subvlan、supervlan原理

1、Sub VLAN主機(jī)的三層通信原理Sub VLAN主機(jī)的三層通信原理 在此篇文章（ ）中，筆者介紹了H3C交換機(jī)Spuer VLAN的聚合原理，本節(jié)接著要介紹Super VLAN中的Sub VLAN（從VLAN）間主機(jī)的三層通信原理。20.3.2 Sub VLAN主機(jī)的三層通信原理我們在前面已說到，Super VLAN（也就是VLAN聚合）方案中，在實(shí)現(xiàn)不同Sub VLAN間共用同一子網(wǎng)網(wǎng)段地址的同時也帶來了Sub VLAN間的三層轉(zhuǎn)發(fā)問題。因?yàn)樵谄胀╒LAN中，VLAN間的主機(jī)可以通過各自不同的網(wǎng)關(guān)（也就是它們自己的VLAN接口IP地址）進(jìn)行三層轉(zhuǎn)發(fā)來達(dá)到互通的目的。但是在Supe

2、r VLAN方案中下，各Sub VLAN是不允許配置VLAN接口IP地址的，同一個Super VLAN內(nèi)的所有主機(jī)使用的是同一個網(wǎng)段的地址和共用同一個網(wǎng)關(guān)地址，即使是屬于不同的Sub VLAN的主機(jī)。由于它們同屬一個子網(wǎng)，彼此通信時只會做二層轉(zhuǎn)發(fā)，而不會通過網(wǎng)關(guān)進(jìn)行三層轉(zhuǎn)發(fā)。而實(shí)際上不同的Sub VLAN的主機(jī)在二層又是相互隔離的（這是繼承普通VLAN的屬性），這就造成了Sub VLAN間無法通信（包括二層通信和三層通信）的問題。 解決這一問題的方法就是使用ARP代理。下面具體進(jìn)行介紹。1.    不同Sub VLAN間的三層互通    例如，

3、如圖20-7所示的網(wǎng)絡(luò)中，Super VLAN（VLAN 10）包含Sub VLAN（VLAN 2和VLAN 3）。VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址為1.1.1.1/24。VLAN 2內(nèi)的主機(jī)A與VLAN 3內(nèi)的主機(jī)B的通信過程如下：（假設(shè)主機(jī)A的ARP表中沒有主機(jī)B的對應(yīng)ARP表項(xiàng)，并且在擔(dān)當(dāng)網(wǎng)關(guān)的交換機(jī)上啟用了Sub VLAN間的ARP代理功能）。 圖20-7 通過ARP代理實(shí)現(xiàn)不同Sub VLAN間三層互通的示例（1）主機(jī)A將主機(jī)B的IP地址（1.1.1.3）和自己所在網(wǎng)段1.1.1.0/24進(jìn)行比較，發(fā)現(xiàn)主機(jī)B和自己在

4、同一個子網(wǎng)，但是主機(jī)A的ARP表中沒有主機(jī)B的對應(yīng)表項(xiàng)，于是主機(jī)A發(fā)送ARP廣播，請求主機(jī)B的MAC地址。（2）由于主機(jī)B并不在VLAN 2的廣播域內(nèi)，無法接收到主機(jī)A的這個ARP請求。但由于在網(wǎng)關(guān)上啟用了Sub VLAN間的ARP代理功能，而且網(wǎng)關(guān)是在Sub VLAN中，是允許接收其下面各Sub VLAN報文的，所以當(dāng)網(wǎng)關(guān)收到主機(jī)A的ARP請求后，開始在路由表中查找，發(fā)現(xiàn)ARP請求中的主機(jī)B的IP地址（1.1.1.3）為直連接口路由，則網(wǎng)關(guān)向所有其他Sub VLAN接口發(fā)送一個ARP廣播，請求主機(jī)B的MAC地址。 （3）當(dāng)主機(jī)B收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對此請求進(jìn)行ARP應(yīng)答。（

5、4）在網(wǎng)關(guān)收到主機(jī)B的應(yīng)答后，就把自己的MAC地當(dāng)作B的MAC地址回應(yīng)給主機(jī)A。（5）主機(jī)A收到網(wǎng)關(guān)發(fā)來的響應(yīng)后就認(rèn)為主機(jī)B的MAC地址就是網(wǎng)關(guān)的MAC地址，于時主機(jī)A之后要發(fā)給B的報文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。主機(jī)B發(fā)送報文給主機(jī)A的過程和上述的A到B的報文流程類似，不再贅述。 2.    Sub VLAN與外部網(wǎng)絡(luò)的二層通信在基于端口的VLAN二層通信中，無論是數(shù)據(jù)幀進(jìn)入接口，還是從接口發(fā)出都不會有針對Super VLAN的報文，也不會把報文的VLAN ID改為Super VLAN對應(yīng)的VLAN ID，而是保持報文中原來的VLAN ID不變，因?yàn)樵赟u

6、per VLAN中根本沒有端口（這是關(guān)鍵）?，F(xiàn)以如圖20-8所示的例子進(jìn)行說明。從Host A側(cè)GE0/0/1進(jìn)入設(shè)備Switch1的幀會被打上VLAN2的標(biāo)記，在設(shè)備Switch1中這個標(biāo)記不會因?yàn)閂LAN 2是VLAN 10的Sub VLAN而變?yōu)閂LAN 10的標(biāo)記。這樣，該數(shù)據(jù)幀從Trunk類型的接口GE0/0/3出去時，依然是攜帶VLAN2的標(biāo)記。也就是說，Switch1本身不會發(fā)出VLAN 10的報文，就算其他設(shè)備有VLAN 10的報文發(fā)送到該設(shè)備上，這些報文也會因?yàn)镾witch1上沒有VLAN 10對應(yīng)物理端口而被丟棄。     【經(jīng)驗(yàn)之談】由于Su

7、per VLAN中是不允許有物理端口的，所以在配置過程中需要注意Super VLAN和Trunk鏈路的配置次序問題。如果先配置了Super VLAN，再配置Trunk接口時，Trunk的VLAN許可表項(xiàng)里也會自動濾除了Super VLAN。如在如圖20-8中，雖然Switch1的GE0/0/3允許所有的VLAN通過，但是也不會有作為Super VLAN的VLAN 10的報文從該接口進(jìn)出。但是，如果先配好了Trunk端口，并允許所有VLAN通過，則在此設(shè)備上將無法配置Super VLAN。本質(zhì)原因是有物理端口的VLAN都不能被配置為Super VLAN。而允許所有VLAN通過的Trunk端口是所

8、有VLAN的端口，這樣一來，任何VLAN都不能被配置為Super VLAN。這一點(diǎn)一定要謹(jǐn)記。在本示例中，對于Switch1而言，有效的VLAN只有VLAN2和VLAN3，所有的數(shù)據(jù)幀都在這兩個VLAN中轉(zhuǎn)發(fā)的。 圖20-8  通過ARP代理實(shí)現(xiàn)Sub VLAN與外部網(wǎng)絡(luò)的二層通信的示例3.    Sub VLAN與外部網(wǎng)絡(luò)的三層通信下面以圖20-9所示的例子介紹通過ARP代理實(shí)現(xiàn)Sub VLAN與外部網(wǎng)絡(luò)的三層通信原理。在示例中，Switch1上配置了Super VLAN 10，Sub VLAN 2和Sub VLAN 3，并配置一個普通的VLAN 30

9、；Switch2上配置兩個普通的VLAN 30和VLAN 20。假設(shè)Super VLAN 10中的Sub VLAN 2下的主機(jī)A想訪問與Switch2相連的主機(jī)C，則會經(jīng)過以下下流程如下：（假設(shè)Swith1上已配置了去往1.1.3.0/24網(wǎng)段的路由，Swith2上已配置了去往1.1.1.0/24網(wǎng)段的路由）： 圖20-9  通過ARP代理實(shí)現(xiàn)Sub VLAN與外部網(wǎng)絡(luò)的三層通信的示例（1）首先主機(jī)A將主機(jī)C的IP地址（1.1.3.2）和自己所在網(wǎng)段1.1.1.0/24進(jìn)行比較，發(fā)現(xiàn)主機(jī)C和自己不在同一個子網(wǎng)。于是，主機(jī)A向自己的網(wǎng)關(guān)（Super VLAN 10接口）發(fā)送一

10、個ARP請求（其實(shí)它不僅是給網(wǎng)關(guān)發(fā)送了這個請求，而是向整個VLAN 2中節(jié)點(diǎn)發(fā)送了這個請求），請求網(wǎng)關(guān)的MAC地址。（2）Switch1在收到該主機(jī)A發(fā)送的ARP請求后，查找Sub VLAN和Super VLAN的對應(yīng)關(guān)系，以源MAC地址為Super VLAN 10 對應(yīng)的VLANIF10的MAC地址作為目的主機(jī)C的目的MAC地址從Sub VLAN 2發(fā)送ARP應(yīng)答給主機(jī)A。    （3）這樣主機(jī)A就以網(wǎng)關(guān)MAC地址作為主機(jī)C的MAC地址記錄在MAC表項(xiàng)。然后主機(jī)A向網(wǎng)關(guān)發(fā)送以Super VLAN 10對應(yīng)的VLANIF10的MAC地址作為目的MAC地址，主機(jī)C的IP地址1

11、.1.3.2作為目的IP地址的報文。（4）Switch1在收到主機(jī)A發(fā)送的報文后，根據(jù)所設(shè)置的路由進(jìn)行三層轉(zhuǎn)發(fā)，下一跳地址為1.1.2.2，出接口為Switch2中的VLANIF30接口，把報文發(fā)送給Switch2。 （5）Switch2在收到該報文后通過直連出接口VLANIF20（注意，在同一臺交換機(jī)上直接的多個網(wǎng)段之間是不存在跳數(shù)的，可直接進(jìn)行三層轉(zhuǎn)發(fā)），把報文發(fā)送給主機(jī)C。（6）主機(jī)C在收到主機(jī)A發(fā)送的報文后，發(fā)送響應(yīng)報文，經(jīng)過Switch2上的VLANIF30接口進(jìn)行三層轉(zhuǎn)發(fā)到達(dá)Switch1的VLANIF30接口。（7）Switch1在收到該報文后再通過Super VLAN

12、 10這個網(wǎng)關(guān)接口，把報文發(fā)送給主機(jī)A。這樣就完成了Sub VLAN與外部網(wǎng)絡(luò)的整個三層通信。不再難懂的Super VLAN聚合原理2012-07-26 11:24:03     我來說兩句     收藏    我要投稿不再難懂的Super VLAN聚合原理  Super VLAN（超級VLAN）也是主要應(yīng)用于服務(wù)提供商網(wǎng)絡(luò)中，用于解決目前IPv4地址資源日趨緊張的問題。Super VLAN又稱為VLAN聚合（VLAN Aggregation），其原理就是

13、將一個Super VLAN和多個Sub VLAN（子VLAN）關(guān)聯(lián)（與前面介紹的Isolate-user-VLAN有些類似），但Super VLAN內(nèi)不能加入物理端口，卻可以創(chuàng)建對應(yīng)的VLAN接口，在該VLAN接口下可以配置IP地址（這點(diǎn)有些特別，因?yàn)槠胀╒LAN中是需要有至少一個活躍的端口才可以激活VLAN的）；Sub VLAN可以加入物理端口，但不能創(chuàng)建對應(yīng)的VLAN接口，所有Sub VLAN內(nèi)的端口共用Super VLAN的VLAN接口IP地址作為默認(rèn)網(wǎng)關(guān)，從而節(jié)省了IP地址資源；不同Sub VLAN之間仍像普通VLAN一樣采用二層相互隔離。    在H3C交換機(jī)中并

14、不是所有系列都支持Isolate-user-VLAN，主要是H3C S5500和S7500兩個系列支持。    前面說了，Super VLAN就是VLAN Aggregation（VLAN聚合）技術(shù)，它可以使同一個交換機(jī)中連接的多個不同VLAN、相同IP網(wǎng)段中的主機(jī)分配使用同一個默認(rèn)網(wǎng)關(guān)進(jìn)行三層通信。我們知道，在普通VLAN中即使所有VLAN都是處于同一IP網(wǎng)段，都得為每個VLAN配置一個VLAN接口IP地址作為本VLAN的默認(rèn)網(wǎng)關(guān)。當(dāng)然，普通VLAN的應(yīng)用主要是一個VLAN 對應(yīng)一個子網(wǎng)（如圖20-5所示）同樣在網(wǎng)絡(luò)中的VLAN數(shù)量較多時，浪費(fèi)了大量的IP地址資源。 &#

15、160;    圖20-5  普通VLAN中的IP地址分配    在圖2-5所示的示例中，VLAN 2預(yù)計(jì)未來有10個主機(jī)地址的需求，給其分配一個掩碼長度是28的子網(wǎng)1.1.1.0/28，其中1.1.1.0為子網(wǎng)號，1.1.1.15為子網(wǎng)定向廣播地址，這兩個地址都不能用作主機(jī)地址，此外1.1.1.1作為子網(wǎng)缺省網(wǎng)關(guān)地址也不可作為主機(jī)地址，剩下范圍在1.1.1.21.1.1.14的地址可以被主機(jī)使用，共13個。這樣，盡管VLAN2只需要10個地址，但是按照子網(wǎng)劃分卻要分給它13個地址。同理，VLAN 3預(yù)計(jì)未來有5個主機(jī)地址的需求，至少需要分配一

16、個掩碼長度是29的子網(wǎng)1.1.1.16/29。VLAN 4預(yù)計(jì)未來只有1個主機(jī)，則分配一個掩碼長度是30的子網(wǎng)1.1.1.24/30。如表20-6所示。表20-6   普通VLAN主機(jī)IP地址分配示例VLAN對應(yīng)子網(wǎng)對應(yīng)網(wǎng)關(guān)地址可用地址數(shù)可用主機(jī)數(shù)實(shí)際需求21.1.1.0/281.1.1.114131031.1.1.16/291.1.1.176    5541.1.1.24/301.1.1.25211    上述三個VLAN一共需要10+5+116個地址，但是按照普通VLAN的編址方式，即使最優(yōu)化的方案也需要占用168428個地址，浪費(fèi)了將近一

17、半的地址。而且，如果VLAN2后來并沒有10臺主機(jī)，而實(shí)際只接入了3臺主機(jī)，那么多出來的地址也會因不能再被其他VLAN使用而被浪費(fèi)掉。    同時，這種劃分也給后續(xù)的網(wǎng)絡(luò)升級和擴(kuò)展帶來了很大不便。假設(shè)VLAN 4今后需要再增加2臺主機(jī)，而又不愿意改變已經(jīng)分配的IP地址。并且在1.1.1.24后面的地址已經(jīng)分配給了其他人的情況下，只能再給VLAN 4的新用戶重新分配一個的29位掩碼的子網(wǎng)和一個新的VLAN。這樣VLAN4中的客戶雖然只有3臺主機(jī)，但是卻被分配在兩個子網(wǎng)中，并且也不在同一個VLAN內(nèi)，不利于網(wǎng)絡(luò)管理。    從上可以看出，很多IP地址被子網(wǎng)號

18、、子網(wǎng)定向廣播地址、子網(wǎng)缺省網(wǎng)關(guān)地址消耗掉，而不能用于VLAN內(nèi)的主機(jī)地址。同時，這種地址分配的約束也降低了編址的靈活性，使許多閑置地址也被浪費(fèi)掉。為了解決這一問題VLAN聚合（就像端口聚合一樣的道理）就應(yīng)運(yùn)而生。    VLAN聚合的主要優(yōu)點(diǎn)是節(jié)省IP地址，它通常將多個不同的VLAN劃分至同一IP子網(wǎng)，而不是每個VLAN單獨(dú)占用一個子網(wǎng)，然后將整個IP子網(wǎng)映射成一個VLAN聚合（Super VLAN），它包含整個IP子網(wǎng)內(nèi)的所有VLAN（Sub VLAN）。這樣一來，不同的Sub VLAN仍保留各自獨(dú)立的廣播域，而一個或多個Sub VLAN同屬于一個Super VLAN，

19、并且都使用Super VLAN的接口地址為默認(rèn)網(wǎng)關(guān)IP地址。當(dāng)不同Sub VLAN中的主機(jī)需要相互之間三層通訊時，需要在Super VLAN上開啟ARP代理。ARP代理（ARP Proxy）在Super VLAN和內(nèi)部Sub VLAN主機(jī)之間起著傳遞ARP包的作用，用于把各主機(jī)的網(wǎng)絡(luò)層地址映射到對應(yīng)主機(jī)的數(shù)據(jù)鏈路層地址。        Super VLAN引入Super VLAN和Sub VLAN的概念。一個Super VLAN可以包含一個或多個保持著不同廣播域的Sub VLAN。在同一個Super VLAN中，無論主機(jī)屬于哪一個Sub VLA

20、N，它的IP地址都在Super VLAN對應(yīng)的子網(wǎng)網(wǎng)段內(nèi)，各個Sub VLAN不再占用一個獨(dú)立的子網(wǎng)網(wǎng)段。這樣，通過Sub VLAN間共用同一個三層接口，既減少了一部分子網(wǎng)號、子網(wǎng)缺省網(wǎng)關(guān)地址和子網(wǎng)定向廣播地址的消耗，又實(shí)現(xiàn)了不同廣播域使用同一子網(wǎng)網(wǎng)段地址，增加了編址的靈活性，減少了閑置地址浪費(fèi)。從而在保證了各個Sub VLAN作為一個獨(dú)立廣播域?qū)崿F(xiàn)了廣播隔離的同時，將以前使用普通VLAN浪費(fèi)掉的IP地址節(jié)省下來。    仍用圖20-5所示的例子進(jìn)行說明。用戶需求不變，仍舊是VLAN 2預(yù)計(jì)未來有10個主機(jī)地址的需求，VLAN 3預(yù)計(jì)未來有5個主機(jī)地址的需求，VLAN 4預(yù)計(jì)未來有1個主機(jī)地址的需求。按照VLAN聚合的實(shí)現(xiàn)方式，新建一個VLAN 10并配置為Super VLAN，給其分配一個掩碼長度是24的子網(wǎng)1.1.1.0/24，其中1.1.1.0為子網(wǎng)號，1.1.1.1為子網(wǎng)網(wǎng)關(guān)地址。三個Sub VLAN（VLAN2、VLAN3、VLAN4）的地址分配就如表20-7所示了。圖20-5就變成了圖20-6所示了，表20-7  VLAN Aggregation主機(jī)地址