交换基础之VLAN间的通信

Posted 2022-05-05 晚风挽着浮云

VLAN间的通信

原理概述

通常情况下，如果不采用一些特殊的方法(如采用Hybrid端口的方法),不同的VLAN之间是不能够进行二层(数据链路层)的通信的，这也是VLAN技术的基本出发点：一般地，VLAN之间的通信是需要在第三层(网络层)才能实现的。实现VLAN间的三层通信的方法有很多，最为传统的方法是使用路由器。除此之外，常用的方法还有很多，例如，在交换机上使用VLANIF接口，在交换机上使用VLAN聚合方法等。

VLAN接口只是一个逻辑意义上的三层接口。采用VLANIF接口的方法时，每一个VLAN都对应了交换机上的一个VLANIF接口，不同的VLAN对应了不同的VLANIF接口，并且每个VLAN中的终端设备的网关地址就是所对应的VLANIF接口的IP地址。显然，使用VLANIF接口方法的一个主要缺点就是比较耗费IP地址资源，这是因为每一个不同的VLAN都必须对应一个不同的VLANIF接口，而每个不同的VLANIF接口都必须配置一个不同的IP地址

VLAN间的通信也可以通过使用VLAN聚合的方法来实现。VLAN聚合使用了两种类型的VLAN，分别称为Sub-VLAN和Super-VLAN。VLAN聚合的方法可以节省大量的IP地址资源，这是因为一个Super-VLAN需要配置一个VLANIF接口，并为该VLANIF接口配置一个IP地址，但该Super-VLAN下的各个Sub-VLAN都无需再配置VLANIF接口。

SuperVLAN和Subvlan区别:

1. Sub VLAN是建立在三层交换机上的二层虚拟接口，Sub VLAN的作用就是用来隔离二层广播域的。
2. Super VLAN又称vlan 聚合。Super VLAN是建立在三层交换机的，可以理解为三层虚拟接口。
3. Sub VLAN与Sub VLAN之间要通信，就是通过在Super VLAN上开户ARP代理来实现通信。俗话说就是父子的关系 。

VLAN的作用：

由于交换机端口有两种VLAN属性，其一是VLANID，其二是VLANTAG，分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG（标签）数据包，不同VLANID端口，可以通过相互允许VLANTAG，构建VLAN。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN不一定是一个广播域，VLAN之间的通信并不一定需要路由网关，其本身可以通过对VLANTAG的相互允许，组成不同访问控制属性的VLAN，当然也可以通过第3层的路由器来完成的，但是，通过VLANID和VLANTAG的允许，VLAN可以为几乎局域网内任何信息集成系统架构逻辑拓扑和访问控制，并且与其它共享物理网路链路的信息系统实现相互间无扰共享。VLAN可以为信息业务和子业务、以及信息业务间提供一个相符合业务结构的虚拟网络拓扑架构并实现访问控制功能。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。

划分VLAN使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。

广播风暴防范：

限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。VLAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

路由和访问控制列表实现VLAN间访问控制：

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，可以采用路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

采用VLAN技术本身来构造访问控制：

VLAN技术本身是以太网技术，其本身可以支持直接采用VLAN构造访问控制，并不需要借用路由，就可以实现完整的以太网网络的VLAN逻辑拓扑和VLAN间访问控制的设计，使得IT系统可以运行在其专用虚拟局域网上，实现IT系统的可靠隔离，同时，实现IT系统的安全的访问控制。

实验目的

理解VLAN之间二层通信和三层通信的区别

掌握VLAN接口的配置方法

掌握VLAN聚合的配置方法

实验拓扑

 

1：基本配置

在SW1和SW3上创建VLAN2和VLAN3，并将相应的端口划分至对应的VLAN

[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 3

 

[SW3]int g0/0/1
[SW3-GigabitEthernet0/0/1]port link-type access 
[SW3-GigabitEthernet0/0/1]port default vlan 2
[SW3-GigabitEthernet0/0/1]int g0/0/2  
[SW3-GigabitEthernet0/0/2]port link-type access 
[SW3-GigabitEthernet0/0/2]port default vlan 3

在SW1、SW2和SW3上完成Trunk端口的配置，并允许所有VLAN的帧通过Trunk链路

 SW1:

[SW1]int g0/0/23
[SW1-GigabitEthernet0/0/23]port link-type trunk 
[SW1-GigabitEthernet0/0/23]port trunk allow-pass vlan all

 SW2:

[SW3]int g0/0/24
[SW3-GigabitEthernet0/0/24]port link-type trunk 
[SW3-GigabitEthernet0/0/24]port trunk allow-pass vlan all

 SW3:

[SW2]int g0/0/24
[SW2-GigabitEthernet0/0/24]port link-type trunk 
[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan all 
[SW2-GigabitEthernet0/0/24]int g0/0/23
[SW2-GigabitEthernet0/0/23]port link-type trunk 
[SW2-GigabitEthernet0/0/23]port trunk allow-pass vlan all

配置完成后，在PC1上测试与PC3的连通性

 

原来是没有在SW2上创建VLAN

[SW2]vlan batch 2 3

 

可以看到PC1和PC3可以正常通信了

在PC1上使用ping命令测试与PC2和PC4的连通性

 

可以看到，由于PC1与PC2和PC4不属于同一VLAN，所以它们之间的通信现在还无法实现

2：使用VLANIF接口实现VLAN间的通信

在SW2上位VLAN 2创建VLANIF接口，并为VLANIF接口配置IP地址，该IP地址应该是属于VLAN 2的终端电脑的网关地址

[SW2]int vlanif 2
[SW2-Vlanif2]ip add 10.0.1.100 24

在SW2上为VLAN 3创建VLANIF接口，并为VLANIF接口配置IP地址，该IP地址应该是属于VLAN 3的终端电脑的网关地址

[SW2]int vlanif 3
[SW2-Vlanif3]ip add 10.0.2.100 24

配置完成后，在PC1上使用ping命令测试与PC3、PC2以及PC4的连通性

 

可以看到，属于不同VLAN的终端之间现在能够正常通信了

3：使用VLAN聚合实现VLAN间的通信

为了减少VLANIF接口的数目，节省IP地址的使用，我们还可以使用VLAN聚合大方法来实现不同VLAN间的通信

首先，在SW2上清除掉之前已经配置的VLANIF接口(注意，Sub-VLAN不能拥有VLANIF接口)，并创建VLAN4，VLAN4将会作为Super-VLAN。

[SW2]undo interface Vlanif 2
Info: This operation may take a few seconds. Please wait for a moment...succeede
d.

[SW2]undo interface Vlanif 3
Info: This operation may take a few seconds. Please wait for a moment...succeede
d.

Super-VLAN是不能包含任何物理端口的，但目前SW2的G0/0/23和G0/0/24端口已经作为Trunk端口被划分进了所有的VLAN，所以，需要将G0/0/23和G0/0/24端口从VLAN4中移除

[SW2]int g0/0/23
[SW2-GigabitEthernet0/0/23]undo port trunk allow-pass vlan 4
[SW2-GigabitEthernet0/0/23]int g0/0/24
[SW2-GigabitEthernet0/0/24]undo port trunk allow-pass vlan 4

然后，配置VLAN4为Super-VLAN，并将VLAN2与VLAN3作为Sub-VLAN划分进Super-VLAN

[SW2]vlan 4
[SW2-vlan4]aggregate-vlan 
[SW2-vlan4]access-vlan 2 3

配置完成后，在SW2上位VLAN4创建VLANIF接口，并配置该接口的IP地址为10.0.0.100，然后开启ARP代理功能

[SW2-vlan4]int vlan 4
[SW2-Vlanif4]ip add 10.0.0.100 16 
[SW2-Vlanif4]arp-proxy inner-sub-vlan-proxy enable

最后，将所有的终端电脑的网关修改设置为Super-VLAN的VLANIF接口的IP地址，即10.0.1.100

测试PC2与PC1、PC3、PC4的连通性

可以看到，属于不同VLAN的终端之间可以进行正常的通信了

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人！