VLAN聚合概述: VLAN聚合(也称为VLAN聚合、Super VLAN )是指在一个物理网络中,由多个VLAN (su B- VLAN )隔离广播域
通过引入Super-VLAN和Sub-VLAN的概念,可以为每个Sub-VLAN分配一个广播域,将多个Sub-VLAN与一个Super-VLAN关联,并为Super-VLAN分配一个IP子网
这样,通过多个Sub-VLAN共享一个网关地址,可以节约子网编号、子网定向广播地址、子网默认网关地址,各Sub-VLAN间的边界线也在以前的子网边界线中Super-VLAN可以根据每个主机的需求在相应的子网中灵活地划分地址范围,从而将每个Sub-VLAN作为独立的广播域进行广播隔离
原理说明: VLAN聚合通过定义Super-VLAN和Sub-VLAN,Sub-VLAN只包含物理接口,并负责维护每个独立的广播域。 Super-VLAN不包含物理接口,仅用于构建三层VLANIF接口。 然后建立Super-VLAN与Sub-VLAN之间的映射关系,将三层VLANIF接口和物理接口两部分有机结合,所有Sub-VLAN共享一个网关与外部网络进行通信
Sub-VLAN :只包括物理接口,不能建立三层VLANIF接口来隔离广播域。 每个Sub-VLAN中的主机和外部三层通信通过Super-VLAN的三层VLANIF接口实现。 只建立Super-VLAN层的VLANIF接口,不包含物理接口,支持子网网关。 与常规VLAN不同,VLANIF接口的Up不依赖于其物理接口的Up,而是在Sub-VLAN中使用Up物理接口(如果有)进行Up。 Super-VLAN可以包含一个或多个Sub-VLAN。 Sub-VLAN不再占用独立的子网段。 在同一Super-VLAN上,无论主机属于哪个Sub-VLAN,其IP地址都位于与Super-VLAN对应的子网段中。
这样,通过在Sub-VLAN之间共享同一网关,来减少子网号码、子网默认网关地址、子网定向广播地址的一部分的消耗,且在不同的广播域中使用同一子网
Sub-VLAN通信—VLAN聚合提供了不同VLAN共享同一子网段的地址,同时也给Sub-VLAN之间的三层传输带来了问题。 在通常的VLAN中,不同VLAN内的主机可以分别通过不同的网关进行3层互操作。 但是,在Super-VLAN中,所有Sub-VLAN中的主机都使用同一网段的地址,并共享同一网关地址。 主机只进行双层传输,不为三层传输发送网关。 这意味着实际上,不同Sub-VLAN的主机在两层相互隔离,从而导致Sub-VLAN之间无法通信的问题。
解决这一问题的方法就是使用Proxy ARP。
示例:假设Sub-VLAN2中的主机Host_1与Sub-VLAN3中的主机Host_2通信,在Super-VLAN10的VLANIF接口上启用代理,如下图所示
ARP。
图: Proxy ARP实现不同Sub-VLAN之间三层通信网络图Host_1和Host_2的通信过程如下(假设Host_1的ARP表中没有Host_2的对应表项目) )。
Host_1将Host_2的IP地址(10.1.1.12 )与它所在的网络段10.1.1.0/24进行比较,Host_2和它在同一子网中,但Host_1 Host_1发送ARP广播消息,请求Host_2的MAC地址,目标IP为10.1.1.12。 网关Router收到Host_1的ARP请求,在网关上启用了Sub-VLAN之间的代理ARP,因此它开始使用消息中的目标IP地址在路由表中查找,并发现路由匹配接下来,跳至直连网段(VLANIF10的10.1.1.0/24 )、VLANIF10 )的Host_2在接收到网关发送的ARP广播时,对该请求作出ARP答复当网关接收到Host_2的响应时,其将自己的MAC地址响应给Host_1。 所有在Host_1之后发送到Host_2的消息都先发送到网关,网关进行三层转发。 Host_2向Host_1发送消息的过程与上述Host_1向Host_2发送消息的过程类似,因此省略说明。
Sub_VLAN与其他网络的三层通信:以所示组网为例,介绍Sub-VLAN中主机与其他网络中主机之间的通信过程。
用户主机和服务器位于不同的网段上,Router_1配置有Sub-VLAN2、Sub-VLAN3、Super-VLAN4和VLAN10,Router_2配置有VLAN10
VLAN20。 图:Sub-VLAN与其他网络的三层通信组网图假设Sub-VLAN2下的主机Host_1想访问与Router_2相连的Server,报文转发流程如下(假设Router_1上已配置了去往10.1.2.0/24网段的路由,Router_2上已配置了去往10.1.1.0/24网段的路由,但两设备没有任何三层转发表项):
Host_1将Server的IP地址(10.1.2.2)和自己所在网段10.1.1.0/24进行比较,发现和自己不在同一个子网,发送ARP请求给自己的网关,请求网关的MAC地址,目的MAC为全F,目的IP为10.1.1.1。Router_1收到该请求报文后,查找Sub-VLAN和Super-VLAN的对应关系,知道应该回应Super-VLAN4对应的VLANIF4的MAC地址,并知道从Sub-VLAN2的接口回应给Host_1。Host_1学习到网关的MAC地址后,开始发送目的MAC为Super-VLAN4对应的VLANIF4的MAC地址、目的IP为10.1.2.2的报文。Router_1收到该报文后,根据Sub-VLAN和Super-VLAN的对应关系以及目的MAC判断进行三层转发,查三层转发表项没有找到匹配项,上送CPU查找路由表,得到下一跳地址为10.1.10.2,出接口为VLANIF10,并通过ARP表项和MAC表项确定出接口,把报文发送给Router_2。Router_2根据正常的三层转发流程把报文发送给Server。Server收到Host_1的报文后给Host_1回应,回应报文的目的IP为10.1.1.2,目的MAC为Router_2上VLANIF20接口的MAC地址,回应报文的转发流程如下:
Server给Host_1的回应报文按照正常的三层转发流程到达Router_1。到达Router_1时,报文的目的MAC地址为Router_1上VLANIF10接口的MAC地址。Router_1收到该报文后根据目的MAC地址判断进行三层转发,查三层转发表项没有找到匹配项,上送CPU,CPU查路由表,发现目的IP为10.1.1.2对应的出接口为VLANIF4,查找Sub-VLAN和Super-VLAN的对应关系,并通过ARP表项和MAC表项,知道报文应该从Sub-VLAN2的接口发送给Host_1。回应报文到达Host_1。 Sub-VLAN与其他设备的二层通信:如下图所示组网为例,介绍Sub-VLAN内主机与其他设备的二层通信情况。Router_1上配置了Sub-VLAN2、Sub-VLAN3和Super-VLAN4,_Router_1的_IF_1和IF_2配置为Access接口,IF_3接口配置为Trunk接口,并允许VLAN2和VLAN3通过;Router_2连接Router_1的接口配置为Trunk接口,并允许VLAN2和VLAN3通过。
从Host_1进入Router_1的报文会被打上VLAN2的Tag。在Router_1中这个Tag不会因为VLAN2是VLAN4的Sub-VLAN而变为VLAN4的Tag。该报文从Router_1的Trunk接口IF_3出去时,依然是携带VLAN2的Tag。
也就是说,Router_1本身不会发出VLAN4的报文。就算其他设备有VLAN4的报文发送到该设备上,这些报文也会因为Router_1上没有VLAN4对应的物理接口而被丢弃。因为Router_1的IF_3接口上根本就不允许Super-VLAN4通过。对于其他设备而言,有效的VLAN只有Sub-VLAN2和Sub-VLAN3,所有的报文都是在这些VLAN中交互的。
这样,Router_1上虽然配置了VLAN聚合,但与其他设备的二层通信,不会涉及到Super-VLAN,与正常的二层通信流程一样。
配置Super-VALN: 配置注意事项: VLAN1不能配置为Super-VLAN。配置某VLAN为Super-VLAN后,该VLAN类型改变为super,不允许任何物理接口加入该VLAN。流策略只有在Super-vlan的所有Sub-vlan下配置才能生效,在Super-vlan下配置不生效。配置某个VLAN为子接口的终结VLAN后,该VLAN不能再配置为Super-VLAN或Sub-VLAN。Super-VLAN对应的VLANIF接口配置IP地址后Proxy ARP才能生效。 配置聚合VLAN: 拓扑:PC1,2 属于VLAN10 ,PC3,4属于VLAN20,通过聚合VLAN100,实现共用网关IP地址,开启VLAN间ARP代理,实现VLAN间通信。
图:VLAN聚合配置拓扑 配置参数: [SW]dis current-configuration #sysname SW#vlan batch 10 20 100 //批量创建VLAN#vlan 100 aggregate-vlan//创建聚合VLAN access-vlan 10 20//将valn10 20 添加进聚合和VLAN#interface Vlanif100 ip address 10.0.100.254 255.255.255.0 arp-proxy inter-sub-vlan-proxy enable //开启VLAN间ARP代理,实现VLAN间通信#interface GigabitEthernet0/0/1 port link-type access port default vlan 10#interface GigabitEthernet0/0/2 port link-type access port default vlan 10#interface GigabitEthernet0/0/3 port link-type access port default vlan 20#interface GigabitEthernet0/0/4 port link-type access port default vlan 20#参考文档:华为HedEx文档