首页 > 其他分享 >28 VLAN高级技术

28 VLAN高级技术

时间:2023-12-11 20:34:18浏览次数:25  
标签:ARP 网关 vlan Sub VLAN 28 高级 Super

VLAN技术在园区网络中应用非常广泛,通常利用VLAN进行广播域的隔离,每个VLAN属于一个广播域。网络规划时需要为每个广播域分配一个网关,如果VLAN数量过多,会导致IP地址规划难度加大,甚至会出现大量IP地址的浪费。

VLAN聚合概述

VLAN聚合(VLAN Aggregation,也称Super-Vlan)

指在同一个物理网内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的

Sub-VLAN

只包含物理接口,不能建立三层的VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部三层通信是靠Super-VLAN的三层VLANIF接口来实现的

Super-VLAN

只能建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态

image

VLAN聚合的原理

每个Sub-VLAN对应一个广播域,多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP子网,所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

image

VLAN聚合的应用

传统VLAN方式每一个VLAN需要划分不同的IP地址网段,在本例中需要耗费4个IP网段和产生4条路由条目;Super-VLAN方式只需要分配一个IP地址网段,下属二层VLAN共用同一个IP地址网段,共用同一个三层网关,同时VLAN之间保持二层隔离。

image

同Sub-VLAN内部通信

同一个Sub-VLAN之间属于同一个广播域,因此相同Sub-VLAN之间可以通过二层直接通信。

image

不同Sub-VLAN之间通信

Super-VLAN VLANIF100开启ARP代理之后PC1和PC2之间通信过程如下:

1.PC1发现PC2与自己在同一网段,且自己ARP表无PC2对应表项,则直
接发送ARP广播请求PC2的MAC地址。

2. 作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求,由于
网关上使能Sub-VLAN间的ARP代理功能,则向Super-VLAN 100的所有
Sub-VLAN接口发送一个ARP广播,请求PC2的MAC地址。

3. PC2收到网关发送的ARP广播后,对此请求进行ARP应答。

4. 网关收到PC2的应答后,就把自己的MAC地址回应给PC1,PC1之后
要发给PC2的报文都先发送给网关,由网关做三层转发。

Sub-VLAN与其他设备的二层通信

当Sub-VLAN与其他设备进行二层通信时,与普通的VLAN内二层通信无区别。

1.从PC1进入SW1的报文会被打上VLAN10的Tag。在SW1中这个Tag不会因为VLAN10是
VLAN100的Sub-VLAN而变为VLAN100的Tag。

2.当报文从SW1的GE0/0/0出去时,依然携带VLAN10的Tag。也就是说,SW1本身不会发
出VLAN100的报文。就算其他设备有VLAN100的报文发送到该设备上,这些报文也会
因为SW1上没有VLAN100应的物理接口而被丢弃。

3.对于其他设备而言,有效的VLAN只有Sub-VLAN10,20和30, 所有的报文都是在这些
VLAN中交互的。因此,SW1上虽然配置了VLAN聚合,但与其他设备的二层通信,不会
涉及到Super-VLAN,与正常的二层通信流程一样。

image

Sub-VLAN与其他设备的三层通信

当Sub-VLAN内的PC需要与其他网络进行三层通信时,首先将数据发往默认网关,即SuperVLAN对应的VLANIF,再进行路由。

VLAN聚合关键配置命令

1.创建Super-VLAN

[Huawei-vlan100] aggregate-vlan
//Super-VLAN中不能包含任何物理接口,VLAN1不能配置为Super-VLAN。
//Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID 必须使用不同的 VLAN ID。

2.将Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }
//将Sub-VLAN加入到Super-VLAN中时,必须保证Sub-VLAN没有创建对应的VLANIF接口。

3.(可选)使能Super-VLAN对应的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable
//使能Sub-VLAN间的Proxy ARP功能。

MUX VLAN

在企业网络中,各个部门之间网络需要相互独立,通常用VLAN技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的VLAN技术,不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。

image

MUX VLAN基本概念

MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。

image

MUX VLAN的应用

在交换机上,通过把部门A和部门B所在的VLAN分别设置为互
通型从VLAN,把访客区所属的VLAN设置为隔离型从VLAN,把
服务器所连接口所属VLAN设置为Principal VLAN,即主VLAN。
并且所有从VLAN都与主VLAN绑定。从而实现如下网络设计要
求:
▫ 部门A内的用户之间能够实现二层互通。
▫ 部门B内的用户之间能够实现二层互通。
▫ 部门A与部门B的用户之间二层隔离。
▫ 部门A和部门B的员工都能够通过二层访问服务器。
▫ 访客区内的任意PC除了能访问服务器之外,不能访问其他任
意设备,包括其他访客。

image

MUX VLAN配置命令

  1. 配置MUX VLAN中的Principal VLAN
[Huawei-vlan100] mux-vlan
  1. 配置Subordinate VLAN中的Group VLAN
[Huawei-vlan100] subordinate group { vlan-id1 [ to vlan-id2 ] } 
  1. 配置Subordinate VLAN中的Separate VLAN
[Huawei-vlan100] subordinate separate vlan-id
  1. 使能接口MUX VLAN功能
[Huawei-GigabitEthernet0/0/1] port mux-vlan enable vlan-id

标签:ARP,网关,vlan,Sub,VLAN,28,高级,Super
From: https://www.cnblogs.com/Metkey/p/17893279.html

相关文章

  • java高级笔记汇总
    一、理论知识背诵汇总篇1、Java常用类System类Date类(日期类)DateFormat类(日期格式化类)SimpleDateFormat类Math类Random类BigInteger(大整数)类BigDecimal(大小数)类Timer定时器2、枚举(将类的对象固定下来)只能使用它的对象,而不能增加和修改枚举的属性3、单例模式一个类......
  • 28-1 聚合VLAN配置
    拓扑配置AR1#interfaceGigabitEthernet0/0/0ipaddress12.1.1.1255.255.255.0#iproute-static0.0.0.00.0.0.012.1.1.2LSW2#vlanbatch1020#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan102030#interfaceGig......
  • 掌握TS 从基础到深度理解,晋级TypeScript高级开发的几个实战经验
    TypeScript作为JavaScript的超集语言,在现代前端开发中扮演着重要的角色。掌握TypeScript并深入理解其高级特性,将使开发者能够更加高效地进行项目开发。本文将分享几个实战经验,帮助开发者从基础到深度理解TypeScript,并实现晋级到TypeScript高级开发的目标,并提供相关代码示例。类型注......
  • 数据库的高级管理
    一:数据库的备份的操作备份数据库而定命令用mysqldump1:备份单个数据库语法格式:mysqldump-uusername-hhost-ppassworddbname[tbname1,tbname2]>filename.sql; 参数的意思:username:用户名称host:用户登录的主机名称password:登陆密码,使用这个参数的时候,不能与-p这......
  • GPT4 Turbo的128K上下文是鸡肋?推特大佬斥巨资评测,斯坦福论文力证结论
    作者|小戏、兔子酱这两天,AI圈子里最火的事,莫过于OpenAI在他们的首届开发者日上重磅推出了GPT-4的加强Plus版GPT-4Turbo。随便摘出来几点GPT-4Turbo对GPT-4的升级几乎都是王炸级别,譬如:128K的上下文长度!?GPT-4的上下文长度是32k,GPT-4Turbo直接将上下文长度x4,1......
  • 统筹高级前端,系统进阶精选案例实战,高效奠定前端基石
    前端开发是现代互联网行业中不可或缺的一环,随着前端技术的日新月异,前端工程师需要持续学习和进阶。本文将介绍一些高级前端开发的案例实战,旨在帮助读者高效地奠定前端基石。案例一:响应式布局在移动设备普及的今天,响应式布局已成为前端开发必备技能之一。通过使用媒体查询和流式布局......
  • K8s容器debug高级技巧
    使用kubectlexec执行指令如果您在Kubernetes上运行软件,您会想要在某些时候去调试您所部署的软件的一些方面。对于习惯于使用虚拟机(VMs)的人来说能自然使用的一种简单的调试方法,就是连接到一个正在运行的pod,然后进行解译: kubectlexec-itpodname-ccontainername......
  • python高级之函数的参数
    函数的参数形参与实参介绍函数的参数分为形式参数和实际参数,简称形参和实参:形参即在定义函数时,括号内声明的参数。形参本质就是一个变量名,用来接收外部传来的值。实参即在调用函数时,括号内传入的值,值可以是常量、变量、表达式或三者的组合:#1:实参是常量res=my_min(1,2)#2......
  • Java并发编程的高级探索
    随着多核处理器的普及,Java并发编程变得越来越重要。为了充分利用硬件资源,开发者需要掌握并发模式和算法、锁的优化技术、并发工具的高级应用,以及并发程序的性能分析方法。并发模式和算法在并发编程中,特定的模式和算法可以帮助我们解决一些复杂的问题:生产者-消费者模式:在多线程环境......
  • tryhackme进攻性渗透测试-Advanced Exploitation 高级利用
    SteelMountain侦察Nmap-sC-sV-O$IP-oNbasic_scan.nmapNmap-script=vuln$IP-oNvuln_scan.nmap总之,masscan在eth0上工作,所以SYN端口探测技术全部没有响应包需要一个flag把探测流量正确的打入tun0中masscan-p808010.10.205.233-etun0nmap除了使用SYN端口......