super-vlan 和 mux-vlan

Posted 天空飘雨

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了super-vlan 和 mux-vlan相关的知识,希望对你有一定的参考价值。

1.super vlan 的概念:

  • VLAN Aggregation使处于相同子网的VLAN实现广播隔离。同网段事现隔离广播。
  • Super-VLAN,只建立三层接口,不包含物理端口,是若干Sub-VLAN 的集合
  • Sub-VLAN,只包含物理端口,不能创建三层接口,用于隔离广播域的VLAN,通过Super-VLAN与外部实现三层交换

  • 一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。

  • \'super-vlan
    2.super vlan 通信原理
  • \'super-vlan

  • Super-VLAN(VLAN10)包含Sub-VLAN(VLAN2 和VLAN3)

    上述拓扑假设S1已经开启了Sub-VLAN间的ARP Proxy功能,通信过程如下:

    • PC1将PC2的IP 地址(1.1.1.20)和自己所在网段1.1.1.0/24 进行比较,发现PC2和自己在同一个子网,但是PC1的ARP表中无PC2的对应表项。
    • PC1发送ARP广播,请求PC2的MAC 地址。
    • PC2并不在VLAN2的广播域内,无法接收到PC1的这个ARP请求。
    • 由于网关上使能Sub-VLAN间的ARP Proxy,当网关收到PC1的ARP请求后,开始在路由表中查找,发现ARP请求中的PC2的IP地址(1.1.1.20)为直连接口路由,则网关向所有其他Sub-VLAN接口发送一个ARP广播,请求PC2的MAC地址。
    • PC2收到网关发送的ARP广播后,对此请求进行ARP应答。
    • 网关收到PC2的应答后,就把自己的MAC地址当作PC2的MAC地址回应给PC1。
    • 网关和PC1的ARP表项中都存在PC2的对应表项。
    • PC1之后要发给B的报文都先发送给网关,由网关做三层转发
  • \'super-vlan

  • 从PC1侧Port1进入设备S1的帧会被打上VLAN2的Tag,在设备S1中这个Tag不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的Tag。该数据帧从Trunk类型的接口Port3出去时,依然是携带VLAN2的Tag。设备S1本身不会发出VLAN10的报文。就算其他设备有VLAN10的报文发送到该设备上,这些报文也会因为设备S1上没有VLAN10对应物理端口而被丢弃。

    Super-VLAN中是不存在物理端口的,这种限制是强制的,表现在:

    如果先配置了Super-VLAN,再配置Trunk接口时,Trunk的VLAN allowed表项里就自动滤除了Super VLAN。

    如果先配好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因是有物理端口的VLAN都不能被配置为Super VLAN。而允许所有VLAN通过的Trunk端口是所有VLAN的tagged端口,当然任何VLAN 都不能被配置为Super VLAN。

    对于设备S1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发的。

  • \'super-vlan

  • lS2上配置了Super-VLAN 4,Sub-VLAN 2和Sub-VLAN 3,并配置一个普通的VLAN10;Switch1上配置两个普通的VLAN 10和VLAN 20。假设Super-VLAN 4中的Sub-VLAN 2下的PC1想访问与S1 相连的主机PC3,假设设S2上已配置了去往1.1.3.0/24网段的路由,Switch1上已配置了去往1.1.1.0/24网段的路由:

    • PC1将PC3的IP地址(1.1.3.2)和自己所在网段1.1.1.0/24进行比较,发现PC3和自己不在同一个子网。
    • PC1发送ARP请求给自己的网关,请求网关的MAC地址。
    • S2收到该ARP请求后,查找Sub-VLAN和Super-VLAN的对应关系,从Sub-VLAN 2发送ARP应答给PC1。ARP应答报文中的源MAC地址为Super-VLAN 4对应的VLANIF4的MAC地址。
    • PC1学习到网关的MAC地址。
    • PC1向网关发送目的MAC为Super-VLAN 4对应的VLANIF4的MAC、目的IP为1.1.3.2的报文。
    • S2收到该报文后进行三层转发,下一跳地址为1.1.2.2,出接口为VLANIF10,把报文发送给S1。
    • S1收到该报文后进行三层转发,通过直连出接口VLANIF20,把报文发送给PC3。
    • PC3的回应报文,在Switch2上进行三层转发到达Switch1。
    • Switch1收到该报文后进行三层转发,通过super-VLAN,把报文发送给PC1。
      3.super vlan 配置命令:
  • \'super-vlan
    4. mux vlan 概念
  • \'super-vlan

  • MUX VLAN的划分:

    p主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。

    p隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。

    p互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。

    如图所示,根据MUX VLAN特性,解决方案如下:

    企业管理员可以将服务器划分到Principal VLAN。

    MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。

    由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。

    这样就能够实现:

    企业外来访客、企业员工都能够访问企业服务器。

    企业员工部门内部可以通信,而企业员工部门之间不能通信。

    企业外来访客间不能通信、外来访客和企业员工之间不能互访。

    5.mux vlan的配置命令:

  • \'super-vlan

  • 实现企业外来访客、企业员工都能够访问企业服务器,而企业同部门员工可以通信,不同部门员工不能通信;企业外来访客间不能通信;企业外来访客和企业员工之间不能互访。

    将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;

    企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;

    企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。

  • SWB配置:

    sysname SWB

    #

    vlan batch 10 20 30 40

    #

    vlan 10

     description Financial VLAN

    vlan 20

     description Marketing VLAN

    vlan 30

     description Client VLAN

    vlan 40

     description Principal VLAN

     mux-vlan                                       //将VLAN 40设置为Principal VLAN

     subordinate separate 30               //将VLAN 30设置为Separate VLAN

     subordinate group 10 20              //将VLAN 10与VLAN 20设置为Group VLAN

    #

    interface GigabitEthernet0/0/1

     port link-type trunk

     port trunk allow-pass vlan 10 20 30 40

    #

    interface GigabitEthernet0/0/2

     port link-type trunk

     port trunk allow-pass vlan 10 20 30 40

    #

    interface GigabitEthernet0/0/3

     port link-type access

     port default vlan 40

     port mux-vlan enable                  //在接口下开启MUX VLAN功能

    SWC配置:

    sysname SWC

    #

    vlan batch 10 20 30 40

    #

    vlan 10

     description Financial VLAN

    vlan 20

     description Marketing VLAN

    vlan 30

     description Cilent VLAN

    vlan 40

     description Principal VLAN

     mux-vlan

     subordinate separate 30

     subordinate group 10 20

    #

    interface GigabitEthernet0/0/1

     port link-type trunk

     port trunk allow-pass vlan 10 20 30 40

    #

    interface GigabitEthernet0/0/2

     port link-type access

     port default vlan 10

     port mux-vlan enable

    #

    interface GigabitEthernet0/0/3

     port link-type access

     port default vlan 10

     port mux-vlan enable

    #

    interface GigabitEthernet0/0/4

     port link-type access

     port default vlan 20

     port mux-vlan enable

    #

    interface GigabitEthernet0/0/5

     port link-type access

     port default vlan 20

     port mux-vlan enable

    SWD配置:

    sysname SWD

    #

    vlan batch 10 20 30 40

    #

    vlan 10

     description Financial VLAN

    vlan 20

     description Marketing

    vlan 30

     description Client VLAN

    vlan 40

     description Principal VLAN

     mux-vlan

     subordinate separate 30

     subordinate group 10 20

    #

    interface GigabitEthernet0/0/1

     port link-type trunk

     port trunk allow-pass vlan 10 20 30 40

    #

    interface GigabitEthernet0/0/2

     port link-type access

     port default vlan 30

     port mux-vlan enable

    #

    interface GigabitEthernet0/0/3

     port link-type access

     port default vlan 30

     port mux-vlan enable

  • \'super-vlan

以上是关于super-vlan 和 mux-vlan的主要内容,如果未能解决你的问题,请参考以下文章

Super VLAN原理

最简单易懂的Super VLAN技术详解

关于网络运维学习的阶段性简要总结(华为篇)

& 和 && 区别和联系,| 和 || 区别和联系

第三十一节:扫盲并发和并行同步和异步进程和线程阻塞和非阻塞响应和吞吐等

shell中$()和 ` `${}${!}${#}$[] 和$(()),[ ] 和(( ))和 [[ ]]