本章记录一个关于 vlan 聚合即:SuperVlan 的小作业实验。
# 拓扑与要求
要求:
利用三层交换机技术实现主机在不同 vlan 下通信
可以相互隔离情况下开 ARP 代理实现三层通信
# 参考配置
ip 配置忽略
SW1
[S1]vlan batch 2 to 3 10 | |
[S1]vlan 10 | |
[S1-vlan10]aggregate-vlan | |
[S1-vlan10]access-vlan 2 to 3 | |
[S1]interface Vlanif10 | |
[S1-Vlanif10]ip address 10.1.1.254 255.255.255.0 | |
[S1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable | |
[S1]interface GigabitEthernet0/0/1 | |
[S1-GigabitEthernet0/0/1]port link-type access | |
[S1-GigabitEthernet0/0/1]port default vlan 2 | |
[S1]interface GigabitEthernet0/0/2 | |
[S1-GigabitEthernet0/0/2]port link-type access | |
[S1-GigabitEthernet0/0/2]port default vlan 3 |
# 知识点
UPER VLAN又称为VLAN聚合(VLAN AGGREGATION), | |
其原理是一个SUPER VLAN包含多个SUB VLAN,SUPER VLAN可配置虚接口的IP地址。 | |
每个SUB VLAN是一个广播域,不同的SUB VLAN之间二层相互隔离,SUB VLAN不能配置虚接口IP地址。 | |
当SUB VLAN内的用户需要进行三层通信时,将使用SUPER VLAN的虚接口的IP地址作为网关地址,这样多个VLAN共享一个IP地址,从而节省了IP地址资源。 | |
同时,为了实现不同SUB VLAN之间的三层互通及SUB VLAN与其它网络的互通,需要利用ARP代理功能。 | |
通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。缺省状态下,SUB VLAN下的ARP代理功能是关闭的。 |
- 刚开始三层无法通信,是因为不同 vlan,ARP 不能到达
- 让 PC1 能请求到 PC2 的 MAC 地址即为:ARP 代理。例:arp-proxy inner-sub-vlan-proxy enable
- 实现过程如下:
同网段不同VLAN通信 | |
PC1-----网关------PC2 | |
1、PC1发送ARP请求(目的IP为PC2)------- 被网关收到 | |
2、网关收到之后也发送ARP请求(广播),目的IP为PC2-----PC2收到 | |
3、PC2单播回复ARP响应给网关(IP:PC2,Mac:PC2) | |
4、网关给PC1单播回复ARP响应(IP:PC2,Mac:网关) |
配置 ARP 代理后,两台 PC 即可互相通信,在二层隔离的情况下。
SuperVLan 主要配置
/配置super vlan | |
system-view | |
vlan 3 | |
supervlan //定义supervlan | |
quit | |
vlan 33 | |
port ethernet3/1/3 //定义属于sub vlan的端口 | |
quit | |
vlan 3 | |
subvlan 33 //定义super vlan与sub vlan之间的映射关系 | |
vlan 33 | |
arp proxy enable //开启sub vlan的arp proxy功能 |
# 注意
注意: | |
super vlan中不能包含端口 | |
当设置vlan为super vlan后,该vlan接口上的ARP代理自动开启,无需配置 | |
在super vlan存在时,其对应的vlan接口的arp代理不能关闭。默认的vlan不能被创建成super vlan。可以向每一个sub vlan中添加多个端口(非上行端口) | |
sub vlan不能配置虚接口。undo subvlan vlan-id命令如果不带vlan-id的话,就解除所有sub vlan和指定super vlan之间的映射关系;如果带有vlan-id的话就解除指定的sub vlan和指定super vlan之间的映射关系。 | |
super vlan下请不要使能组播vlan 和 igmp-snooping。 |
# xxxxxxxxxx 注意:一个接口下接收到的帧携带的 VLAN Tag 的 VLAN ID 和映射后的 VLAN Tag 的 VLAN ID 不能相同。映射后的外层 VLAN 必须存在,且接口必须以 Tagged 方式加入映射前后的 VLAN。VLAN Stacking 和 VLAN Mapping 功能可以同时生效,但是同时配置的多个 CE 的 VLAN ID 不能重复,映射前后的 VLAN Tag 的 VLAN ID 也不能与之重复。PE 的 VLAN ID 配置要求也一样。二层以太网接口上只支持基于 VLAN ID 的 VLAN Mapping 功能,不支持基于 802.1p 或者 VLAN ID+802.1p 优先级的 VLAN Mapping 功能。接口下可以配置多条该命令,所有接口下一共可以配置最多 128 条 VLAN Mapping。text
- super vlan 配置举例:
需要创建 super vlan 10 和 sub vlan:2 3 5。端口 1、2 属于 vlan 2;3、4 属于 VLAN 3;5、6 属于 VLAN 5,由于 VLAN 之间能够满足二层隔离,现要求 sub vlan 两两之间三层互通。
system-view | |
vlan 10 | |
super vlan | |
vlan 2 | |
port ethernet3/1/1 ethernet3/1/2 | |
arp proxy enable | |
vlan 3 | |
port ethernet3/1/3 ethernet3/1/4 | |
arp proxy enable | |
vlan 5 | |
port ethernet 3/1/5 ethernet3/1/6 | |
arp proxy enable | |
vlan 10 | |
subvlan 2 3 5 | |
interface vlan 10 | |
ip address 10.110.1.1 255.255.255.0 |
