目录
1. Super VLAN技术产生背景
2. Super VLAN概念
3. Super VLAN应用场景
4. Super VLAN工作原理
5. Super-VLAN主要配置命令
6. Super-VLAN主要配置步骤
7. 示例配置
7.1 示例场景
7.2 网络拓扑
7.3 配置代码
7.4 代码解析
7.5 测试验证
1. Super VLAN技术产生背景
一般的三层交换机中,通常是采用一个VLAN对应一个vlanif接口的方式实现广播域之间的互通,这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中,子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于编址数,多出来的IP地址也会因不能再被其他VLAN使用而浪费掉。
如下VLAN规划中,VLAN2预计未来有10个主机地址的需求,但按编址方式,至少需要给其分配一个掩码长度是28的子网10.1.1.0/28,其中10.1.1.0为子网号,10.1.1.15为子网定向广播地址,10.1.1.1为子网缺省网关地址,这三个地址都不能用作主机地址,剩下范围在10.1.1.2~10.1.1.14的地址可以被主机使用,共13个。VLAN2子网实际地址需求只有10个,剩余的3个也不能再被其他VLAN使用。网络中的VLAN越多,浪费的IP地址也就越多。
为了解决上述问题,VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念,使每个Sub-VLAN对应一个广播域,并让多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP子网,所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。
这样,多个Sub-VLAN共享一个网关地址,节约了子网号、子网定向广播地址、子网缺省网关地址,且各Sub-VLAN间的界线也不再是从前的子网界线了,它们可以根据各自主机的需求数目在Super-VLAN对应子网段灵活的划分IP地址范围,从而保证了各个Sub-VLAN作为一个独立广播域实现广播隔离,又节省了IP地址资源,提高了编址的灵活性。
Super-VLAN技术主要目的是减少IP地址浪费。
2. Super VLAN概念
Super VLAN,也叫VLAN聚合(VLAN Aggregation
)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN)。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。所有Sub-VLAN共用一个IP网段,要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,使用同一个缺省网关,并且可以通过Super VLAN的VLANIF接口实现三层互通。
3. Super VLAN应用场景
Super VLAN适用于用户多,VLAN多,大量VLAN的IP地址在同一个网段,但是又要实现不同VLAN之间二层隔离的场景。VLAN之间如果有互访的需求,可以对Super VLAN开启ARP代理。常见的场景有宾馆酒店,小区宽带接入等。一个房间或者一户人家一个VLAN,彼此隔离,但是IP地址有限,无法给数量庞大的VLAN每个分一个网段IP,只能共用一个IP地址段。例如,VLAN 10的IP地址段是10.10.10.0/24,一户人家可能就使用了1个或2个IP,剩余200多个IP地址浪费了。Super VLAN可以使VLAN11-100共享10.10.10.0/24网段,节约了IP地址。
与MUX VLAN隔离功能相比,Super VLAN属于三层功能,需要三层交换机支持。MUX VLAN属于二层交换机功能。Super VLAN的配置较为简单,MUX VLAN配置较为复杂,但对用户间的访问控制灵活性不如MUX VLAN,Super VLAN内需要查询部分暂时离线的用户时,网关需要在每个子VLAN内广播发送报文,可能较大的消耗设备CPU资源。
4. Super VLAN工作原理
通过建立Super--VLAN和Sub-VLAN间的映射关系,把三层逻辑接口和物理接口结合起来,实现普通VLAN功能的同时,也达到节省P地址的目的。
- 一个Super-VLAN可以包含一个或多个Sub-VLAN。
- Sub-VLAN要添加端口才能激活,只要有一个子VLAN是激活的,那么SUPER VLAN就是激活的。
- Sub-VLAN不占用一个独立的网段。
- 同一个Super-VLAN中,无论终端属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的网段内。
Super-VLAN:
- 只建立三层VlanIf接口(IP地址与网关对应),不包含物理接口。与普通VLAN不同的是,它的VlanIf接口的Up不依赖于自身物理接口的Up,而是只要它所含Sub-VLAN中存在Up的物理接口就Up;
- 负责实现所有Sub-VLAN共享同一个三层接口的需求,使不同Sub-VLAN内的主机可以共用同一个网关。
- VLAN 1不能配置为Super VLAN。
Sub-VLAN:
- 只包含物理接口,不建立三层VlanIf接口,隔离广播域(Sub-VLAN间相互隔离),每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的;
- 不同Sub-VLAN下的终端默认不能互通,如果要通信,需要在Super-VLAN的VLANIF接口上开启Proxy ARP(代理ARP)。
5. Super-VLAN主要配置命令
[SW-vlan100]aggregate-vlan //vlan100配置为Super-VLAN
[SW-vlan100]access-vlan 10 20 30 //将Sub-VLAN10 20 30加入Super-VLAN。
[SW-Vlanif100] arp-proxy inter-sub-vlan-proxy enable // 开启代理ARP功能(IPv4环境)
display super-vlan //查看Super-VLAN类型的VLAN表项信息
Sub-VLAN配置详见:华为--配置VLAN聚合节约IP地址
6. Super-VLAN主要配置步骤
- 创建Sub VLAN;
- 创建Super VLAN,关联Super VLAN和Sub VLAN;
- 配置Super VLANIF接口。
7. 示例配置
7.1 示例场景
某公司有多个部门且位于同一网段,将不同部门的用户划分到不同VLAN中,VLAN 10、VLAN 20、VLAN 30、VLAN 40和VLAN 50属于不同部门。各部门均有访问Internet需求,同时由于业务需要,部分部门间的用户需要互通。
7.2 网络拓扑
7.3 配置代码
system-view
sysname R
interface GigabitEthernet0/0/0
ip address 192.168.3.253 255.255.255.0
interface LoopBack40
ip address 123.123.1.1 255.255.255.255
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.3.254
system-view
sysname SW
vlan batch 10 20 30 40 50 100
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 20 30
interface GigabitEthernet0/0/23
port link-type access
port default vlan 50
interface GigabitEthernet0/0/24
port link-type access
port default vlan 40
interface Vlanif40
ip address 192.168.3.254 255.255.255.0
interface Vlanif50
ip address 192.168.2.254 255.255.255.0
interface Vlanif100
ip address 192.168.1.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
vlan 100
aggregate-vlan
access-vlan 10 20 30
quit
ip route-static 123.123.1.1 32 192.168.3.253
system-view
sysname SW1
vlan batch 10 20
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
quit
system-view
sysname SW2
vlan batch 20 30
interface Ethernet0/0/1
port link-type access
port default vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 30
interface Ethernet0/0/3
port link-type access
port default vlan 30
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 30
quit
7.4 代码解析
<Huawei>system-view
[Huawei]sysname R
[R]interface GigabitEthernet0/0/0
[R-GigabitEthernet0/0/0]interface LoopBack40
[R-LoopBack40] ip address 123.123.1.1 255.255.255.255
[R-LoopBack40]quit
[R]ip route-static 0.0.0.0 0.0.0.0 192.168.3.254
<Huawei>system-view
[Huawei]sysname SW
[SW]vlan batch 10 20 30 40 50 100
[SW]interface GigabitEthernet0/0/1
[SW-GigabitEthernet0/0/1] port link-type trunk
[SW-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[SW-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SW-GigabitEthernet0/0/2] port link-type trunk
[SW-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 30
[SW-GigabitEthernet0/0/2]interface GigabitEthernet0/0/23
[SW-GigabitEthernet0/0/23] port link-type access
[SW-GigabitEthernet0/0/23] port default vlan 50
[SW-GigabitEthernet0/0/23]interface GigabitEthernet0/0/24
[SW-GigabitEthernet0/0/24] port link-type access
[SW-GigabitEthernet0/0/24] port default vlan 40
[SW-GigabitEthernet0/0/24]interface Vlanif40
[SW-Vlanif40] ip address 192.168.3.254 255.255.255.0
[SW-Vlanif40]interface Vlanif50
[SW-Vlanif50] ip address 192.168.2.254 255.255.255.0
[SW-Vlanif50]interface Vlanif100
[SW-Vlanif100] ip address 192.168.1.254 255.255.255.0
[SW-Vlanif100] arp-proxy inter-sub-vlan-proxy enable //在Vlanif100端口开启vlan间代理ARP
[SW-Vlanif100] vlan 100
[SW-vlan100] aggregate-vlan //指定vlan100为Super-VLAN
[SW-vlan100] access-vlan 10 20 30 //vlan 10 20 30加入Super-VLAN。
[SW-vlan100]quit
[SW]ip route-static 123.123.1.1 32 192.168.3.253
<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1] port link-type access
[SW1-Ethernet0/0/1] port default vlan 10
[SW1-Ethernet0/0/1]interface Ethernet0/0/2
[SW1-Ethernet0/0/2] port link-type access
[SW1-Ethernet0/0/2] port default vlan 10
[SW1-Ethernet0/0/2]interface Ethernet0/0/3
[SW1-Ethernet0/0/3] port link-type access
[SW1-Ethernet0/0/3] port default vlan 20
[SW1-Ethernet0/0/3]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[SW1-GigabitEthernet0/0/1]quit
[SW1]
<Huawei>system-view
[Huawei]sysname SW2
[SW2]vlan batch 20 30
[SW2]interface Ethernet0/0/1
[SW2-Ethernet0/0/1] port link-type access
[SW2-Ethernet0/0/1] port default vlan 20
[SW2-Ethernet0/0/1]interface Ethernet0/0/2
[SW2-Ethernet0/0/2] port link-type access
[SW2-Ethernet0/0/2] port default vlan 30
[SW2-Ethernet0/0/2]interface Ethernet0/0/3
[SW2-Ethernet0/0/3] port link-type access
[SW2-Ethernet0/0/3] port default vlan 30
[SW2-Ethernet0/0/3]interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 30
[SW2-GigabitEthernet0/0/1]quit
[SW2]
7.5 测试验证
在上述配置下,网络所有终端应该全部互通。
如上图所示,网络所有终端互通正常。
如果取消vlanif100端口代理ARP功能,Super VLAN下的所有子vlan间应该相互隔离。
取消聚合vlan100的vlanif100端口代理ARP功能,Super VLAN下的所有子vlan间相互隔离,但和其他非Super VLAN通信正常。
参考资料:
华为--配置Super VLAN示例
硬核好文:什么是Super VLAN?-腾讯云开发者社区-腾讯云