扩展VLAN特性配置实战
VLAN聚合(Super-VLAN)
普通VLAN的缺点:普通VLAN间通信过程中需要为每一个VLAN配置一个VLANIF接口IP地址,同时需要为每个VLAN单独使用一个IP子网,导致IP子网数可能很多,IP地址浪费严重。为此,诞生了一种可以聚合多个不配置VLANIF接口的超级VLAN(Super-VLAN)技术,即VLAN聚合(VLAN Aggregation)技术。这个超级VLAN可以包含多个位于同一IP子网的VLAN,并且只需要使用一个VLANIF接口IP地址作为各成员VLAN的共同网关即可实现同一超级VLAN内不同成员VLAN间,以及与外部网络间的通信。
VLAN聚合技术就是把多个不配置三层VLANIF接口,同处于一个IP子网的VLAN(称之为Sub-VLAN)当做一个大的、配置三层VLANIF接口的VLAN(称之为Super-VLAN)的成员
VLAN聚合中的两类VLAN
(1)Super-VLAN:可以看成一个大的VLAN,或者说是Sub-VLAN的上层VLAN。但与通常意义上的VLAN不同,因为他的成员就是Sub-VLAN,而不是交换机端口(里面不能添加交换机端口),但需要创建三层VLANIF接口(所以Super-VLAN只能在三层交换机上创建),并配置IP。每个VLAN聚合中只能有一个Super-VLAN。
(2)Sub-VLAN:它是Super-VLAN的成员,每个VLAN聚合中可以有一个或多个Sub-VLAN。各Sub-VLAN成员都同处于一个IP子网中,用来对同一个IP子网中的不同用户进行二层隔离,但不能创建三层VLANIF接口(可以在二层或三层交换机上创建)。这些Sub-VLAN中的成员就是各用户所连接的交换机端口,但各个Sub-VLAN中的用户网关IP地址都是Super-VLAN的VLANIF接口IP地址,以实现Sub-VLAN成员间,以及与外部网络的三层通信。
各个Sub-VLAN将共用一个IP子网、同一个子网缺省网关地址和同一个子网定向广播地址。
一、Sub-VLAN通信原理
在VLAN聚合中,Super-VLAN必须配置三层VLANIF接口,但不能有交换机端口成员;各个Sub-VLAN成员同处Super-VLAN的VLANIF接口IP地址所在的一个IP子网中,必须有交换机端口成员,但不能配置三层的VLANIF接口。
Sub-VLAN间的三层通信原理:
Sub-VLAN的主机只会做二层转发,不会通过网关进行三层转发,造成Sub-VLAN间无法二层和三层通信。解决方法是在Super-VLAN的VLAN接口上启用ARP Proxy(ARP代理)功能。使这个VLANIF接口作为各Sub-VLAN中的主机间通信的ARP代理,代理接收和转发这些主机间的ARP查寻请求和响应包,以最终实现各Sub-VLAN间的三层通信。
每个Sub-VLAN中的主机最终只能创建本广播域中的节点(包括网关)ARP映射表项,因为通过网关得到的ARP应答包中的源MAC地址都是网关自己的MAC地址,而不是真正的外部VLAN或网络中主机的MAC地址。
Sub-VLAN与外部网络的二层通信:
在基于端口划分的VLAN的二层通信中,无论是数据帧进入交换机端口还是从交换机端口发出都不会有针对Super-VLAN的数据帧,因为Super-VLAN中没有物理端口成员。
如上图7-5,在Switch1上创建了Super-VLAN10,以及VLAN2和VLAN3这两个Sub-VLAN。从HostA侧Port1进入设备Switch1的帧会被打上VLAN2的标签,在Switch1中这个标签不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的标签。该数据从Trunk类型的接口Port3出去时,依然是携带VLAN2的标签。就是说Switch1本身不会发出VLAN10的数据帧。就算其他设备有VLAN10的数据帧发送到该设备上,这些数据帧也会因为Switch1上没有VLAN10对应的物理端口成员而最终被丢弃。
Super-VLAN中绝对不能存在物理端口。此时在配置Trunk端口和创建Super-VLAN的顺序上还需要注意一下两个方面:
(1)如果先配置了Super-VLAN,在配置Trunk接口时,Trunk的VLAN许可列表项里就自动过滤了Super-VLAN。如图7-5,虽然Switch1的Port3允许所有的VLAN通过,但是也不会有作为Super-VLAN的VLAN10的数据帧从该接口进出。
(2)如果先配置好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因就是有物理端口的VLAN都不能被配置为Super-VLAN,而配置允许所有VLAN通过,则该Trunk端口就自动成为所有VLAN的成员,这样自然所有VLAN都不能配置为Super-VLAN。对于图7-5的Switch1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发。
Sub-VLAN与外部网络的三层通信原理:
所有Sub-VLAN都是通过Super-VLAN的VLANIF接口作为网关与外部网络进行三层通信的。图7-6是Sub-VLAN与外部网络的三层通信原理。
主机A发现C和自己不在同一个子网,于是主机A发送一个ARP请求给自己的网关(位于Switch1上的Super-VLAN4接口),请求网关的MAC地址;关键就在于Switch1在收到该ARP请求后,查找Sub-VLAN和Super-VLAN的对应关系,从Sub-VLAN2发送ARP应答给主机A。ARP应答数据帧中的源MAC地址为Super-VLAN4对应的VLANIF4的MAC地址。以后就是正常的路由转发。
要实现VLAN聚合功能,至少需要以下配置任务:
(1)创建Super-VLAN和各个Sub-VLAN。
(2)把各个Sub-VLAN中的用户计算机成员均配置在同一IP子网中,然后基于端口划分方式加入对应的Sub-VLAN中。
(3)为Super-VLAN创建三层VLANIF接口,并配置与各Sub-VLAN中用户计算机在同一IP子网中的IP。
(4)在Super-VLAN的三层VLANIF接口上使能ARP代理功能,以实现不同Sub-VLAN间的三层互通。
必须:先创建、配置各个Sub-VLAN,再创建、配置Super-VLAN,然后设置trunk端口。
实验1:一台交换机上进行配置,不需要配置Trunk口,Sub-VLAN间通信。
只有使能了ARP代理后,Sub-VLAN之间才能相通。
实验2:跨设备的VLAN聚合
Sub-VLAN:2、3
Super-VLAN:4
IP子网:192.168.1.0/24
GW(Super-VLAN的VLANIF):192.168.1.254
配置后,所有的PC相互都能PING通。
增加一个交换机,实现跨设备三层互通。
LSW1的GE0/0/4与LSW5的GE0/0/1相连,VLAN配置5,PC7的IP:192.168.10.1,网关192.168.10.254
MUX VLAN配置
场景:用户处于一个IP子网中,希望在所有员工都能直接二层访问网络中的某些关键设备的同时一部分员工彼此之间二层隔离。MUX VLAN(Multiplex VLAN,复合VLAN)提供的二层流量隔离机制可实现以上双重目的,包括两个层次的VLAN,即Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),只是一种关联关系,不是内层和外层VLAN关系。从VLAN又分为两类,即Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。
MUX VLAN具有以下特性:
(1)主VLAN可以与任何从VLAN间直接二层通信
(2)任何不同从VLAN(包括隔离型从VLAN和互通型从VLAN)间都不能直接二层通信。
(3)互通型从VLAN内部的用户间可直接二层通信,隔离型从VLAN内部的用户间不能直接通信,起到在同一个VLAN内实现各用户相互二层隔离的目的。
上图为典型应用,企业可以用Principalport连接用户需要共同访问的企业服务器,Separate port连接企业客户,Group port连接企业员工,这样就能实现企业客户、企业员工都能访问企业服务器,而企业员工内部可以通信,企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
基本配置任务:
(1)创建一个主VLAN,一个或多个隔离型从VLAN和互通型从VLAN;
(2)在加入以上各VLAN的交换机端口上使能MUXVLAN功能。
指定VLAN ID已经用于主VLAN,则该VLAN不能配置VLANIF接口,也不能配置VLANMapping、VLAN Stacking、Super-VLAN、Sub-VLAN功能。如果某VLAN已经配置为Super-VLAN、Sub-VLAN或从VLAN,则该VLAN不能配置为主VLAN;
从VLAN又分为互通型从VLAN(Group VLAN)和隔离型从VLAN(SeparateVLAN)两类。但一个MUX VLAN不一定要求同时包括这两种从VLAN,且一个主VLAN下只能配置一个隔离型从VLAN,却可以最多配置128个互通型从VLAN
当指定VLAN ID已经用于互通型从VLAN或隔离型从VLAN,或者主VLAN,则该VLAN不能配置VLANIF接口,也不能配置VLANMapping、VLANStacking、Super-VLAN、Sub-VLAN功能。
只有使能端口MUX VLAN功能后,才能达到主VLAN与从VLAN之间通信、互通型从VLAN内的端口可以相互通信和隔离型从VLAN端口间不能相互通信的目的。但要特别注意,在MUX VLAN中的所有终端设备连接的交换机端口必须是以Access类型或HybridUntagged类型加入的,且端口只能允许一个VLAN通过。
禁止端口MAC地址学习功能或限制端口MAC地址学习数量会影响MUXVLAN功能的正常使用,不能在同一端口上同时配置MUX VLAN和接口安全功能;不能在同一端口上同时配置MUX VLAN和MAC认证功能;不能在同一端口上同时配置MUX VLAN和802.1x认证功能。
实验1:
如上拓扑,要实现PC1、2、3在同一个子网,但相互隔离,能访问Server,PC5、6同一子网,互通,能访问Server,PC786同一子网,互通,能访问Server。
如上设置后,所有PC都能够PING通Server,同一个从VLAN中的PC1、2、3互相之间不通,因为是隔离型VLAN,同一个从VLAN中的PC5、6之间,PC7、8之间互通,因为是互通型VLAN。
在主VLAN中增加一台主机:
此主机与其他所有机器都互通。
测试端口使用hybrid Untagged类型
测试不成功,一直有错误提示:Error: Only one VLAN can be configured on the port,仅仅只能有一个VLAN配置在这个端口上,配置的应该也只是一个VLAN5,为什么会出错???
尝试给VLANIF配置IP:
无法进入VLANIF界面。
现在就有一个问题:是不是复合型VLAN不能进行跨三层的交互???
实验1:跨设备复合VLAN
