VLAN聚合特性及其实例配置介绍

发布于:2021-09-20 13:40:24

如今,谈起网络,马上就会让人反应到宽带.除了各电信公司,现在全国的广电网络公司也都建立起了自己的 宽带 IP 城域网,用来承载数据业务以及其他增值业务。在众多宽带网组建方案中,IP 网以其独有的操作容 易,管理简单,技术灵活等特性,在城域网的组建中突颖而出,占了很大比例。我们宜兴广电宽带网主要 是以 extreme 公司的三层交换机为核心交换设备,以 VLAN 为实现手段和方法,为集团用户提供高速以太 专线,用来实现高速上网或者集团内部之间实现自己的数据业务和其他业务,如视频点播之类。这种组网 方法在如今新组建的宽带城域网中占大多数,因为在以 VLAN 为实现方法时,配合线速路由交换机,克服 传统路由的路由瓶颈,使得城域网的性能比起传统网络来有了大幅度的提升。在这里,不想谈太多的 VLAN 方 面 的东 西, 主 要是 想结 合自 己 的实 际, 谈 一 下 VLAN 的 一 个独 特的 功能 ― ― ― VLAN 聚 合 ( vlan aggregation) 。 当然,前提是交换机支持 VLAN 聚合。现在一般的三层交换机都支持,对用户作用也很大。一旦我们 使用 VLAN 聚合功能,就允许客户端在同一子网里使用不同的广播域,但是这些客户端使用的还是同一个 路由接口,从而达到增强 IP 地址利用率的目的。可以跟 VLAN 做比较,通常一个 VLAN,一个子网,也即 一个广播域,一个路由接口(本文中谈的都是三层 VLAN) ,而 VLAN 聚合则把一个子网段分成地址段,即 几个广播域,IP 地址和路由接口都不变,至于子网段之间的通讯与否,可以根据需要设置。 使用 VLAN 聚合时,超 VLAN 可以定义一个任意 IP 地址,但是没有自己的成员端口,端口都是指定在 子 VLAN 中。子 VLAN 作为超 VLAN 的成员,并没有自己的 IP 地址,而是使用超 VLAN 的 IP 地址作为自己 的路由接口地址。通常,客户端都是指定在子 VLAN 内,我们可以在子 VLAN 中有选择的分配给一些地址 段,前提是这些地址段必须在超 VLAN 的子网范围内,以便于我们更好的管理 IP 地址。当然,根据需要, 我们可以控制各子 VLAN 之间是否需要通讯。我们*时使用时,子 VLAN 可以很小,但是必须要为今后网 络的扩容而且不重新定义子网的情况留下空间, 假如不使用 VLAN 聚合,即通常使用 VLAN 的情况,每个 VLAN 需要一个路由接口地址,并且需要大的 子网。结果是不能有效的利用 IP 地址,造成浪费。

Vlan 聚合示意图 VLAN 聚合是 VLAN 的一项比较独特的功能,在使用中有如下特性: ● 所有广播包和未知流量都局限在子 VLAN 内部,不会跨越子 VLAN 边界。子 VLAN 内部的所有流量只 在子 VLAN 内部交换,这样可以有效的隔离子 VLAN 之间的流量。

● 客户端即主机都放置在子 VLAN 内。在超 VLAN 的路由接口地址范围内,每台主机可以任意设置一个 IP 地址。在子 VLAN 内的每台主机的子网掩码都是和超 VLAN 定义的子网掩码相同,并且他们的路由地址 即网关就是超 VLAN 的路由接口地址。 ● 子 VLAN 之间的所有流量都是通过超 VLAN 来路由的。例如,在子 VLAN 间不会有 ICMP 重定向产生, 因为超 VLAN 为子 VLAN 进行了路由。当一个子 VLAN 加入到超 VLAN 中时,在 IP arp 表中会自动加入一 个 arp 表项,这就使得 IP 单播包可以穿越子 VLAN。为安全起见,我们可以关闭掉这项功能。 ● 当超 VLAN 启用组播路由协议时,子 VLAN 间的 IP 组播流量将被路由。 当然,VLAN 聚合也有它的局限性: ● 子 VLAN 不能有其他的路由接口,它的路由只能在超 VLAN 上进行。 ● 子 VLAN 不能成为超 VLAN。 ● 子 VLAN 不能指定 IP 地址,即路由接口地址。 ● 通常,超 VLAN 没有成员端口,除了一些特定场合。 ● 如果客户机从一个子 VLAN 移到另一个子 VLAN,必须在客户机和交换机上清除 IP arp 缓存以继续 通讯。 通常,我们还可以给每个子 VLAN 设置地址段,以避免地址段以外的非法客户端进入网络。但是我们 要注意,假如多个子 VLAN 定义了重复的地址段,交换机并不提供错误检查,从而在超 VLAN 和子 VLAN 的 arp 过程中带来错误。这一点尤其要注意。 设置一个子 VLAN 的地址段,可以用如下命令:(本文中命令配置以 extreme 交换机为例) config vlan <name> subvlan-address-range <ip_address> - <ip_address> 删除一个子 VLAN 的地址段: config vlan <name> subvlan-address-range 0.0.0.0 – 0.0.0.0 为了在子 VLAN 间可以通讯, 交换机默认在超 VLAN 的 IP arp 表中生成一个表项来提供 arp 代理功能。

这样,使得一个子 VLAN 的客户机可以和另一个子 VLAN 的客户机进行通讯。当然,出于安全需要我们可 以关闭此功能。关闭超 VLAN 的 IP arp 表项自动添加功能,我们可以用如下命令: disable subvlan-proxy-arp vlan <super-vlan name> 最后,结合 extreme 交换机举个 VLAN 聚合的例子: 1.建立一个 VLAN,指定路由地址,但没有成员端口,作为超 VLAN,并且启动路由。

create vlan super config super ipaddress 192.201.3.1/24 enable ipforwarding enable ospf config ospf add super 2.建立子 VLAN 并加入成员端口。 create vlan sub1 con sub1 add port 1-4 create vlan sub2 config sub2 add po 5-8 create vlan sub3 config sub3 add po 9-12 3.把子 VLAN 加入到超 VLAN。 config super add subvlan sub1 config super add subvlan sub2 config super add subvlan sub3 4.如果要阻止各子 VLAN 通讯,默认为允许。 disable subvlan-proxy-arp super 如要查看配置信息,用 show vlan <vlan_name>命令。


相关推荐

最新更新

猜你喜欢