科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道VLAN聚合特性及其实例配置介绍

VLAN聚合特性及其实例配置介绍

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在众多宽带网组建方案中,IP网以其独有的操作容易,管理简单,技术灵活等特性,在城域网的组建中突颖而出,占了很大比例。

作者:论坛整理 来源:zdnet网络安全 2008年3月19日

关键字: VLAN VLAN划分 vlan技术 vlan配置 虚拟局域网

  • 评论
  • 分享微博
  • 分享邮件

  如今,谈起网络,马上就会让人反应到宽带.除了各电信公司,现在全国的广电网络公司也都建立起了自己的宽带IP城域网,用来承载数据业务以及其他增值业务。在众多宽带网组建方案中,IP网以其独有的操作容易,管理简单,技术灵活等特性,在城域网的组建中突颖而出,占了很大比例。

  我们宜兴广电宽带网主要是以extreme公司的三层交换机为核心交换设备,以VLAN为实现手段和方法,为集团用户提供高速以太专线,用来实现高速上网或者集团内部之间实现自己的数据业务和其他业务,如视频点播之类。这种组网方法在如今新组建的宽带城域网中占大多数,因为在以VLAN为实现方法时,配合线速路由交换机,克服传统路由的路由瓶颈,使得城域网的性能比起传统网络来有了大幅度的提升。在这里,不想谈太多的VLAN方面的东西,主要是想结合自己的实际,谈一下VLAN的一个独特的功能―――VLAN聚合(vlan aggregation)。

  当然,前提是交换机支持VLAN聚合。现在一般的三层交换机都支持,对用户作用也很大。一旦我们使用VLAN聚合功能,就允许客户端在同一子网里使用不同的广播域,但是这些客户端使用的还是同一个路由接口,从而达到增强IP地址利用率的目的。可以跟VLAN做比较,通常一个VLAN,一个子网,也即一个广播域,一个路由接口(本文中谈的都是三层VLAN),而VLAN聚合则把一个子网段分成地址段,即几个广播域,IP地址和路由接口都不变,至于子网段之间的通讯与否,可以根据需要设置。

  使用VLAN聚合时,超VLAN可以定义一个任意IP地址,但是没有自己的成员端口,端口都是指定在子VLAN中。子VLAN作为超VLAN的成员,并没有自己的IP地址,而是使用超VLAN的IP地址作为自己的路由接口地址。通常,客户端都是指定在子VLAN内,我们可以在子VLAN中有选择的分配给一些地址段,前提是这些地址段必须在超VLAN的子网范围内,以便于我们更好的管理IP地址。当然,根据需要,我们可以控制各子VLAN之间是否需要通讯。我们平时使用时,子VLAN可以很小,但是必须要为今后网络的扩容而且不重新定义子网的情况留下空间,

  假如不使用VLAN聚合,即通常使用VLAN的情况,每个VLAN需要一个路由接口地址,并且需要大的子网。结果是不能有效的利用IP地址,造成浪费。

  

  Vlan聚合示意图

  VLAN聚合是VLAN的一项比较独特的功能,在使用中有如下特性:

  ●所有广播包和未知流量都局限在子VLAN内部,不会跨越子VLAN边界。子VLAN内部的所有流量只在子VLAN内部交换,这样可以有效的隔离子VLAN之间的流量。

  ●客户端即主机都放置在子VLAN内。在超VLAN的路由接口地址范围内,每台主机可以任意设置一个IP地址。在子VLAN内的每台主机的子网掩码都是和超VLAN定义的子网掩码相同,并且他们的路由地址即网关就是超VLAN的路由接口地址。

  ●子VLAN之间的所有流量都是通过超VLAN来路由的。例如,在子VLAN间不会有ICMP重定向产生,因为超VLAN为子VLAN进行了路由。当一个子VLAN加入到超VLAN中时,在IP arp表中会自动加入一个arp表项,这就使得IP单播包可以穿越子VLAN。为安全起见,我们可以关闭掉这项功能。

  ●当超VLAN启用组播路由协议时,子VLAN间的IP组播流量将被路由。

  当然,VLAN聚合也有它的局限性:

  ●子VLAN不能有其他的路由接口,它的路由只能在超VLAN上进行。

  ●子VLAN不能成为超VLAN。

  ●子VLAN不能指定IP地址,即路由接口地址。

  ●通常,超VLAN没有成员端口,除了一些特定场合。

  ●如果客户机从一个子VLAN移到另一个子VLAN,必须在客户机和交换机上清除IP arp缓存以继续通讯。

  通常,我们还可以给每个子VLAN设置地址段,以避免地址段以外的非法客户端进入网络。但是我们要注意,假如多个子VLAN定义了重复的地址段,交换机并不提供错误检查,从而在超VLAN和子VLAN的arp过程中带来错误。这一点尤其要注意。

  设置一个子VLAN的地址段,可以用如下命令:(本文中命令配置以extreme交换机为例)

  config vlan subvlan-address-range -

  删除一个子VLAN的地址段:

  config vlan subvlan-address-range 0.0.0.0 – 0.0.0.0

  为了在子VLAN间可以通讯,交换机默认在超VLAN的IP arp表中生成一个表项来提供arp代理功能。这样,使得一个子VLAN的客户机可以和另一个子VLAN的客户机进行通讯。当然,出于安全需要我们可以关闭此功能。关闭超VLAN的IP arp表项自动添加功能,我们可以用如下命令:

  disable subvlan-proxy-arp vlan

  最后,结合extreme交换机举个VLAN聚合的例子:

  1.建立一个VLAN,指定路由地址,但没有成员端口,作为超VLAN,并且启动路由。

  create vlan super

  config super ipaddress 192.201.3.1/24

  enable ipforwarding

  enable ospf

  config ospf add super

  2.建立子VLAN并加入成员端口。

  create vlan sub1

  con sub1 add port 1-4

  create vlan sub2

  config sub2 add po 5-8

  create vlan sub3

  config sub3 add po 9-12

  3.把子VLAN加入到超VLAN。  

  config super add subvlan sub1

  config super add subvlan sub2

  config super add subvlan sub3

  4.如果要阻止各子VLAN通讯,默认为允许。

  disable subvlan-proxy-arp super

  如要查看配置信息,用show vlan 命令。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章