VLAN聚合(Super-VLAN)
使用VLSM来节约地址带来的坏处:分成多个网段,会浪费掉多个网络地址和广播地址。如:192.168.1.0/24,这个网段中,192.168.1.0和192.168.1.255两个地址不能用。如果分成两个网段,192.168.1.0/25和192.168.1.128/25,那么就会有4个地址不能用(192.168.1.0/25和192.168.1.128/25的网络地址和广播地址),同样也会造成浪费IP地址。
VLAN聚合指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
Super-VLAN:只建立三层VLANIF接口,不包含物理接口,也不能access或者trunk与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态。
Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
缺省,Sub-VLAN只与Super-VLAN和相同Sub-VLAN内通信,不同Sub-VLAN之间不能通信。(在VLANIF接口开启ARP代理,Sub-VLAN之间可以通信)
VLAN10可以访问VLAN100,VLAN20也可以访问VLAN100,VLAN30……,VLAN40……,但是VLAN10和VLAN20、30、40不可以互访。
VLAN聚合的作用
传统VLAN方式每个VLAN需要使用不同的IP地址网段和网关,浪费IP地址。而Super-VLAN方式只需要分配一个IP地址,Sub-VLAN共用同一个IP网段和网关,同时VLAN之间还保持二层隔离。
在传统VLAN,相同网段,不同VLAN是不能互通的,因为相同网段是走二层通信,而VLAN隔离了二层广播。但VLAN聚合,可以实现相同网段,不同VLAN通信,使用三层进行通信。
基本配置
aggregate-vlan //创建super-vlan,在主vlan视图下执行 access-vlan //把sub-vlan加入到super-vlan中,在主vlan视图下执行 arp-proxy inter-sub-vlan-proxy enable //开启super-vlan对应的vlanif接口下的ARP代理功能,使三层接口可以发送ARP广播,在主vlan视图下执行
案例分析
如上述拓扑图:
SW1的VLAN100为Super-VLAN
SW2的VLAN10为Sub-VLAN
SW3的VLAN20为Sub-VLAN
完成上述配置后,PC1可以ping通PC2,也可以ping通VLANIF100,但是不能pingPC3和PC4;同理,PC3可以ping通PC4,也可以ping通VLANIF100,但是不能ping通PC1和PC2。
得出结论:Sub-VLAN内部可以通信,Sub-VLAN之间不可以通信,且Sub-VLAN都可以与Super-VLAN通信。
那么如果想Sub-VLAN之间可以通信,要怎么做?
答:可以在VLAN100视图下,执行arp-proxy inter-sub-vlan-proxy enable命令,开启VLANIF接口的ARP代理功能,则可以实现Sub-VLAN间的三层通信。
通信过程:PC1pingPC3
1.PC1发现PC3与自己在同一网段,且自己ARP表无PC3对应表项,则直接发送ARP广播请求PC3的MAC地址。
2.作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求,由于网关上使能Sub-VLAN间的ARP代理功能,则向Super-VLAN 100的所有Sub-VLAN接口发送一个ARP广播,请求PC3的MAC地址。
3.PC3收到网关发送的ARP广播后,对此请求进行ARP应答。
4.网关收到PC3的应答后,就把自己的MAC地址回应给PC1,PC1之后要发给PC3的报文都先发送给网关,由网关做三层转发。
如果三层交换机要与外部设备进行通信,由于设置了super-vlan,该VLANIF接口就不能再与物理接口作其他绑定,此时可以再起一个VLANIF接口与外部通信。
MUX VLAN
MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)
Principal port可以和MUX VLAN内的所有接口进行通信。
互通性VLAN只能内部通信,以及和主VLAN通信,互通性VLAN之间不能通信。
每个Group VLAN必须绑定一个Principal VLAN。
隔离性VLAN只能与主VLAN通信。
每个Separate VLAN必须绑定一个Principal VLAN。
当有以下需求时:
VLAN10和VLAN20、VLAN30都可以访问VLAN40内的服务器Server,
但是VLAN10和VLAN20、VLAN30不能互访,且VLAN10和VLAN20内部终端可以互访,VLAN30内部终端不可以互访。
根据以上要求可以配置MUX VLAN,VLAN10和VLAN20配置为互通性VLAN(Group VLAN),VLAN30配置为隔离性VLAN,VLAN40配置为主VLAN。
基本配置
mux-vlan //配置该VLAN为MUX VLAN,即主VLAN subordinate group //配置从VLAN中的互通性VLAN subordinate separate //配置从VLAN中的隔离性VLAN port mux-vlan enable //使能接口的MUX VLAN
QINQ
随着以太网技术在网络中的大量部署,利用VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特,仅能表示4096个VLAN,无法满足城域以太网中标识大量用户的需求,于是QinQ技术应运而生。
QinQ(802.1Q in 802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。
比如A公司和B公司都有一个VLAN10要在公网上通过,如果运营商在交换机上只放行VLAN10的话,那么B公司的数据可能会传到A公司,为了防止这种情况出现,运营商可以使用QINQ技术,在公网上的交换机设置trunk链路,放行vlan100和vlan200,在原有的Tag10上,打上一层外层标签,用于识别公司,vlan100对应A公司,vlan200对应B公司,这样一来,B发来的数据就会被打上VLAN200的标签在公网上传输,到B公司之后,再拆掉VLAN200的标签,使用VLAN10在B公司内部传输。
QINQ封装结构
802.1 目的MAC 源MAC Type/Length DATA FCS
802.1Q 目的MAC 源MAC 802.1Q VLAN Tag Type/Length DATA FCS
QINQ 目的MAC 源MAC 外层TAG/内层TAG Type DATA FCS
TPID(Tag Protocol Identifier,标签协议标识)表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
CFI (Canonical Format Indicator,标准格式指示位),表示MAC地址在不同的传输介质中是否以标准格式进行封装,用于兼容以太网和令牌环网。
基本QINQ
报文处理过程:
1.SW1收到VLAN ID为10和20的报文,将该报文发给SW2。
2.SW2收到该报文后,在该报文原有Tag的外侧再添加一层VLAN ID 为100的外层Tag。
3.带着两层Tag的用户数据报文在网络中按照正常的二层转发流程转发。
4.SW3收到VLAN100的报文后,剥离报文的外层Tag(VLAN ID 为100)。将报文发送给SW4,此时报文只有一层Tag(VLAN ID 为10或20)。
5.SW4收到该报文,根据VLAN ID和目的MAC地址进行相应的转发。
基本配置
port link-type dot1q-tunnel //配置接口类型为dot1q-tunnel qinq protocol 9100 //使能QINQ协议,9100是固定值
