SUPER VLAN技术


SUPER VLAN技术简介:

        VLAN Aggregation(VLAN聚合)技术提供一种机制使处于同一个交换机中分属不同VLAN的主机分配在相同的Ipv4子网中,而且使用同一个默认网关。在一个大规模的交换局域网环境内,这种机制相对于传统的IPv4寻址体系具有许多优点。

        VLAN聚合的主要优点是节省IP地址。在交换网络环境中引进Sub VLAN和Super VLAN,它们是一种可以实现IP地址划分的更加优化的途径。它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚合(Super VLAN),它包含整个IP子网内的所有VLAN(Sub VLAN)。

        实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。当不同Sub VLAN中的主机需要相互之间通讯时,需要在Super VLAN开启ARP代理。

         其原理是一个SUPER VLAN包含多个SUB VLAN,SUPER VLAN可配置虚接口的IP地址。每个SUB VLAN是一个广播域,不同的SUB VLAN之间二层相互隔离,SUB VLAN不能配置虚接口IP地址。当SUB VLAN内的用户需要进行三层通信时,将使用SUPER VLAN的虚接口的IP地址作为网关地址,这样多个VLAN共享一个IP地址,从而节省了IP地址资源。同时,为了实现不同SUB VLAN之间的三层互通及SUB VLAN与其它网络的互通,需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。缺省状态下,SUB VLAN下的ARP代理功能是关闭的。

         VLAN聚合产生了一个更加有效地地址分配体系,这种模式也给网络工程师提供了一种规范的默认网关分配的机制。VLAN Aggregation具有以下特点:

1       若干个小VLAN(Sub VLAN)同属于一个大VLAN(Super VLAN)。
2       Super VLAN对应IPv4子网地址,所有该Super VLAN的Sub VLAN都属于该子网。
3       Sub VLAN实现广播域隔离。
4       不同的Sub VLAN仍保留各自独立的广播域,实现同一子网中的广播的隔离,避免广播风暴的产生。
5       同一子网Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。
6       做为Super VLAN的VLAN不能包含端口,做为Sub VLAN的VLAN不能配置ip地址。


配置案例:

步骤1: 向Super VLAN super1中添加Sub VLAN sub1
               Harbour(config)# config vlan super1 add subvlan sub1

步骤2: 查看VLAN的配置信息
               Harbour(config)# show vlan

VLAN ID        : 2046
Name           : super1
VLAN Type      : Super-VLAN
Mac address    : 00:05:3b:58:00:a0
Sub-vlan list : sub1
Tagged Ports   :
Untagged Ports :

VLAN ID        : 2045
Name           : sub1
VLAN Type      : Sub-VLAN
Mac address    : 00:05:3b:58:00:a0
Parent VLAN    : super1        
Tagged Ports   :
Untagged Ports :
----------------------------------
Total vlans    : 3  


Super VLAN典型配置

1. 组网需求:

需要创建Super VLAN 10和Sub VLAN:VLAN 2、VLAN3、VLAN5,端口Ethernet1/0/1和端口Ethernet1/0/2属于VLAN2,端口Ethernet1/0/3和端口Ethernet1/0/4属于VLAN3,端口Ethernet1/0/5和端口Ethernet1/0/6属于VLAN5,由于VLAN之间能够满足二层隔离,现要求Sub VLAN两两之间三层互通,所有Sub VLAN都使用Super VLAN的三层接口(IP地址10.110.1.1)作为网关与外部通信。

3. 配置步骤:

# 创建VLAN10,并开启Super VLAN功能
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan10] supervlan

# 创建VLAN2、VLAN3、VLAN5,并添加相应的端口。
[Quidway-vlan10] vlan 2
[Quidway-vlan2] port Ethernet 1/0/1 Ethernet 1/0/2
[Quidway-vlan2] vlan 3
[Quidway-vlan3] port Ethernet 1/0/3 Ethernet 1/0/4
[Quidway-vlan3] vlan 5
[Quidway-vlan5] port Ethernet 1/0/5 Ethernet 1/0/6

# 配置Super VLAN和Sub VLAN间的映射关系。
[Quidway-vlan5] vlan 10
[Quidway-vlan10] subvlan 2 3 5

# 创建Super VLAN的三层接口,并配置IP地址。
[Quidway-vlan10] interface Vlan-interface 10
[Quidway-Vlan-interface10] ip address 10.110.1.1 255.255.255.0

& 说明:
缺省状态下,Super VLAN的VLAN接口的ARP代理功能是开启的,而且不允许关闭。


**********

2008年11月26日 12时37分  发布   百度空间:http://hi.baidu.com/sys0/

评论

发表评论

此博客中的热门博文

cue 文件的修改及制作方法

       经常遇到下载的无损音乐因cue错误或者没有cue而不能欣赏,下面,我来教大家完成cue的修改及制作过程,体验亲手得到美妙音乐的乐趣。按如下步骤就可轻松完成(确实很简单的):        如果原ape(或flac、wav)带有cue文件只是它有错误不能播放的话,先别删它,直接用它来编辑就最简单了(因为其中的时间点信息基本上都是正确的,而制作cue最麻烦的就是找时间点了)。 下面分两种情况,一种是有cue但错误,一种是根本没有cue文件。      就算你是在连错误cue都没有的情况下要做一个新的cue,也要先看第一部分再看第二部分。 第一种情况,有cue但错误时: 一、用记事本打开一个正确的cue文件,会得到类似如下的内容,我会挨个说明每一行的作用,注意看各个红色的注释: PERFORMER "Lara Fabian"   ------------------------------------------------------ 1 TITLE "《9》"    --------------------------------------------------------------------- 2 FILE "CDImage.ape" WAVE     --------------------------------------------------- 3 TRACK 01 AUDIO     -------------------------------------------------------------- 4     TITLE "La lettre"     ------------------------------------------------------------- 5     PERFORMER "Lara Fabian"     ------------------------------------------------...
阅读全文

使用GNS3架设PPPOE服务器获取路由器ADSL密码(转帖)

使用GNS3架设PPPOE服务器获取路由器ADSL密码(转帖)    TP-link在密码保护这点上做的很好,通过星号密码查看器,或者破解配置文件都无法拿到密码。创建PPPOE拨号服务器,伪造电信ISP,通过截取路由器wan口发出的PPPOE协商报文,获取密码。    网文中创建PPPOE服务器的步骤就复杂了,需要win2003系统和下载相关协议包,详见文章 http://hi.baidu.com/gpanxcc/blog/item/bf23624399bc991b9313c610.html ,安装好vmware和2003,创建路由和远程服务器时竟然提示文件缺失,查看帮助文档也没有找到所以然,大概是win2003版本问题吧,于是放弃。    根据其原理,需要搭建一个pppoe服务器,使用PAP明文验证吗? GNS3就能做到。TOP如下: 说明:R5使用cisco 3640,IOS 版本c3640-jk9o3s-mz.124-13a.bin //其实这个不重要 C1类型为computer, 右键配置属性桥接到本地物理网卡, 如下: R5配置: Building configuration... Current configuration : 1026 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R5 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ! ip cef no ip domain lookup ! vpdn enable ! username zzk privilege 15 password 0 zzk username cisco password 0 cisco ! bba-group pppoe global  virtual-template 1 ! interface FastEther...
阅读全文

华为ACL配置说明

华为ACL配置说明 华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。 总结一句话:rule排列规则和auto、config模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。 规律说明: 1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis acl all查看rule的循序,出现4-2-3-0-1很正常)。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是rule的排列顺序有关,与匹配顺序无关。 2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。 3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。 4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。 包过虑ACL举例说明: 禁止10.10.10.145这台PC上网 允许10.10.10.0/24网段上网 允许192.168.0.0/16网段上网 禁止所有IP 配置方法一: 配置ACL(需要严格按照配置顺序配置) acl num 3000 mach config rule den ip rule permit ip sour 192.168.0.0 0.0.255.255 rule permit ip sour   10.10.10.0 0.0.0.255 rule deny ip sour 10.10.10.145 0 下发ACL到端口 int e 1/0/1 pack in ip 3000 配置方法二: 配置ACL(配置循序随便) acl num 3001 mach auto rule permit ip sour   10.10.10.0 0.0.0.255 rule den ip rule deny ip sour 10.10.10.145 0 rule permit ip sour 192.168.0.0 0.0.255.255 下发ACL到端口 int e 1/0/2 pack in ...
阅读全文