Super-Vlan
原理
Super-Vlan也叫Aggregate-Vlan。
一般的三层交换机中,通常是采用一个VLAN对应一个vlanif接口的方式实现广播域之间的互通,这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中,子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于编址数,多出来的IP地址也会因不能再被其他VLAN使用而浪费掉。
为了解决上述问题,VLAN聚合应运而生。它通过引入Super-Vlan和Sub-Vlan的概念,使每个Sub-Vlan对应一个广播域,并让多个Sub-Vlan和一个Super-Vlan关联,只给Super-Vlan分配一个IP子网,所有Sub-Vlan都使用Super-Vlan的IP子网和缺省网关进行三层通信。
不同Sub-Vlan下的终端默认不能互通,如果要通信,需要在Super-Vlan的VLANIF接口上开启Proxy ARP(代理ARP)。每个Sub-Vlan内的主机与外部的三层通信是靠Super-Vlan的三层VLANIF接口来实现的,Super-Vlan负责实现所有Sub-Vlan共享同一个三层接口的需求,使不同Sub-Vlan内的主机可以共用同一个网关。
Super-Vlan技术主要目的是减少IP地址浪费。
注意:
- Sub-Vlan不占用一个独立的网段。
- VLAN 1不能配置为Super Vlan。
- 一个Super-Vlan可以包含一个或多个Sub-Vlan。
- 同一个Super-Vlan中,无论终端属于哪一个Sub-Vlan,它的IP地址都在Super-Vlan对应的网段内。
配置
如图:
创建vlan2、3、10,vlan2和vlan3作为Sub-Vlan,vlan10作为Super-Vlan,vlan2和vlan3的三层通信通过Super-Vlan的三层接口VLANIF10来实现,如果vlan2和vlan3相互之间想要通信,需要在Super-Vlan的VLANIF10接口上启用代理ARP来实现。
SW1配置如下:
[SW1]vlan batch 2 3 10 //创建vlan
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24 //配置网关地址
[SW1-Vlanif10]quit
[SW1]vlan 10 //进入vlan10
[SW1-vlan10]aggregate-vlan //把vlan10设置为Super-Vlan
[SW1-vlan10]access-vlan 2 3 //把vlan2和vlan3设置为Sub-Vlan
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk //与SW2下联链路设置为trunk链路
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 //允许vlan2和vlan3通过
SW2配置如下:
[SW2]vlan batch 2 3
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk //与SW1上联链路配置为trunk链路
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 //允许vlan2和vlan3通过
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 2
[SW2-GigabitEthernet0/0/2]quit
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 3
配置完成后,通信情况如下:
vlan2和vlan3都可以与网关进行通信。虽然它们之间属于相同的网段,但是属于不同的vlan,所以相互之间无法进行通信,如果要进行通信,需要在Super-Vlan上配置代理ARP,命令如下:
[SW1]interface Vlanif 10 //进入三层接口
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable //开启vlan间代理ARP功能
配置完成后,处于相同的网段,不同的vlan,即Sub-Vlan之间就可以相互通信了:
MUX-Vlan
原理
MUX-Vlan(Multiplex VLAN)是一种通过VLAN进行网络资源控制的机制,它提供了二层流量隔离的功能,使得企业内部员工之间可以互相通信,而企业外来访客之间的互访是隔离的。这种机制不仅节省了VLAN资源,还简化了网络管理。
MUX VLAN主要分为三种类型的VLAN:
- 主VLAN(Principal VLAN):主VLAN端口可以和所有VLAN通信。
- 隔离型VLAN(Separate VLAN):隔离型VLAN只能和主VLAN通信,自己VLAN的成员也不可通信。
- 互通型VLAN(Group VLAN):互通型VLAN可以和自己VLAN间成员通信和主VLAN通信,不同的互通型VLAN之间不能通信。
注意:
- 所有主机必须在同一子网
- 端口必须为access模式加入vlan
- 一个MUX-Vlan中可以有多个互通型vlan,但是有且只有一个隔离型vlan
配置
如图:
在一个二层广播域内,将VLAN100设置为主VALN,VLAN200设置为隔离型VLAN,VLAN300设置为互通型VLAN,测试通信结果。
SW1配置如下:
[SW1]vlan batch 100 200 300
[SW1]vlan 100
[SW1-vlan100]mux-vlan //将vlan100启用mux-vlan,并配置为主vlan
[SW1-vlan100]subordinate separate 200 //将vlan200设置为隔离型vlan
[SW1-vlan100]subordinate group 300 //将vlan300设置为互通型vlan
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 200
[SW1-GigabitEthernet0/0/1]port mux-vlan enable //接口下开启mux-vlan功能,否则无法实现隔离
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 200
[SW1-GigabitEthernet0/0/2]port mux-vlan enable
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 300
[SW1-GigabitEthernet0/0/3]port mux-vlan enable
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 300
[SW1-GigabitEthernet0/0/4]port mux-vlan enable
[SW1]interface GigabitEthernet 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 100
[SW1-GigabitEthernet0/0/5]port mux-vlan enable
[SW1]interface GigabitEthernet 0/0/6
[SW1-GigabitEthernet0/0/6]port link-type access
[SW1-GigabitEthernet0/0/6]port default vlan 100
[SW1-GigabitEthernet0/0/6]port mux-vlan enable
配置完成后,主机连通性如下:
PC1不能和PC2以及PC3、PC4通信,可以和PC5、PC6通信,PC3可以和PC4、PC5、PC6通信,不能和PC1、PC2通信,满足实验要求。
注意:
每个接口下都要开启mux-vlan功能
在有多个交换机的场景下,每台交换机上都要做如下配置:
[SW1]vlan 100
[SW1-vlan100]mux-vlan //将vlan100启用mux-vlan,并配置为主vlan
[SW1-vlan100]subordinate separate 200 //将vlan200设置为隔离型vlan
[SW1-vlan100]subordinate group 300 //将vlan300设置为互通型vlan
Super-Vlan和MUX-Vlan的区别
Super-VLAN 和 MUX-VLAN 有以下区别:
功能作用
- Super-VLAN:主要用于解决 IP 地址浪费问题。通过将多个 Sub-VLAN 聚合成一个 Super-VLAN,多个 Sub-VLAN 共用一个 IP 网段和 Super-VLAN 的三层接口 IP 地址作为网关,实现不同 Sub-VLAN 间的三层互通。
- MUX-VLAN:用于实现同一 VLAN 内用户的不同访问控制需求。它将 VLAN 分为主 VLAN、互通型 VLAN 和隔离型 VLAN,主 VLAN 内的接口可以与所有接口通信,互通型 VLAN 内接口可互相通信且能与主 VLAN 通信,隔离型VLAN 内接口不能互相通信,但能与主 VLAN 通信。
所属层次
- Super-VLAN:属于三层功能,需要三层交换机支持,通过配置三层 VLANIF 接口实现 Sub-VLAN 间的三层通信。
- MUX-VLAN:属于二层交换机功能,在二层实现对 VLAN 内用户的访问控制。
配置复杂度
- Super-VLAN:配置相对简单,只需创建 Super-VLAN 和 Sub-VLAN,并将 Sub-VLAN 与 Super-VLAN 关联,配置 Super-VLAN 的三层接口 IP 地址即可。
- MUX-VLAN:配置较为复杂,需要先创建主 VLAN 和从 VLAN,然后将接口加入相应的 VLAN,并在接口上使能 MUX-VLAN 功能。
应用场景
- Super-VLAN:适用于企业或机构内部网络中,不同部门或区域需要隔离广播域,但又希望节省 IP 地址资源的场景。
- MUX-VLAN:适用于如酒店、小区、数据中心等场景,同一 VLAN 内的用户有不同的通信需求,部分用户需要互相隔离,部分用户需要互相通信,同时所有用户都需要访问外部网络。
