMP重定向產生,因為超VLAN為子VLAN進行了路由。當一個子VLAN加入到超VLAN中時,在IP arp表中會自動加入一個arp表項,這就使得IP
單播包可以穿越子VLAN。為安全起見,我們可以關閉掉這項功能。
當然,VLAN聚合也有它的局限性:
●子VLAN不能有其他的
路由接口,它的路由只能在超VLAN上進行。
●子VLAN不能成為超VLAN。
●子VLAN不能指定IP位址,即路由接口地址。
●通常,超VLAN沒有成員連線埠,除了一些特定場合。
●如果客戶機從一個子VLAN移到另一個子VLAN,必須在客戶機和
交換機上清除IP arp快取以繼續通訊。
通常,我們還可以給每個子VLAN設定地址段,以避免地址段以外的非法客戶端進入網路。但是我們要注意,假如多個子VLAN定義了重複的地址段,交換機並不提供錯誤檢查,從而在超VLAN和子VLAN的arp過程中帶來錯誤。這一點尤其要注意。
套用例舉
實質上不同的Sub VLAN仍保留各自獨立的
廣播域,而一個或多個Sub VLAN同屬於一個Super VLAN,並且都使用Super VLAN的接口地址為
默認網關IP位址。當不同Sub VLAN中的
主機需要相互之間通訊時,需要在Super VLAN開啟ARP代理。
VLAN聚合產生了一個更加有效地地址分配體系,這種模式也給網路工程師提供了一種規範的默認網關分配的機制。VLAN Aggregation具有以下特點:
n 若干個小VLAN(Sub VLAN)同屬於一個大VLAN(Super VLAN)。
n Super VLAN對應
IPv4子網地址,所有該Super VLAN的Sub VLAN都屬於該子網。
n 不同的Sub VLAN仍保留各自獨立的廣播域,實現同一子網中的廣播的隔離,避免
廣播風暴的產生。
n 同一子網Super VLAN中的不同Sub VLAN互通需要Super VLAN開啟arp-proxy。
n 做為Super VLAN的VLAN不能包含連線埠,做為Sub VLAN的VLAN不能配置ip地址。
配置案例
步驟1 向Super VLAN super1中添加Sub VLAN sub1
Harbour(
config)# config vlan super1 add subvlan sub1
步驟2 查看VLAN的配置信息
Harbour(config)# show vlan
VLAN ID : 2046
Name : super1
VLAN Type : Super-VLAN
Mac address : 00:05:3b:58:00:a0
Sub-vlan list : sub1
Tagged Ports :
Untagged Ports :
VLAN ID : 2045
Name : sub1
VLAN Type : Sub-VLAN
Mac address : 00:05:3b:58:00:a0
Parent VLAN : super1
Tagged Ports :
Untagged Ports :
----------------------------------
Total vlans : 3
-----------------------------------------------------------------------------
具體工程案例:
一、 如中興M6000設備直掛光纖用戶
1.IP:21.28.90.1/29 連線埠gei-0/0/1/1 (不封裝VLAN)
2.IP:21.28.90.1/29 連線埠gei-0/0/1/2用21.28.90.2(不封裝VLAN)
連線埠gei-0/0/1/4用21.28.90.3(不封裝VLAN)(如果數據上不能這樣做 標註下就行
如不採用supervlan方式接入無法將一個地址段分配給多個接口使用。
A、一個地址段分配給單一接口配置方法:接口不帶vlan
Interface gei-0/0/1/1
Ip add 21.28.90.1 255.255.255.248
B、一個地址段分配給多個物理接口配置方法(supervlan):接口不帶vlan
interface supervlan4002 建立supervlan接口(vlan id號根據規划進行配置,本例採用4002)
ip address 21.28.90.1 255.255.255.248 在supervlan在配置地址段
supervlan 進入supervlan配置模式綁定supervlan下相關接口
Interface gei-0/0/1/4 綁定相關業務連線埠0/0/1/3
supervlan 4002
vlanpool 21.28.90.2 21.28.90.2 綁定此連線埠所分配的
IP位址Interface gei-0/0/1/4 綁定相關業務連線埠0/0/1/4
supervlan 4002
vlanpool 21.28.90.3 21.28.90.3 綁定此連線埠所分配的IP位址