VLAN高级技术

简介: VLAN高级技术

VLAN聚合(Super-VLAN)

使用VLSM来节约地址带来的坏处:分成多个网段,会浪费掉多个网络地址和广播地址。如:192.168.1.0/24,这个网段中,192.168.1.0和192.168.1.255两个地址不能用。如果分成两个网段,192.168.1.0/25和192.168.1.128/25,那么就会有4个地址不能用(192.168.1.0/25和192.168.1.128/25的网络地址和广播地址),同样也会造成浪费IP地址。

VLAN聚合指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。

Super-VLAN:只建立三层VLANIF接口,不包含物理接口,也不能access或者trunk与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态。

Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。

缺省,Sub-VLAN只与Super-VLAN和相同Sub-VLAN内通信,不同Sub-VLAN之间不能通信。(在VLANIF接口开启ARP代理,Sub-VLAN之间可以通信)

VLAN10可以访问VLAN100,VLAN20也可以访问VLAN100,VLAN30……,VLAN40……,但是VLAN10和VLAN20、30、40不可以互访。

VLAN聚合的作用

传统VLAN方式每个VLAN需要使用不同的IP地址网段和网关,浪费IP地址。而Super-VLAN方式只需要分配一个IP地址,Sub-VLAN共用同一个IP网段和网关,同时VLAN之间还保持二层隔离。

在传统VLAN,相同网段,不同VLAN是不能互通的,因为相同网段是走二层通信,而VLAN隔离了二层广播。但VLAN聚合,可以实现相同网段,不同VLAN通信,使用三层进行通信。

基本配置

aggregate-vlan   //创建super-vlan,在主vlan视图下执行
access-vlan      //把sub-vlan加入到super-vlan中,在主vlan视图下执行
arp-proxy inter-sub-vlan-proxy enable   //开启super-vlan对应的vlanif接口下的ARP代理功能,使三层接口可以发送ARP广播,在主vlan视图下执行

案例分析

如上述拓扑图:

SW1的VLAN100为Super-VLAN

SW2的VLAN10为Sub-VLAN

SW3的VLAN20为Sub-VLAN

完成上述配置后,PC1可以ping通PC2,也可以ping通VLANIF100,但是不能pingPC3和PC4;同理,PC3可以ping通PC4,也可以ping通VLANIF100,但是不能ping通PC1和PC2。

得出结论:Sub-VLAN内部可以通信,Sub-VLAN之间不可以通信,且Sub-VLAN都可以与Super-VLAN通信。

那么如果想Sub-VLAN之间可以通信,要怎么做?

答:可以在VLAN100视图下,执行arp-proxy inter-sub-vlan-proxy enable命令,开启VLANIF接口的ARP代理功能,则可以实现Sub-VLAN间的三层通信。

通信过程:PC1pingPC3

1.PC1发现PC3与自己在同一网段,且自己ARP表无PC3对应表项,则直接发送ARP广播请求PC3的MAC地址。

2.作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求,由于网关上使能Sub-VLAN间的ARP代理功能,则向Super-VLAN 100的所有Sub-VLAN接口发送一个ARP广播,请求PC3的MAC地址。

3.PC3收到网关发送的ARP广播后,对此请求进行ARP应答。

4.网关收到PC3的应答后,就把自己的MAC地址回应给PC1,PC1之后要发给PC3的报文都先发送给网关,由网关做三层转发。

如果三层交换机要与外部设备进行通信,由于设置了super-vlan,该VLANIF接口就不能再与物理接口作其他绑定,此时可以再起一个VLANIF接口与外部通信。

MUX VLAN

MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)

Principal port可以和MUX VLAN内的所有接口进行通信。

互通性VLAN只能内部通信,以及和主VLAN通信,互通性VLAN之间不能通信。

每个Group VLAN必须绑定一个Principal VLAN。

隔离性VLAN只能与主VLAN通信。

每个Separate VLAN必须绑定一个Principal VLAN。

当有以下需求时:

VLAN10和VLAN20、VLAN30都可以访问VLAN40内的服务器Server,

但是VLAN10和VLAN20、VLAN30不能互访,且VLAN10和VLAN20内部终端可以互访,VLAN30内部终端不可以互访。

根据以上要求可以配置MUX VLAN,VLAN10和VLAN20配置为互通性VLAN(Group VLAN),VLAN30配置为隔离性VLAN,VLAN40配置为主VLAN。

基本配置

mux-vlan   //配置该VLAN为MUX VLAN,即主VLAN
subordinate group   //配置从VLAN中的互通性VLAN
subordinate separate   //配置从VLAN中的隔离性VLAN 
port mux-vlan enable   //使能接口的MUX VLAN

QINQ

随着以太网技术在网络中的大量部署,利用VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特,仅能表示4096个VLAN,无法满足城域以太网中标识大量用户的需求,于是QinQ技术应运而生。

QinQ(802.1Q in 802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。

比如A公司和B公司都有一个VLAN10要在公网上通过,如果运营商在交换机上只放行VLAN10的话,那么B公司的数据可能会传到A公司,为了防止这种情况出现,运营商可以使用QINQ技术,在公网上的交换机设置trunk链路,放行vlan100和vlan200,在原有的Tag10上,打上一层外层标签,用于识别公司,vlan100对应A公司,vlan200对应B公司,这样一来,B发来的数据就会被打上VLAN200的标签在公网上传输,到B公司之后,再拆掉VLAN200的标签,使用VLAN10在B公司内部传输。

QINQ封装结构

802.1     目的MAC  源MAC  Type/Length  DATA  FCS

802.1Q  目的MAC  源MAC  802.1Q VLAN Tag  Type/Length  DATA FCS

QINQ    目的MAC  源MAC  外层TAG/内层TAG  Type DATA FCS

TPID(Tag Protocol Identifier,标签协议标识)表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。

CFI (Canonical Format Indicator,标准格式指示位),表示MAC地址在不同的传输介质中是否以标准格式进行封装,用于兼容以太网和令牌环网。

基本QINQ

报文处理过程:

1.SW1收到VLAN ID为10和20的报文,将该报文发给SW2。

2.SW2收到该报文后,在该报文原有Tag的外侧再添加一层VLAN ID 100的外层Tag

3.带着两层Tag的用户数据报文在网络中按照正常的二层转发流程转发。

4.SW3收到VLAN100的报文后,剥离报文的外层TagVLAN ID 100)。将报文发送给SW4,此时报文只有一层TagVLAN ID 1020)。

5.SW4收到该报文,根据VLAN ID和目的MAC地址进行相应的转发。

基本配置

port link-type dot1q-tunnel  //配置接口类型为dot1q-tunnel
qinq protocol 9100    //使能QINQ协议,9100是固定值
相关文章
|
网络协议 算法 网络虚拟化
【HCIP】03.VLAN高级技术(一)
【HCIP】03.VLAN高级技术
109 0
|
网络架构
【神州数码】BGP路由器案例
【神州数码】BGP路由器案例
176 0
|
3月前
|
定位技术 网络虚拟化 数据中心
VLAN与VXLAN技术解析:仅一字之差的深远区别
通过深入了解VLAN与VXLAN的技术细节和应用场景,网络工程师可以根据具体需求选择最合适的技术来优化网络架构。对于现代网络环境,尤其是大规模和多变的网络结构,理解并合理运用这些技术是提高网络效率和安全性的关键。
101 1
|
7月前
|
前端开发 网络安全 网络架构
【华为数通HCIP | 网络工程师】821-BGP 组播高频题与解析(1)
【华为数通HCIP | 网络工程师】821-BGP 组播高频题与解析(1)
455 0
|
新制造 SDN 网络虚拟化
SD-WAN 大战 MPLS VPN 多年,赢了吗?
在过去的10年中,SDN(软件定义网络)已在数据中心和云节点之间的网络中得到广泛应用。而SD-WAN(软件定义广域网)则解决了各种复杂的广域网连接场景,成为大多数中小型企业组网的首选方案。 尽管当前SD-WAN市场有着广泛的应用,但在经过近几年的发展后,我们也开始意识到SD-WAN面临着各种问题,其中有些问题是不可调和的。那么,SD-WAN的发展面临哪些阻碍?如何应对这些挑战?本文将着重探讨这些问题,同时分享行业的最佳实践。
SD-WAN 大战 MPLS VPN 多年,赢了吗?
|
网络协议 网络虚拟化
【HCIP】03.VLAN高级技术(二)
【HCIP】03.VLAN高级技术
65 0
|
存储
思科学院cisco-以太网概念
思科学院cisco-以太网概念
|
网络虚拟化
下一篇
DataWorks