资源描述
交换机supervlan技术详解
2009-11-14 16:36
Super VLAN又称为VLAN聚合(VLAN Aggregation),是一种节省VLAN接口及IP地址的三层VLAN技术,其原理是一个Super VLAN包含多个Sub
VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,这样多个Sub VLAN共用一个IP网段,从而节省
了IP地址资源。
为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要在Super vlan开启ARP代理功能。通过ARP代理可以进行ARP请求和响应
报文的转发与处理,从而实现了二层隔离端口间的三层互通。当设置vlan类型为super vlan后,该vlan接口上的arp代理自动开启,无需配置,
且不能关闭。
super vlan可以节省IP地址,让不同VLAN的网关使用同一个IP,在交换网络环境中引进Sub VLAN和Super VLAN,它们是一种可以实现IP地址划
分的更加优化的途径。它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚
合(Super VLAN),它包含整个IP子网内的所有VLAN(Sub VLAN)。而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到
这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPER
VLAN就是激活的.
super vlan 可以实现同一个VLAN 内的端口间的隔离,实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个
Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。
一旦我们使用VLAN聚合功能,就允许客户端在同一子网里使用不同的广播域,但是这些客户端使用的还是同一个路由接口,从而达到增强IP地
址利用率的目的。可以跟VLAN做比较,通常一个VLAN,一个IP子网,即一个广播域,一个路由接口,需要大量的子网,结果是不能有效的利用
IP地址,造成浪费。而Super VLAN则把一个子网段分成地址段,即几个广播域,IP地址和路由接口都不变,至于Sub VLAN之间也可以设置是否
通讯。
使用Super VLAN时,Super VLAN可以定义一个任意IP地址,但是没有自己的成员端口,端口都是指定在Sub VLAN中。Sub VLAN作为Super VLAN
的成员,并没有自己的IP地址,而是使用Super VLAN的IP地址作为自己的路由接口地址。通常,客户端都是指定在Sub VLAN内,我们可以在子
VLAN中有选择的分配给一些地址段,以避免地址段以外的非法客户端进入网络,前提是这些地址段必须在Super VLAN的子网范围内,以便于我
们更好的管理IP地址,而且假如多个Sub VLAN定义了重复的地址段,交换机并不提供错误检查,从而在Super VLAN和子VLAN的arp过程中带来错
误,这一点尤其要注意。
VLAN聚合是VLAN的一项比较独特的功能,在使用中有如下特性:
* 若干个小VLAN(Sub VLAN)同属于一个大VLAN(Super VLAN)。
* Super VLAN对应IP子网地址,所有该Super VLAN的Sub VLAN都属于该子网。
* 同一子网Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。
* 所有广播包和未知流量都局限在Sub VLAN内部,不会跨越Sub VLAN边界。Sub VLAN内部的所有流量只在Sub VLAN内部交换,这样可以有效的隔离Sub VLAN之间的流量。不同的Sub VLAN仍保留各自独立的广播域,实现同一子网中的广播的隔离,避免广播风暴的产生实现广播域隔离。
* 客户端即主机都放置在Sub VLAN内。在Super VLAN的路由接口地址范围内,每台主机可以任意设置一个IP地址。在Sub VLAN内的每台主机的子网掩码都是和Super VLAN定义的子网掩码相同,并且他们的路由地址即网关就是Super VLAN的路由接口地址。
* Sub VLAN之间的所有流量都是通过Super VLAN来路由的。例如,在子VLAN间不会有ICMP重定向产生,因为超VLAN为子VLAN进行了路由。当一个子VLAN加入到Super VLAN中时,在IP arp表中会自动加入一个arp表项,这就使得IP单播包可以穿越子VLAN。为安全起见,我们可以关闭掉这项功能。
* 当Super VLAN启用组播路由协议时,Sub VLAN间的IP组播流量将被路由。
VLAN聚合也有它的局限性:
* Sub VLAN不能有其他的路由接口,它的路由只能在Super VLAN上进行。
* Sub VLAN不能成为Super VLAN。
* 做为Super VLAN不能指定IP地址,即路由接口地址。
* Super VLAN不能包含成员端口。
* 如果客户机从一个Sub VLAN移到另一个Sub VLAN,必须在客户机和交换机上清除IP arp缓存以继续通讯。
Super VLAN在实际应用中的好处:
第一,极大节省IP地址;第二,极大降低了因IP地址变更而带来的工作量。
举例:如一个公司有三个部门,一个销售部,有5个人,一个技术部,也有14个人,一个财务部,有3个人,一般情况下部门互相不能访问,每个部门就为一个VLAN,销售部就至少要配2*2*2=8个IP地址,技术部就要2*2*2*2*2=32个IP地址,财务部就至少要配2*2*2=8个IP地址,总计需要48个IP地址,而实际只有22个人,浪费了26个IP地址。SUPER VLAN是基于VLAN之上的,公司只有22个人,只需配2*2*2*2*2=32个IP地址就可以满足要求。如果销售部又增加了2个人,那么销售部的IP地址又要增加2个,如果要满足7个人,就必须给销售部16个IP地址,同时公司划分IP地址又是连续的,所以,销售部IP地址一旦变化,势必会引起其他部门IP地址的重新分配,这个工作是巨大的,但SUPER VLAN是基于VLAN之上,如果销售部增加新的IP地址,只需要在SUPER里增加IP地址给新增加的人员就能达到要求,同时又可以不动其他人员的IP地址。
华为交换机Super VLAN配置
一、组网需求:
需要创建Super VLAN 10和Sub VLAN:VLAN 2、VLAN3,端口1和端口2属于VLAN2,端口3和端口4属于VLAN3,由于VLAN之间能够满足二层隔离,
现要求Sub VLAN两两之间三层互通。
三、配置步骤:
<h3c> system-view //进入系统视图
[H3C] vlan 10 //进入VLAN视图
[H3C-vlan10] supervlan //配置当前VLAN为Super VLAN
[H3C-vlan10] vlan 2 //创建Sub VLAN
[H3C-vlan2] port ethernet0/1 ethernet0/2 //向Sub VLAN中添加以太网端口 。port命令只适用于将access端口加入sub vlan。如果需要将trunk端口和hybrid端口加入sub vlan,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现
[H3C-vlan2] vlan 3
[H3C-vlan3] port ethernet0/3 ethernet0/4
[H3C-vlan5] vlan 10 //进入Super VLAN的VLAN视图
[H3C-vlan10] subvlan 2 3 //创建Super VLAN与Sub VLAN间的映射关系
[H3C-vlan10] interface vlan 10
[H3C-Vlan-interface10] ip address 10.110.1.1 255.255.255.0 //
四、配置关键点:
1 一台交换机可以有多个Super VLAN。
2 当配置VLAN为Super VLAN后,相应的VLAN接口和IP地址的配置与普通VLAN一样。需要注意的是:VLAN被设置成Super VLAN前,不能包含
任何以太网端口;被设置为Super VLAN后,也不能向其中添加以太网端口。
3 当设置VLAN类型为Super VLAN后,该VLAN接口上的ARP代理自动开启,无需配置。在Super VLAN存在时,其对应的VLAN接口的ARP
代理不能关闭。
4 配置Super VLAN和Sub VLAN间的映射关系前,Sub VLAN必须已经存在。
5 在建立了Sub VLAN和Super VLAN的映射关系后,仍可以向Sub VLAN中添加或删除端口。
6 每一个Super VLAN可以和127个Sub VLAN建立映射关系。系统最多允许建立1024个Sub VLAN。
思科交换机VLAN配置
switch# configure //进入全局配置模式
switch(config)# vlan vlan-id //进入 VLAN配置模式
switch(config-vlan)# supervlan //打开 SuperVLAN的功能
switch(config-vlan)# end //回到特权模式
缺省情况下,Super VLAN功能是关闭的,使用 no supervlan 可以关闭已经打开得 supervlan 的功能。
配置 Super VLAN 的 Sub VLAN:
必须为 SuperVLAN配置 SubVLAN,该 Super VLAN才有意义。 可以使用下面的命令来使一个VLAN属于SuperVLAN的Sub VLAN。
switch# configure //进入配置模式
switch(config)# vlan vlan-id //进入 VLAN配置模式
switch(config-vlan)# supervlan //设置该vlan为Super VLAN
switch(config-vlan)# subvlan vlan-id-list //指定若干个 sub vlan 并把它们加入super vlan 中。
switch(config-vlan)# exit //退出到全局模式
使用 no subvlan [ vlan-id-list ] 命令删除 Super VLAN的 Sub VLAN。
设置 Sub VLAN 的地址范围:
用户可以为每个 SubVLAN 配置其地址空间范围,以便设备区分给定的 IP 地址属于哪个 SubVLAN. 同一个 SuperVLAN 下的 SubVLAN 配置的地
址空间范围不可以有交叉重叠或者互相包含的关系.
全局模式下进行下列配置
switch# configure //进入配置模式
switch(config)# vlan vlan-id //进入 vlan 配置模式
switch(config-vlan)# subvlan-address-range start-ip end-ip //设置Sub VLAN 的地址范围,start-ip为该 SubVLAN 的 IP 起始地址
end-ip为该SubVLAN的IP结束地址
switch(config-vlan)# proxy-arp enable //使能proxy-ary功能
switch(config-vlan)# end // 回到特权模式
switch# show run //验证前面各步骤的配置
注意:用户可以通过执行 no subvlan-address-range删除之前配置
设置 Super VLAN 的虚拟接口
当 Sub VLAN 内的用户需要进行三层通信时,首先要创建 SuperVLAN对应的虚拟三层接口进行。
使用 SuperVLAN自身对应的 SVI 作为虚拟接口
SVI是一种和VLAN相对应的3层口,你只需要给VLAN配置一个IP地址就成了SVI接口。SVI是一种由多个物理接口组成的3层口,用它们连接的计算
机构成一个网段,彼此可以共享资源。
请在全局模式下进行下列配置。
switch# configure //进入配置模式
switch(config)# interface vlan vlan-id //进入 SVI 模式
switch(config-vlan)# ip address ip mask //设置虚拟接口的 IP 地址
switch(config-vlan)# end //回到特权模式
switch# show run //验证前面各步骤的配置
设置 VLAN 的代理ARP功能
可以使用下面的命令来设置 VLAN 的代理 ARP 功能,从而允许 SubVLAN 之间互相通信。缺省情况下该功能是打开的。
请在全局模式下进行下列配置。
switch# configure //进入配置模式
switch(config)# vlan vlan-id //进入 VLAN模式
switch(config-vlan)# proxy-arp //打开 VLAN的 ARP 代理功能
switch(config-vlan)# end //回到特权模式
switch# show run //验证前面各步骤的配置
使用 no proxy-arp 关闭 Vlan 的代理 ARP 功能。
显示 supervlan设置
可以使用下面的命令
switch# show supervlan //显示 supervlan 配置
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
