弹性交换网络

VLAN间通信

VLANIF虚接口

三层交换机

  • 具备路由功能的交换机,称之为三层交换机或多层交换机

VLAN间通信解决方案:VLANIF虚接口

VLANIF虚接口

  • 每个VLAN都对应一个VLANIF接口
  • VLANIF接口是一种三层虚拟接口,可以实现VLAN间的三层互通
  • 给每个VLAN需要配置一个VLANIF虚接口,配置接口IP地址,作为VLAN内主机的网关地址
  • VLANIF接口不占用额外的物理端口资源,节约成本通常在三层交换机上配置VLANIF接口,来实现VLAN间通信

三层交换机VLAN间通信的转发过程

4.3.1

VLANIF虚接口配置

VLANIF虚接口配置

  • 在三层交换机上创建VLAN
  • 为每个VLAN创建网关接口-VLANIF
  • 为每个VLANIF配置网关IP地址
  • 如有需要,还须在三层交换机上配置路由

要求实现不同VLAN间互通

  • 创建VLAN、接口加入VLAN
  • 配置VLANIF虚接口IP地址

4.3.2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
1.创建VLAN、接口加入VLAN
[SWl]vlan batch 2 3
[SWl]interface g0/0/1
[SW1-G0/0/1]port link-type access
[SW1-G0/0/1]port default vlan 1
[SWlJinterface g0/0/2
[SW1-G0/0/2]port link-type access
[SW1-G0/0/2]port default vlan 2
[SWl]interface g0/0/3
[SW1-G0/0/3]port link-type access
[SW1-G0/0/3]port default vlan 3

2.配置VLANIF虚接口IP-网关地址
[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.254 24
[SW1]interface Vlanif 2
[SW1-Vlanif2]ip address 192.168.2.254 24
[SW1]interface Vlanif 3
[SW1-Vlanif3]ip address 192.168.3.254 24

VLAN聚合原理及配置

VLAN聚合基本概念

VLAN聚合(VLAN Aggregation,也称SuperVLAN)

  • 指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域
  • 这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super VLAN)
  • 这些Sub-VLAN使用同一个IP子网和缺省网关,可以节约IP地址资源

Super VLAN:超级VLAN

Sub-VLAN:子VLAN

多VLAN中IP地址浪费问题

VLAN越多,IP地址浪费越多

  • 一个VLAN中,网络号、广播地址、网关地址都不能分配给主机使用
  • 且一个VLAN中实际主机数量过少,也要分配一个单独的网段

4.3.3

VLAN聚合作用

在多VLAN的网络环境中,节省IP地址

  • 每个Sub-VLAN对应一个广播域,多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP网段,所有Sub-VLAN都使用Super-VLAN的IP网段进行三层通信,从而节省IP地址

4.3.4

Sub-VLAN

Sub-VLAN

  • 只包含物理接口,不能建立三层VLANIF接口
  • Sub-VLAN用于隔离广播域
  • 每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的

Super-VLAN

Super-VLAN

  • Super-VLAN只建立三层VLANIF接口,不包含物理接口,与网关对应
  • 一个Super-VLAN可以包含一个或多个Sub-VLAN
  • Sub-VLAN不再占用一个独立的子网网段
  • 在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的网段内

Sub-VLAN之间的通信存在问题

存在问题

  • 普通VLAN中,不同VLAN内的主机可以通过各自不同网关进行三层互通
  • 但是Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发
  • 不同Sub-VLAN的主机,在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题

Sub-VLAN之间的通信解决方案

解决方案

  • 解决这一问题的方法就是使用Proxy ARP

Proxy ARP

  • 如果ARP请求是从一个网络的主机发往同一网段但不在同一VLAN(同一广播域)内的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理(Proxy ARP)
  • VLAN间Proxy ARP:两台主机处于相同网段,但属于不同VLAN

Sub-VLAN配置

VLAN角色类型

  • Sub-VLAN
  • Super-VLAN

Sub-VLAN配置

1
2
3
4
[SW1]vlan 2
[SW1]interface Ethernet0/0/1
[SW1-E0/0/1]port link-type access
[SW1-E0/0/1]port default vlan 2

Super-VLAN配置

1
2
3
4
5
6
[SW1]vlan 10                                             //创建vlan10
[SW1-vlan-10]aggregate-vlan                              //配置vlan10为Super-vlan
[SW1-vlan-10]access-vlan2                                //将Sub-vlan vlan2加入Super-vlan
[SW1]interface vlanif 10
[SW1-vlanif-10]ip address 192.168.10.254 24
[SW1-vlanif-10]arp-proxy inter-sub-vlan-proxy enable     //开启Proxy ARP

VLAN聚合配置思路

配置思路

  • 创建Sub-VLAN
  • 配置端口模式
  • 端口加入VLAN
  • 创建Super-VLAN
  • 将Sub-VLAN加入SuperVLAN
  • 配置Super-VLAN的VLANIF接口
  • Super-VLAN下配置Proxy ARP
  • 验证设备之间的互通性

端口隔离原理与配置

端口隔离概述

  • 实现报文之间的2层隔离,除了使用VLAN 技术以后,还可以使用端口隔离技术

  • 采用该技术后,属于同一个VLAN 内的端口所连接的设备也可以实现通信的隔离

  • 端口隔离为用户提供了更加安全、更加灵活的组网方案

  • 端口隔离的作用:采用端口隔离功能,可以实现同一VLAN内端口之间的隔离

  • 如何实现端口隔离功能:只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离

  • 端口隔离的优势:节约了VLAN,提供了更安全、更灵活的组网方案

端口隔离的特点

  • 端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能
  • 同一端口隔离组的接口之间互相隔离
  • 隔离组的接口和其他接口之间不隔离
  • 不同端口隔离组的接口之间不隔离

端口隔离应用场景

4.3.5

端口隔离基本概念

4.3.6

端口隔离配置实现

4.3.7