Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1328934
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2011-12-28 15:28:53

Super 概念

  Super VLAN又称为VLAN聚合(VLAN Aggregation),其原理是Super VLAN包含多个Sub VLAN,每个Sub VLAN是广播域,不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。

 

  当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的作为网关,这样多个Sub VLAN共用一个网段,从而节省了IP地址资源。

 

  同时,为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。

 

  super vlan 是节省IP地址的.可以让不同VLAN的网关使用同一个IP.而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理 的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPER VLAN就是激活的.

 

  PVLAN 是节省VLAN数的.PVLAN把一个VLAN划分成若干个子VLAN,每个VLAN都是物理的,都是要加入实际的端口才能激活的.

 

  两者是有区别的,应用在不同场合.当目前已经用的比较少了,因为有更先进的QinQ技术,可以给一个数据打2层的VLAN标记.

 

  super vlan 可以实现同一个VLAN 内的端口间的隔离

 

  当然,前提是交换机支持VLAN聚合。现在一般的三层交换机都支持,对用户作用也很大。一旦我们使用VLAN聚合功能,就允许客户端在同一子网 里使用 不同的广播域,但是这些客户端使用的还是同一个路由接口,从而达到增强IP地址利用率的目的。可以跟VLAN做比较,通常一个VLAN,一个子网,也即一 个广播域,一个路由接口(本文中谈的都是三层VLAN),而VLAN聚合则把一个子网段分成地址段,即几个广播域,IP地址和路由接口都不变,至于子网段 之间的通讯与否,可以根据需要设置。

 

  使用VLAN聚合时,超VLAN可以定义一个任意IP地址,但是没有自己的成员端口,端口都是指定在子VLAN中。子VLAN作为超VLAN的 成员, 并没有自己的IP地址,而是使用超VLAN的IP地址作为自己的路由接口地址。通常,客户端都是指定在子VLAN内,我们可以在子VLAN中有选择的分配 给一些地址段,前提是这些地址段必须在超VLAN的子网范围内,以便于我们更好的管理IP地址。当然,根据需要,我们可以控制各子VLAN之间是否需要通 讯。我们平时使用时,子VLAN可以很小,但是必须要为今后网络的扩容而且不重新定义子网的情况留下空间,

 

  假如不使用VLAN聚合,即通常使用VLAN的情况,每个VLAN需要一个路由接口地址,并且需要大的子网。结果是不能有效的利用IP地址,造成浪费。

 

  VLAN聚合是VLAN的一项比较独特的功能,在使用中有如下特性:

 

  ●所有广播包和未知流量都局限在子VLAN内部,不会跨越子VLAN边界。子VLAN内部的所有流量只在子VLAN内部交换,这样可以有效的隔离子VLAN之间的流量。

 

  ●客户端即主机都放置在子VLAN内。在超VLAN的路由接口地址范围内,每台主机可以任意设置一个IP地址。在子VLAN内的每台主机的子网掩码都是和超VLAN定义的子网掩码相同,并且他们的路由地址即网关就是超VLAN的路由接口地址。

 

  ●子VLAN之间的所有流量都是通过超VLAN来路由的。例如,在子VLAN间不会有ICMP重定向产生,因为超VLAN为子VLAN进行了路 由。当 一个子VLAN加入到超VLAN中时,在IP arp表中会自动加入一个arp表项,这就使得IP单播包可以穿越子VLAN。为安全起见,我们可以关闭掉 这项功能。

 

  ●当超VLAN启用组播路由协议时,子VLAN间的IP组播流量将被路由。

 

  当然,VLAN聚合也有它的局限性:

 

  ●子VLAN不能有其他的路由接口,它的路由只能在超VLAN上进行。

 

  ●子VLAN不能成为超VLAN。

 

  ●子VLAN不能指定IP地址,即路由接口地址。

 

  ●通常,超VLAN没有成员端口,除了一些特定场合。

 

  ●如果客户机从一个子VLAN移到另一个子VLAN,必须在客户机和交换机上清除IP arp缓存以继续通讯。

 

  通常,我们还可以给每个子VLAN设置地址段,以避免地址段以外的非法客户端进入网络。但是我们要注意,假如多个子VLAN定义了重复的地址段,交换机并不提供错误检查,从而在超VLAN和子VLAN的arp过程中带来错误。这一点尤其要注意。

 
 
实际环境中的应用例举

  实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。当不同Sub VLAN中的主机需要相互之间通讯时,需要在Super VLAN开启ARP代理。

 

  VLAN聚合产生了一个更加有效地地址分配体系,这种模式也给网络工程师提供了一种规范的默认网关分配的机制。VLAN Aggregation具有以下特点:

 

  n 若干个小VLAN(Sub VLAN)同属于一个大VLAN(Super VLAN)。

 

  n Super VLAN对应IPv4子网地址,所有该Super VLAN的Sub VLAN都属于该子网。

 

  n Sub VLAN实现广播域隔离。

 

  n 不同的Sub VLAN仍保留各自独立的广播域,实现同一子网中的广播的隔离,避免广播风暴的产生。

 

  n 同一子网Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。

 

  n 做为Super VLAN的VLAN不能包含端口,做为Sub VLAN的VLAN不能配置ip地址。

 

  配置案例

 

  步骤1 向Super VLAN super1中添加Sub VLAN sub1

 

  Harbour(config)# config vlan super1 add subvlan sub1

 

  步骤2 查看VLAN的配置信息

 

  Harbour(config)# show vlan

 

  VLAN ID : 2046

 

  Name : super1

 

  VLAN Type : Super-VLAN

 

  Mac address : 00:05:3b:58:00:a0

 

  Sub-vlan list : sub1

 

  Tagged Ports :

 

  Untagged Ports :

 

  VLAN ID : 2045

 

  Name : sub1

 

  VLAN Type : Sub-VLAN

 

  Mac address : 00:05:3b:58:00:a0

 

  Parent VLAN : super1

 

  Tagged Ports :

 

  Untagged Ports :

 

  ----------------------------------

 

  Total vlans : 3

 

  -----------------------------------------------------------------------------



CCIE Security 2009 IOS防火墙合集


阅读(1340) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~