SuperVLAN原理与配置.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,内部公开,内部公开,内部公开,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,SuperVLAN,原理与配置,V1.0,数据用服部,学习目标,熟悉SuperVLAN原理,掌握SuperVLAN配置,学习内容,第一章 SuperVLAN原理,第二章 SuperVLAN配置,学习内容,第一章 SuperVLAN原理,为什么需要SuperVLAN,传统的ISP网络给每个用户分配一个IP子网,每分配一个子网，就有三个IP地址被占用，分别作为子网的网络号、广播地址和缺省网关,如果一些用户的子网中有大量未分配的IP地址，也无法给其他用户使用,这种方法会造成IP地址的浪费,解决办法：SuperVLAN,SuperVLAN概述,SuperVLAN-RFC 3069,SuperVLAN又称为VLAN聚合(VLAN Aggregation)，把多个VLAN(称为子VLAN)聚合成一个SuperVLAN，这些子VLAN使用同一个IP子网和缺省网关,每个子VLAN都是一个独立的广播域，保证不同用户之间的隔离，子VLAN之间的通信通过SuperVLAN进行路由,优点,节省交换机路由接口数目,节约IP地址,学习内容,第二章 SuperVLAN配置,第一节 配置命令,第二节 接口配置组合,第三节,典型应用,第四节,维护诊断,配置命令,创建SuperVLAN接口，并进入其配置模式（全局模式）,interface supervlan|,将SubVLAN接口绑定到SuperVLAN接口中,（VLAN配置模式下或者VLAN子接口配置模式下）,supervlan,批量将VLAN绑定到指定的SuperVLAN（SuperVLAN接口模式下）,subvlan,配置命令,打开/关闭子VLAN间的路由功能（SuperVLAN接口模式下）,inter-subvlan-routing enable|disable,打开/关闭IP POOL地址过滤功能（SuperVLAN接口模式下）,ip-pool-filter enable|disable,绑定一段IP地址到SubVLAN接口上,（VLAN配置模式下/VLAN子接口配置模式下）,ip supervlan pool ,打开/关闭SuperVLAN 向其包含所有的子VLAN/实接口上进行ARP广播功能（SuperVLAN接口模式下）,arp-broadcast enable|disable,学习内容,第二章 SuperVLAN配置,第一节 配置命令,第二节 接口配置组合,第三节,典型应用,第四节,维护诊断,接口配置组合说明,arp-broadcast,开关,ip-pool-filter,开关,SubVLAN pool,配置情况,业务情况,是否存在,广播风暴,防arp攻击能力,arp-broadcast,disable,ip-pool-filter,disable,不配置,subvlan pool,arp请求包会被丢弃,arp老化后业务不通,否,易受攻击,配置,subvlan pool,通,否,易受攻击,ip-pool-filter,enable,不配置,subvlan pool,不通,否,不易受攻击,配置,subvlan pool,通,否,不易受攻击,arp-broadcast,enable,ip-pool-filter,disable,不配置,subvlan pool,通,是,易受攻击,配置,subvlan pool,通,是,易受攻击,ip-pool-filter,enable,不配置,subvlan pool,不通,是,不易受攻击,配置,subvlan pool,通,是,不易受攻击,推荐接口配置组合,现网开局中建议使用arp-broadcast disable，ip-pool-filter enable，同时配置subvlan pool。,此种配置可以减少用户间的ARP广播报文防止形成广播风暴，控制用户地址的分布防止私设IP，有一定的防arp攻击能力。,学习内容,第二章 SuperVLAN配置,第一节 配置命令,第二节 接口配置组合,第三节,典型应用,第四节,维护诊断,网络拓扑,Switch B作为汇聚交换机，接入多台PC，划入不同vlan，并透传至Router A。A、B之间使用trunk接口。在Router A上配置SuperVLAN功能。,Switch B,192.168.1.2/24,VLAN 10,SuperVLAN1000,192.168.1.1/24,Gei_2/1,Gei_2/2,Gei_2/3,Gei_1/1,Gei_2/1,Router A,192.168.1.3/24,VLAN 20,192.168.1.4/24,VLAN 30,SuperVLAN典型配置一,普通SuperVLAN组网（Router A是路由器）,创建SuperVLAN接口并分配子网、指定网关,ZXR10_A(config)#interface supervlan 1000,ZXR10_A(config-if)#ip address 192.168.1.1 255.255.255.0,/配置SuperVLAN接口地址,ZXR10_A(config-if)#inter-subvlan-routing disable,/禁止subvlan用户的互通,ZXR10_A(config-if)#arp-broadcast disable,/关闭ARP广播。只有在使能IP绑定后,才能关闭ARP广播,否则会出现业务不通的情况。,ZXR10_A(config-if)#ip-pool-filter enable,/使能ip地址绑定功能，该配置与ARP广播开关配合使用。建议开启IP绑定功能，减少ARP广播包。,SuperVLAN典型配置一,配置SubVLAN子接口，并加入到SuperVLAN,ZXR10_A(config)#interface gei_2/1.10,ZXR10_A(config-if)#encapsulation dot1Q 10,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.2 192.168.1.2,/做地址绑定,ZXR10_A(config)#interface gei_2/1.20,ZXR10_A(config-if)#encapsulation dot1Q 20,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.3 192.168.1.3,ZXR10_A(config)#interface gei_2/1.30,ZXR10_A(config-if)#encapsulation dot1Q 30,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.4 192.168.1.4,SuperVLAN典型配置二,普通SuperVLAN组网（Router A是交换机）,创建SuperVLAN接口并分配子网、指定网关,ZXR10_A(config)#interface supervlan 1000,ZXR10_A(config-if)#ip address 192.168.1.1 255.255.255.0,ZXR10_A(config-if)#inter-subvlan-routing disable,ZXR10_A(config-if)#arp-broadcast disable,ZXR10_A(config-if)#ip-pool-filter enable,把SubVLAN加入到SuperVLAN,ZXR10_A(config)#vlan 10,ZXR10_A(config-vlan)#supervlan 1000,ZXR10_A(config-vlan)#ip supervlan pool 192.168.1.2 192.168.1.2,ZXR10_A(config)#vlan 20,ZXR10_A(config-vlan)#supervlan 1000,ZXR10_A(config-vlan)#ip supervlan pool 192.168.1.3 192.168.1.3,ZXR10_A(config)#vlan 30,ZXR10_A(config-vlan)#supervlan 1000,ZXR10_A(config-vlan)#ip supervlan pool 192.168.1.4 192.168.1.4,SuperVLAN典型配置三,SuperVLAN+vrf+vlan range（QinQ range）组网,创建vrf实例,ZXR10_A(config)#ip vrf vpn1,ZXR10_A(config-vrf)#rd 65535:100,ZXR10_A(config-vrf)#route-target import 65535:100,ZXR10_A(config-vrf)#route-target export 65535:100,创建SuperVLAN接口并绑定vrf、分配子网、指定网关,ZXR10_A(config)#interface supervlan 1000,ZXR10_A(config-if)#ip vrf forwarding vpn1,ZXR10_A(config-if)#ip address 192.168.1.1 255.255.255.0,ZXR10_A(config-if)#inter-subvlan-routing disable,ZXR10_A(config-if)#arp-broadcast disable,ZXR10_A(config-if)#ip-pool-filter enable,SuperVLAN典型配置,配置SubVLAN子接口，并加入到SuperVLAN,ZXR10_A(config)#interface gei_2/1.10,ZXR10_A(config-if)#encapsulation dot1Q range 10-19,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.2 192.168.1.2,ZXR10_A(config)#interface gei_2/1.20,ZXR10_A(config-if)#qinq range internal-vlan 20 external-vlan 20,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.3 192.168.1.3,ZXR10_A(config)#interface gei_2/1.30,ZXR10_A(config-if)#encapsulation dot1Q 30,ZXR10_A(config-if)#supervlan 1000,ZXR10_A(config-if)#ip supervlan pool 192.168.1.4 192.168.1.4,注意：vlan range和QinQ range接口绑定入SuperVLAN后，不支持arp广播,学习内容,第二章 SuperVLAN配置,第一节 配置命令,第二节 接口配置组合,第三节,典型应用,第四节,维护诊断,维护诊断命令,显示SuperVLAN的配置,show supervlan,ZXR10#show supervlan,SuperVLAN Inter-subvlan-routing Arp-broadcast Ip-pool-filterSubVLAN,-,1 enable disable enbale 4,显示内容说明：,域,描述,Inter-subvlan-routing,SubVLAN之间的路由功能是否使能,SubVLAN,该SuperVLAN接口下包含的子VLAN,Arp-broadcast,Arp广播状态,Ip-pool-filter,IP POOL地址段过滤标志,SuperVLAN,Supervlan id,维护诊断命令,显示所有绑定在vlan上的ip pool,show supervlan ip pool,ZXR10(config)#show supervlan ip-pool,Session-no Address-begin Address-end SubvlanId SupervlanNum,1 192.168.1.1 192.168.1.128 4 1,显示说明内容：,域,描述,Session-no,Session号,Address-begin,Address-beginIP POOL地址段起始地址,Address-end,IP POOL地址段结束地址,SubvlanId,子VLAN号,SupervlanNum,Supervlan号,小结,SuperVLAN的工作原理是什么？,SuperVLAN接口下ARP包广播规律是怎样的？,SuperVLAN接口下arp-broadcast、ip-pool-filter、inter-subvlan-routing如何组合配置？,谢 谢,