一、VLAN聚合的概述
在一般的三层交换机中,通常是采用一个VLAN对应一个VLANIF接口实现广播域之间的互通,这导致了在一些情况下造成了IP地址的浪费。
因为一个VLAN对应的子网中,子网号,子网广播地址、子网网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于可用IP地址数量,空闲的IP地址也会因为不能被其他VLAN使用导致浪费。
VLAN聚合是一种网络技术,它在一个物理网络内通过将多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),以实现广播域的隔离和IP地址资源的节约。这些Sub-VLAN使用同一个IP子网和缺省网关,从而达到节约IP地址资源的目的。
Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每一个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含的Sub-VLAN的物理接口状态
二、VLAN聚合的工作原理
- Super-VLAN与Sub-VLAN的关系:VLAN聚合通过定义Super-VLAN和Sub-VLAN,使Sub-VLAN只包含物理接口,负责保留各自独立的广播域;Super-VLAN不包含物理接口,只用来建立三层VLANIF接口。
- 映射关系的建立:通过建立Super-VLAN和Sub-VLAN间的映射关系,把三层VLANIF接口和物理接口两部分有机的结合起来,实现所有Sub-VLAN共用一个网关与外部网络通信
三、Sub-VLAN的通信
在Sub-VLAN内部的设备因为在同一个广播域,所以可以直接通过二层通信
不同的Sub-VLAN之间的通信,要在Super-VLAN里开启ARP代理,不同的Sub-VLAN才能进行通信
四、实验
步骤一在LSW2配置Sub-VLAN 10 20、创建VLAN200和创建Super-VLAN 100
[LSW2]vlan batch 10 20 //创建Sub-VLAN
[LSW2]int g0/0/1
[LSW2-GigabitEthernet0/0/1]port link-t trunk //设置接口的类型为trunk/access
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 //将接口划入VLAN10
[LSW2-GigabitEthernet0/0/1]int g0/0/2
[LSW2-GigabitEthernet0/0/2]port link-t trunk
[LSW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 20
[LSW2-GigabitEthernet0/0/2]q
[LSW2]vlan 100 //创建Super-VLAN
[LSW2-vlan100]aggregate-vlan
[LSW2-vlan100]access-vlan 10 20 //将VLAN10,20作为VLAN100的Sub-VLAN
[LSW2]vlan batch 100
[LSW2]int vlan 100
[LSW2-Vlanif100]ip add 192.168.1.254 24 //配置VLAN100的IP地址
[LSW2-Vlanif100]arp-proxy inter-sub-vlan-proxy enable //开启Sub-VLAN间的ARP功能.168.200.254 24
[LSW2]vlan batch 200
[LSW2]int g0/0/3
[LSW2-GigabitEthernet0/0/3]port link-t access
[LSW2-GigabitEthernet0/0/3]port default vlan 200
步骤二在LSW3和LSW4上配置接口的类型
LSW3的配置
[LSW3]vlan batch 10
[LSW3]int g0/0/2
[LSW3-GigabitEthernet0/0/2]port link-t access
[LSW3-GigabitEthernet0/0/2]port default vlan 10
[LSW3-GigabitEthernet0/0/2]int g0/0/1
[LSW3-GigabitEthernet0/0/1]port link-t trunk
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
LSW4的配置
[LSW4]vlan batch 20
[LSW4]int g0/0/2
[LSW4-GigabitEthernet0/0/2]port link-t access
[LSW4-GigabitEthernet0/0/2]port default vlan 20
[LSW4-GigabitEthernet0/0/2]int g0/0/1
[LSW4-GigabitEthernet0/0/1]port link-t trunk
[LSW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 20
步骤三在PC3上去ping通PC4和server
发现因为开启了ARP代理所以PC3能够ping通PC4和server
五、总结
VLAN聚合技术通过将多个Sub-VLAN聚合成一个逻辑的Super-VLAN,实现了广播域的隔离和IP地址资源的节约。这种技术不仅提高了网络的灵活性和可管理性,还降低了网络运营成本。然而,它也带来了一些技术挑战,如三层转发问题,这需要通过Proxy ARP等技术来解决。
![[LitCTF 2023]只需要nc一下~-好久不见6](https://i-blog.csdnimg.cn/direct/9b153ae608a5447289269cde1b5e47bf.png)
