下载文档原格式
虚拟局域网(VLAN)技术及其应用论文虚拟局域网(VLAN)技术及其应用概述:虚拟局域网(Virtual Local Area Network,简称VLAN)是一种将逻辑上的局域网分割成多个虚拟网段的技术,它能够提供更大的灵活性、可管理性和安全性。
本文将介绍VLAN技术的基本原理、分类以及在网络架构中的应用。
第一部分:VLAN的基本原理VLAN技术通过在交换机上配置虚拟局域网,将不同物理位置上的设备划分到不同的虚拟网段中,实现设备之间的通信隔离。
这样做的好处是可以在逻辑上划定出不同的逻辑子网,实现更好的网络资源管理、隔离不同用户组及提高网络性能。
第二部分:VLAN的分类在VLAN技术中,常见的分类方式有基于端口的VLAN和基于协议的VLAN。
1. 基于端口的VLAN:基于端口的VLAN是指将交换机的端口划分到不同的VLAN中,端口可以属于一个或多个VLAN。
这种方式常用于小型网络,配置简单。
2. 基于协议的VLAN:基于协议的VLAN是指根据不同的网络协议划分VLAN,常见的有802.1Q协议和ISL协议。
这种方式通常应用于大型企业网络中,可以实现更复杂的网络拓扑和灵活性。
第三部分:VLAN的应用VLAN技术在网络架构中的应用非常广泛,以下列举几个典型的应用场景:1. 提高网络安全性:通过配置VLAN,可以将不同的用户组划分到不同的VLAN中,实现隔离和限制不同用户之间的通信,有效提高网络的安全性。
比如将内部员工和访客划分到不同的VLAN中,可以避免访客对内部网络的非法访问。
2. 简化网络管理:VLAN可以根据不同的网络需求对设备进行逻辑划分,简化网络管理和维护工作。
通过VLAN技术,可以快速配置子网、实现虚拟机移动和网络服务的部署,提高网络的可管理性。
3. 提高网络性能:VLAN能够隔离广播域,减少广播风暴对网络性能的影响。
通过将物理网互相连接的交换机划分为不同的VLAN,可以提高网络性能和带宽利用率。
1Super VLAN 产生的背景在LanSwitch网络中,VLAN技术以其对广播域的灵活控制(可跨物理设备)、部署方便而得到了广泛的应用。
但是在一般的三层交换机中,通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的,这在某些情况下导致了对IP地址的较大浪费。
我们来看下面这个例子,设备内VLAN划分如图1所示。
图1 普通VLAN网络示意图表1 普通VLAN主机地址划分示例VLAN IP Subnet GatewayAddressUsableHostsCustomerHostsNeededHosts21 1.1.1.0/28 1.1.1.1 14 13 1022 1.1.1.16/29 1.1.1.17 6 5 523 1.1.1.24/30 1.1.1.25 2 1 1表1列出了地址的划分情况。
VLAN 21预计未来要有10个主机,给其分配一个掩码长28的子网——1.1.1.0 /28。
网段内子网号1.1.1.0和子网定向广播地址1.1.1.15不能用作主机地址,1.1.1.1作为子网缺省网关地址也不可作为主机地址,剩下地址范围在1.1.1.2~1.1.1.14的主机地址可以被主机使用,这部分地址共有13个()。
这样,尽管VLAN 21只需要10个地址就可以满足需求了,但是按照子网划分却要分给它13个地址。
依此类推,VLAN 22预计未来有5个主机地址需求,至少需要分配一个29位掩码的子网(1.1.1.16 /29)才能满足要求。
VLAN 23只有1个主机,则占用子网1.1.1.24 /30。
这三个VLAN总共需要10+5+1=16个地址,按照普通VLAN的编址方式,即使最优化的方案也需要占用个地址,地址浪费了将近一半。
而且,如果VLAN 21后来并没有增长到10台主机,而只增长到了3台主机,本来分一个掩码长29的子网就够用了,但之前却分了一个子网掩码长28的子网给它,多出来的地址都因不能再被其他VLAN使用而被浪费掉了。
华为交换机VLAN聚合(超级vlan)配置示例1、组网需求图1 VLAN聚合组网图如图1所示,某公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同VLAN中。
现由于业务需要,不同部门间的用户需要互通。
VLAN2和VLAN3为不同部门,现需要实现不同VLAN间的用户可以互相访问。
可以在Switch上部署VLAN聚合,实现VLAN2和VLAN3二层隔离、三层互通,同时VLAN2和VLAN3采用同一个子网网段,节省了IP地址。
2、配置思路2.1、把Switch接口加入到相应的sub-VLAN中,实现不同sub-VLAN间的二层隔离。
2.2、把sub-VLAN聚合为super-VLAN。
2.3、配置VLANIF接口的IP地址。
2.4、配置super-VLAN的Proxy ARP,实现sub-VLAN间的三层互通。
3、操作步骤3.1、配置接口类型# 配置接口GE1/0/1为Access类型。
接口GE1/0/2、GE1/0/3、GE1/0/4的配置与GE1/0/1相同,不再赘述。
<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] quit#创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。
[Switch] vlan 2[Switch-vlan2] port gigabitethernet 1/0/1 1/0/2[Switch-vlan2] quit#创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。
[Switch] vlan 3[Switch-vlan3] port gigabitethernet 1/0/3 1/0/4[Switch-vlan3] quit3.2、配置VLAN4# 配置super-VLAN。
VLAN技术介绍
VLAN(Virtual Local Area Network),虚拟局域网,它是一种技术,用于实现在单个物理网络上创建多个广播域的网络,以满足安全、管理和
性能要求。
它把多个客户端连接到一个网络,而不必拆动网线、配置新的
路由器等。
从技术上讲,VLAN是一种在多个物理网段上实现虚拟局域网
的技术,特点是虚拟的、可编程的、安全的。
VLAN是一种技术,可将一个大型物理网络划分成若干不同的局域网,这样每个局域网中的网络设备具有相同的访问权限,其中部分设备可以通
过软件配置而实现VLAN技术,以提供更多的配置选项,以满足具体的网
络需求。
一、可实现网络的数据隔离,比如将一个物理网络分为多个VLAN
(比如教师VLAN和学生VLAN),从而保护网络中关键数据和网络设备的
安全;
二、可实现网络的管理,可以在VLAN中定义组织架构,从而将一个
大型的网络映射为一系列逻辑的分组,可以更容易地管理网络设备;
三、可实现网络的优化,采用VLAN技术可以提高网络的性能,可以
降低网络的延迟,减少因物理网络的广播而造成的影响;
四、可以实现网络的安全,VLAN技术可以限制网络上流量的传播。
1Super VLAN 产生的背景在LanSwitch网络中,VLAN技术以其对广播域的灵活控制(可跨物理设备)、部署方便而得到了广泛的应用。
但是在一般的三层交换机中,通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的,这在某些情况下导致了对IP地址的较大浪费。
我们来看下面这个例子,设备内VLAN划分如图1所示。
图1 普通VLAN网络示意图表1 普通VLAN主机地址划分示例VLAN IP Subnet GatewayAddressUsableHostsCustomerHostsNeededHosts21 1.1.1.0/28 1.1.1.1 14 13 1022 1.1.1.16/29 1.1.1.17 6 5 523 1.1.1.24/30 1.1.1.25 2 1 1表1列出了地址的划分情况。
VLAN 21预计未来要有10个主机,给其分配一个掩码长28的子网——1.1.1.0 /28。
网段内子网号1.1.1.0和子网定向广播地址1.1.1.15不能用作主机地址,1.1.1.1作为子网缺省网关地址也不可作为主机地址,剩下地址范围在1.1.1.2~1.1.1.14的主机地址可以被主机使用,这部分地址共有13个()。
这样,尽管VLAN 21只需要10个地址就可以满足需求了,但是按照子网划分却要分给它13个地址。
依此类推,VLAN 22预计未来有5个主机地址需求,至少需要分配一个29位掩码的子网(1.1.1.16 /29)才能满足要求。
VLAN 23只有1个主机,则占用子网1.1.1.24 /30。
这三个VLAN总共需要10+5+1=16个地址,按照普通VLAN的编址方式,即使最优化的方案也需要占用个地址,地址浪费了将近一半。
而且,如果VLAN 21后来并没有增长到10台主机,而只增长到了3台主机,本来分一个掩码长29的子网就够用了,但之前却分了一个子网掩码长28的子网给它,多出来的地址都因不能再被其他VLAN使用而被浪费掉了。
VLAN技术详解1 前⾔VLAN技术的出现不仅仅给我们在⽹络设计和规划上提供了更多的选择,也更为安全和⽅便的管理⽹络,同时由VLAN技术引出的各种相关应⽤也是层出不穷。
可以说VLAN技术是以太⽹技术的⼀个⾰命性的变⾰,同时也是以太⽹中最为基础和关键的技术。
本⽂主要针对VLAN技术产⽣的背景、VLAN技术的原理、VLAN的相关应⽤等⼏个部分来逐⼀进⾏介绍。
2 为什么需要VLAN?为什么需要VLAN技术,它的优点在哪⾥呢?在TCP/IP协议规范中,没有VLAN的定义。
当第⼆层⽹络交换机发展到⼀定程度的时候,传统的路由器由于在性能上的不⾜,它作为⽹络节点的统治地位受到了很⼤的挑战。
既然传统路由器是⽹络的瓶颈,⽽交换机⼜有如此优越的性能,为什么不⽤交换机取代传统路由器,来构造⽹络呢?我们都知道,位于协议第2层的交换机虽然能隔离冲突域,提⾼每⼀个端⼝的性能,但并不能隔离⼴播域,不能进⾏⼦⽹划分,不能层次化规划⽹络,更⽆法形成⽹络的管理策略,因为这些功能全都属于⽹络的第三层———⽹络层。
因此,如果只⽤交换机来构造⼀个⼤型计算机⽹络,将会形成⼀个巨⼤的⼴播域,结果是,⽹络的性能反⽽降低以⾄⽆法⼯作,⽹络的管理束⼿⽆策,这样的⽹络是不可想象的。
按照TCP/IP的原理,⼀般来说,⼴播域越⼩越好,⼀般不应超过200个站点。
那么,如何在⼀个交换⽹络中划分⼴播域呢?交换机的设计者们借鉴了路由结构中⼦⽹的思路,得出了虚⽹的概念,即通过对⽹络中的IP地址或MAC地址或交换端⼝进⾏划分,使之分属于不同的部分,每⼀个部分形成⼀个虚拟的局域⽹络,共享⼀个单独的⼴播域。
这样就可以把⼀个⼤型交换⽹络划分为许多个独⽴的⼴播域,即VLAN。
VLAN(Virtual LAN)中⽂叫做虚拟局域⽹,它的作⽤就是将物理上互连的⽹络在逻辑上划分为多个互不相⼲的⽹络,这些⽹络之间是⽆法通讯的,就好像互相之间没有连接⼀样,因此⼴播也就隔离开了。
VLAN的实现原理⾮常简单,通过交换机的控制,某⼀VLAN成员发出的数据包交换机只发给同⼀VLAN的其它成员,⽽不会发给该VLAN成员以外的计算机。
Vlan间的通信详解之super-vlan VLAN聚合也称为Super-VLAN,在一个物理网络内用多个Sub-vlan隔离广播域,讲Sub-Vlan进行逻辑上捆绑成一个VLAN这个VLAN就是超级VLAN,Sub-VLAN使用相同的IP地址子网缺省网关,用于节约IP地址资源。
VLAN互通需要通过Super-VLAN三层VLANIF 接口实现Super-VLAN不会创建物理接口超级VLAN创建与Sub-Vlan捆绑关系# sw2上的配置:[sw2]sysname sw2#[sw2]vlan batch 2 to 3#将vlan4配置成super-vlan 并将vlan2和vlan3作为sub-vlan划分进super-vlan[sw2]vlan 4[sw2-vlan4]aggregate-vlan[sw2-vlan4]access-vlan 2 to 3#在sw2的vlan4上创建vlanif4接口,并配置接口地址,然后开启ARP代理功能[sw2]interface Vlanif4[sw2-Vlanif4]ip address 10.0.0.100 255.255.0.0[sw2-Vlanif4]arp-proxy inner-sub-vlan-proxy enable#[sw2]int g0/0/23[sw2-GigabitEthernet0/0/23]interface GigabitEthernet0/0/23[sw2-GigabitEthernet0/0/23]port link-type trunk[sw2-GigabitEthernet0/0/23] port trunk allow-pass vlan 2 to 3#[sw2-GigabitEthernet0/0/23]int g0/0/24[sw2-GigabitEthernet0/0/24] port link-type trunk[sw2-GigabitEthernet0/0/24] port trunk allow-pass vlan 2 to 3最后记得将所有终端电脑的网关修改为super-vlan的vlanif接口IP地址:10.0.0.100。
虚拟专用网络(VLAN)技术解析虚拟专用网络(VLAN)技术是一种通过物理网络基础设施划分逻辑网络的技术。
通过将网络中的设备划分为不同的虚拟网络,VLAN 技术能够提供更高的网络灵活性和管理效率。
本文将对VLAN技术进行详细解析,包括其原理、优势以及在实际网络中的应用。
一、VLAN技术原理VLAN技术通过在现有的物理网络基础设施上创建逻辑网络,实现对不同设备的逻辑隔离。
它通过在交换机上设置虚拟局域网,将不同的设备划分到不同的虚拟网络中,实现逻辑上的隔离和独立。
虽然这些设备可能连接在同一个交换机上,但它们之间的通信会受到VLAN 的限制,只能在同一个VLAN内部进行。
在VLAN技术中,每个VLAN都有一个唯一的标识符,称为VLAN ID。
这个ID用于标识属于同一个VLAN的设备,从而实现设备之间的逻辑隔离。
交换机上的端口可以被配置为属于一个或多个VLAN,这使得设备可以存在于不同的虚拟网络中。
二、VLAN技术的优势1. 提高网络的灵活性:VLAN技术能够根据实际需求灵活地划分和重新配置虚拟网络,而无需进行物理调整。
这为网络管理员带来了极大的方便,减少了网络运维的工作量和复杂性。
2. 提高网络安全性:VLAN技术能够实现设备之间的逻辑隔离,从而提高网络的安全性。
不同的VLAN之间无法直接通信,这有效地防止了未经授权的访问和潜在的攻击。
3. 提高网络性能:VLAN技术可以减少网络中广播带来的负担,提高网络性能和带宽利用率。
通过将广播限制在同一个VLAN内部,可以避免广播风暴对整个网络的影响。
4. 简化网络管理:VLAN技术能够将网络管理任务划分到不同的虚拟网络中,实现对网络资源和策略的独立管理。
这使得网络管理员能够更加精确地配置和监控虚拟网络,简化了网络管理过程。
三、VLAN技术的应用VLAN技术在实际网络中有广泛的应用。
以下是一些常见的应用场景:1. 部门划分:在企业内部网络中,可以通过VLAN技术将不同部门的设备划分为不同的虚拟网络。
关于PVLAN和Super VLANPVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。
尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN (Secondary VLAN)。
辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
①混杂端口(Promiscuous Port)②主机端口(Host Port)其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。
因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。
那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
pVLAN通信范围:primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
community VLAN:可以同那些处于相同community VLAN内的community port通信,也可以与pVLAN中的promiscuous端口通信。
VLAN技术原理与配置VLAN(Virtual Local Area Network)是一种虚拟局域网技术,它能够将物理上分离的设备连接到一个逻辑上的局域网中,从而实现更好的网络管理和资源隔离。
VLAN技术主要依赖于交换机来实现,通过交换机的配置,可以将不同端口上的设备划分到不同的VLAN中。
在本文中,我们将详细介绍VLAN技术的原理和配置。
1.VLAN的原理:VLAN的原理可以被理解为将一个物理交换机划分成多个虚拟的逻辑交换机。
每个VLAN都有自己的广播域,意味着同一个VLAN中的设备可以互相通信,而不同VLAN中的设备则需要通过路由器进行通信。
这样,VLAN可以提高网络安全性和性能。
2.VLAN的配置:VLAN的配置需要在交换机上进行。
下面是一个典型的VLAN配置步骤:步骤1:创建VLAN首先,需要创建VLAN并指定一个唯一的VLAN ID。
VLAN ID是一个数字,可以在1到4094之间选择。
不同交换机的具体操作可能略有不同,但一般可以通过交换机的命令行界面或Web界面来完成。
例如,在Cisco交换机上,可以使用以下命令创建一个VLAN:```Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# name Sales```上述命令将创建一个VLAN ID为10的VLAN,并将其命名为“Sales”。
步骤2:将端口划分到VLAN创建VLAN之后,需要将交换机上的端口划分到相应的VLAN上。
可以将一个或多个端口加入到同一个VLAN中。
例如,在Cisco交换机上,可以使用以下命令将一个端口划分到VLAN上:```Switch(config)# interface FastEthernet 0/1Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10```上述命令将交换机上的FastEthernet 0/1端口设置为“接入”模式,并将其划分到VLAN ID为10的VLAN上。
Super—vlan技术详解在传统的VLAN间路由中,我们需要每个VLAN配置一个IP地址,作为此VLAN的网关,以实现三层路由;此方法中,每个VLAN都是一个子网,子网号不能为主机所用,此子网需要分配一个IP地址作为网关,还有一个IP地址作为定向广播地址,如果VLAN中的主机不需要那么多IP地址,那此子网内的剩余IP地址,也不能分配给其它VLAN的主机使用,造成极大的浪费。
就算是使用VLSM分配IP地址,每个VLAN也至少浪费三个IP地址,如果有几十或上百个VLAN,那会浪费大量的IP地址。
在此这种情况下,为节约IP地址,提出Super VLAN的概念。
Super VLAN又称VLAN聚合,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。
Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN 内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,通过ARP 代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。
这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
Super VLAN只建立三层接口,不包含物理端口,可以看到成是一个逻辑的三层接口,若干sub-VLAN的集合。
sub-VLAN 则只包含物理端口,但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。
与原来的VLAN间路由不通,原本的三层交换可以根据各自的网关进行,但是现在所有的sub-vlan都属于同一个网段,则就处于不同的sub-vlan通信时,会认在同一个网段,会做二层转发,而不会进行三层转发,但是二层转发是被VLAN隔离了,这就造成sub-vlan间不能通信。
解决方法就是代理ARP。
代理ARP的工作原理:源主机认为目标主机与自己在同一网段,广播发送ARP请求。
与源主机网络相连的网关已经使能ARP PROXY功能,如果存在到达目的主机的正常路由,则代替目的主机REPL Y 自己接口的MAC地址;源主机向目的主机发送的IP报文都发给了路由器;路由器对报文做正常的IP路由转发;发往目的主机的IP报文通过网络,最终到达目的主机。
三层通信原理PC1:192.168.10.10 MAC=PC1MAC与PC2:192.168.10.20 MAC=PC2MAC的通信过程:首先PC1与PC2通信,通过对方IP和自己的子网掩码进行与运算,发现在同一个网段,所以广播发送ARP请求(DMC=FFF:FFF:FFF,SMAC=PC1MAC,ARP字段中SMAC=PC1MAC,SIP=192.168.10.10 DMAC=000:000:000 DIP=192.168.10.20),SW2收到后学习SMAC(PC1MAC),同时向VLAN10 里广播,SW3收到后也学习SMAC(PC1MAC),同时向VLAN10里广播,并抄送一份给接口板的ARP模块,经过接口板ARP的分析,发现它来自SubVLAN,就将此ARP请求报文交给主控板ARP模块处理。
主控板ARP首先在ARP表中查找ARP请求报文中的目的IP地址,假如找到对应项,看看目的IP地址是不是在SubVLAN10中,是就丢弃该报文,不是就将SuperVLAN5的MAC地址应答给PC1,完成代理工作(DMC=PC1MAC,SMAC=VLAN5MAC,ARP字段SMAC=VLAN5MAC,SIP=192.168.10.10,DMAC=PC1MAC,DIP=192.168.10.20)。
假如在ARP表中没有找到对应项,主控板ARP就查VLAN聚合与VLAN的逻辑映射表,知道Sub-VLAN10属于Super-VLAN5,将此报文中的源MAC地址替换成SuperVLAN5的MAC地址,VLAN ID的值由10分别替换成属于SuperVLAN3的其它Sub-VLAN的值,之后逐个向属于此SuperVLAN的其它Sub-VLAN(本例中为Sub-VLAN20)广播,并同时将此请求报文中的信息学习加入动态ARP表中。
此后若收到PC2的ARP应答报文(其目的MAC地址为Super-VLAN5的MAC地址),主控板ARP模块发现此ARP应答报文的VLAN ID是Sub-VLAN20,即PC2位于Sub-VLAN20中,主控板CPU根据应答报文中的信息,搜索ARP表中的各项,找到对应项后把SuperVLAN5对应的MAC地址通过ARP应答报文回给PC1(若PC2位于Sub-VLAN10,PC2响应的ARP应答报文直接通过二层转发回给PC1,交换机就不再应答)。
同时在接口板上将SubVLAN20中的响应报文信息记录在ARP表及FIB表中,以后再收到来自主机X的报文就可以通过查询FIB表进行三层转发了。
二层通信原理因为super-vlan并不包含物理端口,是一个逻辑的三层接口,所以实际上不会有带有super-vlan的VLAN标记的报文。
就算是有super-vlan的VLAN标记的报文过来,但由于trunk上不允许super vlan的VLAN标记的报文通过。
所以二层通信与原来的通信是一样的。
与外部PC通信原理PC1=192.168.1.10/24 MAC=PC1MAC PC3=1.1.1.10/24 MAC=PC3MAC首先PC1与PC3通信,通过目标IP与PC1的子网掩码进行与运算,发现不在同一个网段,则应该将数据发送给网关,在ARP缓存表查询网关MAC(192.168.10.1的MAC),若没有,则发送ARP请求,与前面一样。
得到网关MAC后,将数据发wo da给网关,网关收到后,拆二层封装,以目标IP查询FIB表,发现应从e1/0/3发出,同时从该接口发送ARP请求请求PC3MAC,PC3收到后回复,数据包重新封装从该接口发出。
当PC3回复数据时,正常转发到e1/0/3,查询FIB表,发现目标主机PC1对应的出接口为super-vlan5,但是VLAN5中没有包含任何物理端口,那么就不能转发出去,但是尽管在FIB表中192.168.1.0/24出接口为super-VLAN5,但是在ARP表中IP地址192.168.1.10对应的出接口却为sub-VLAN 10,真正用来构建转发表时所用的出接口应该是ARP表中对应的sub-VLAN接口,这样就可以通过在sub-VLAN下查找目的MAC找到正确的出端口。
于是,PC3的回应报文就能正常到达主机PC1了。
H3C配置命令:<h3c> system-view //进入系统视图[H3C] vlan 5 //进入VLAN视图[H3C-vlan5] supervlan //配置当前VLAN为Super VLAN[H3C-vlan5] vlan 10 //创建Sub VLAN[H3C-vlan10] port ethernet1/0/1 //向Sub VLAN中添加以太网端口。
port命令只适用于将access端口加入sub vlan。
如果需要将trunk端口和hybrid端口加入sub vlan,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现[H3C-vlan10] vlan 20[H3C-vlan20] port ethernet1/0/2[H3C-vlan20] vlan 5 //进入Super VLAN的VLAN视图[H3C-vlan5] subvlan 10 20 //创建Super VLAN与Sub VLAN间的映射关系[H3C-vlan10] interface vlan 10[H3C-Vlan-interface10]ip address 192.168.10.1 24思科交换机VLAN配置switch# configure //进入全局配置模式switch(config)# vlan vlan-id //进入 VLAN配置模式switch(config-vlan)# supervlan //打开 SuperVLAN的功能缺省情况下,Super VLAN功能是关闭的,使用 no supervlan 可以关闭已经打开得 supervlan 的功能。
switch(config-vlan)# subvlan vlan-id-list //指定若干个 sub vlan 并把它们加入super vlan 中。
switch(config-vlan)# exit //退出到全局模式设置 Super VLAN 的虚拟接口switch# configure //进入配置模式switch(config)# interface vlan vlan-id //进入 SVI 模式switch(config-vlan)# ip address ip mask //设置虚拟接口的 IP 地址switch(config-vlan)# end //回到特权模式打开ARP代理功能,默认是开启的switch# configure //进入配置模式switch(config)# vlan vlan-id //进入 VLAN模式 switch(config-vlan)# proxy-arp //打开 VLAN的 ARP 代理功能注意事项:Trunk端口会过滤掉super-vlan。
Super VLAN不能做为其它Super VLAN的Sub VLAN。
Super VLAN不能当正常的1Q vlan来使用。
VLan 1不能作为SuperVLAN。
Sub VLAN不能配置为网络接口,不能配置IP地址。
SVLAN不能使用VRRP,不支持多播。
基于Super VLAN接口的ACL和QOS配置不对Sub VLAN生效。
每一个Super VLAN可以和127个Sub VLAN建立映射关系。
系统最多允许建立1024个Sub VLAN。
