?

VLAN技術(shù)在園區(qū)網(wǎng)絡(luò)中應(yīng)用非常廣泛，通常利用VLAN進(jìn)行廣播域的隔離，每個(gè)VLAN屬于一個(gè)廣播域。網(wǎng)絡(luò)規(guī)劃時(shí)需要為每個(gè)廣播域分配一個(gè)網(wǎng)關(guān)，如果VLAN數(shù)量過多，會(huì)導(dǎo)致IP地址規(guī)劃難度加大，甚至?xí)霈F(xiàn)大量IP地址的浪費(fèi)。 本系列主要介紹幾種VLAN的高級(jí)技術(shù)，包括VLAN聚合、MUX VLAN、QinQ，進(jìn)一步加深對(duì)VLAN高級(jí)技術(shù)的理解與應(yīng)用。

”

背景

在一般的三層交換機(jī)中，通常是采用一個(gè)VLAN對(duì)應(yīng)一個(gè)VLANIF接口的方式實(shí)現(xiàn)廣播域之間的互通，這在某些情況下導(dǎo)致了IP地址的浪費(fèi)。 因?yàn)橐粋€(gè)VLAN對(duì)應(yīng)的子網(wǎng)中，子網(wǎng)號(hào)、子網(wǎng)廣播地址、子網(wǎng)網(wǎng)關(guān)地址不能用作VLAN內(nèi)的主機(jī)IP地址，且子網(wǎng)中實(shí)際接入的主機(jī)可能少于可用IP地址數(shù)量，空閑的IP地址也會(huì)因不能再被其他VLAN使用而被浪費(fèi)掉。

?

例如，上圖所示的VLAN規(guī)劃中，VLAN2預(yù)計(jì)未來有10個(gè)主機(jī)地址的需求，但按編址方式，至少需要給其分配一個(gè)掩碼長(zhǎng)度是28的子網(wǎng)10.1.1.0/28，其中10.1.1.0為子網(wǎng)號(hào)，10.1.1.15為子網(wǎng)定向廣播地址，10.1.1.1為子網(wǎng)缺省網(wǎng)關(guān)地址，這三個(gè)地址都不能用作主機(jī)地址，剩下范圍在10.1.1.2～10.1.1.14的地址可以被主機(jī)使用，共13個(gè)。

”

為了解決上述問題，VLAN聚合應(yīng)運(yùn)而生。它通過引入Super-VLAN和Sub-VLAN的概念，使每個(gè)Sub-VLAN對(duì)應(yīng)一個(gè)廣播域，并讓多個(gè)Sub-VLAN和一個(gè)Super-VLAN關(guān)聯(lián)，只給Super-VLAN分配一個(gè)IP子網(wǎng)，所有Sub-VLAN都使用Super-VLAN的IP子網(wǎng)和缺省網(wǎng)關(guān)進(jìn)行三層通信。

什么是VLAN聚合

VLAN聚合（VLAN Aggregation，也稱Super VLAN）指在一個(gè)物理網(wǎng)絡(luò)內(nèi)，用多個(gè)VLAN（稱為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個(gè)邏輯的VLAN（稱為Super-VLAN），這些Sub-VLAN使用同一個(gè)IP子網(wǎng)和缺省網(wǎng)關(guān)，進(jìn)而達(dá)到節(jié)約IP地址資源的目的。

工作原理

相對(duì)每一個(gè)普通VLAN都有一個(gè)三層邏輯接口和若干物理接口，VLAN聚合定義的Super-VLAN和Sub-VLAN比較特殊：

• Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個(gè)Sub-VLAN內(nèi)的主機(jī)與外部的三層通信是靠Super-VLAN的三層VLANIF接口來實(shí)現(xiàn)的。
• Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網(wǎng)網(wǎng)關(guān)對(duì)應(yīng)。與普通VLAN不同的是，它的VLANIF接口的Up不依賴于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

?

按照VLAN聚合的實(shí)現(xiàn)方式，令VLAN10為Super-VLAN，分配子網(wǎng)10.1.1.0/24，VLAN2～VLAN4作為Super-VLAN10的Sub-VLAN。

”

相同Sub-VLAN內(nèi)部通信

同一個(gè)Sub-VLAN之間屬于同一個(gè)廣播域，因此相同Sub-VLAN之間可以通過二層直接通信。

不同Sub-VLAN之間通信舉例

不同Sub-VLAN之間進(jìn)行通信，IP地址屬于相同網(wǎng)段，因此主機(jī)會(huì)發(fā)送ARP請(qǐng)求，但是實(shí)際不同Sub-VLAN之間屬于不同的廣播域，因而ARP報(bào)文無法傳遞到其他Sub-VLAN，ARP請(qǐng)求得不到響應(yīng)，設(shè)備無法學(xué)習(xí)到對(duì)端MAC地址，從而無法完成Sub-VLAN之間通信。 要實(shí)現(xiàn)Sub-VLAN之間的通信，需要在Super-VLAN 的VLANIF中開啟ARP代理功能。

?

Super-VLAN VLANIF100開啟ARP代理之后PC1和PC2之間通信過程如下：

1. PC1發(fā)現(xiàn)PC2與自己在同一網(wǎng)段，且自己ARP表無PC2對(duì)應(yīng)表項(xiàng)，則直接發(fā)送ARP廣播請(qǐng)求PC2的MAC地址。
2. 作為網(wǎng)關(guān)的Super-VLAN對(duì)應(yīng)的VLANIF 100收到PC1的ARP請(qǐng)求，由于網(wǎng)關(guān)上使能Sub-VLAN間的ARP代理功能，則向Super-VLAN 100的所有Sub-VLAN接口發(fā)送一個(gè)ARP廣播，請(qǐng)求PC2的MAC地址。
3. PC2收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對(duì)此請(qǐng)求進(jìn)行ARP應(yīng)答。
4. 網(wǎng)關(guān)收到PC2的應(yīng)答后，就把自己的MAC地址回應(yīng)給PC1，PC1之后要發(fā)給PC2的報(bào)文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。

”

Sub-VLAN與其他設(shè)備的二層通信

• 當(dāng)Sub-VLAN與其他設(shè)備進(jìn)行二層通信時(shí)，與普通的VLAN內(nèi)二層通信無區(qū)別。
• 由于Super-VLAN不屬于任何物理接口，即不會(huì)處理任何攜帶Super-VLAN標(biāo)簽的報(bào)文。

?

Sub-VLAN二層通信過程舉例：

• 從PC1進(jìn)入SW1的報(bào)文會(huì)被打上VLAN10的Tag。在SW1中這個(gè)Tag不會(huì)因?yàn)閂LAN10是VLAN100的Sub-VLAN而變?yōu)閂LAN100的Tag。
• 當(dāng)報(bào)文從SW1的GE0/0/0出去時(shí)，依然攜帶VLAN10的Tag。也就是說，SW1本身不會(huì)發(fā)出VLAN100的報(bào)文。就算其他設(shè)備有VLAN100的報(bào)文發(fā)送到該設(shè)備上，這些報(bào)文也會(huì)因?yàn)镾W1上沒有VLAN100應(yīng)的物理接口而被丟棄。
• 對(duì)于其他設(shè)備而言，有效的VLAN只有Sub-VLAN10，20和30， 所有的報(bào)文都是在這些VLAN中交互的。因此，SW1上雖然配置了VLAN聚合，但與其他設(shè)備的二層通信，不會(huì)涉及到Super-VLAN，與正常的二層通信流程一樣。

”

當(dāng)Sub-VLAN內(nèi)的PC需要與其他網(wǎng)絡(luò)進(jìn)行三層通信時(shí)，首先將數(shù)據(jù)發(fā)往默認(rèn)網(wǎng)關(guān)，即Super-VLAN對(duì)應(yīng)的VLANIF，再進(jìn)行路由。

VLAN聚合應(yīng)用場(chǎng)景

如下圖，某公司擁有多個(gè)部門，為了提升業(yè)務(wù)安全性，將不同部門劃分到不同VLAN中。各部門均有訪問Internet需求，且由于業(yè)務(wù)需要，部門1與部門2間需要互通，部門3與部門4間需要互通，但公司IP地址有限。

?

可通過部署VLAN聚合實(shí)現(xiàn)公司的需求，在Switch上部署Super VLAN 2和Super VLAN 3，將Sub VLAN 21和Sub VLAN 22聚合到Super VLAN 2中，將Sub VLAN 31和Sub VLAN 32聚合到Super VLAN 3中。
這樣，只需在Switch上為Super VLAN 2和Super VLAN 3分配IP地址，部門1和部門2的用戶可通過Super VLAN 2的IP地址訪問Internet，部門3和部門4的用戶可通過Super VLAN 3的IP地址訪問Internet，既實(shí)現(xiàn)了各部門訪問Internet的需求，又節(jié)約了IP地址資源。
同時(shí)，分別在Switch的Super VLAN 2、Super VLAN 3上配置Proxy ARP，即可實(shí)現(xiàn)部門1和部門2間的互通、部門3和部門4間的互通。

”

VLAN聚合關(guān)鍵配置命令

1. 創(chuàng)建Super-VLAN

[Huawei-vlan100] aggregate-vlan

?

• Super-VLAN中不能包含任何物理接口，VLAN1不能配置為Super-VLAN。
• Super-VLAN中的VLAN ID與Sub-VLAN中的VLAN ID 必須使用不同的 VLAN ID。

”

2. 將Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

?

將Sub-VLAN加入到Super-VLAN中時(shí)，必須保證Sub-VLAN沒有創(chuàng)建對(duì)應(yīng)的VLANIF接口。

”

3. （可選）使能Super-VLAN對(duì)應(yīng)的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable

?

使能Sub-VLAN間的Proxy ARP功能。

”

配置舉例

?

某公司擁有多個(gè)部門且位于同一網(wǎng)段，為了提升業(yè)務(wù)安全性，將不同部門的用戶劃分到不同VLAN中，如上圖所示，VLAN2和VLAN3屬于不同部門。各部門均有訪問Internet需求，同時(shí)由于業(yè)務(wù)需要，不同部門間的用戶需要互通。

”

配置思路

可以在SwitchB上部署VLAN聚合，將不同部門的VLAN聚合到Super VLAN中，這樣，不同部門的用戶可通過Super VLAN訪問Internet。同時(shí)，為使部門間用戶互通，在Super VLAN上部署Proxy ARP功能。采用如下思路配置VLAN聚合：

1. 在SwitchA和SwitchB上配置VLAN和接口，將不同部門用戶劃分到不同VLAN中，并透?jìng)鞲鱒LAN到SwitchB。
2. 在SwitchB上配置Super-VLAN及其對(duì)應(yīng)的VLANIF接口、上行路由，使不同部門的用戶能夠訪問Internet。
3. 在SwitchB上啟用Super-VLAN的Proxy ARP功能，使不同部門的用戶間三層互通。

操作步驟

1. 基本配置，就不再贅述。給出的是關(guān)鍵配置
2. 在SwitchB上配置Super-VLAN 4，并將VLAN2、VLAN3加入到Super-VLAN 4，作為其Sub-VLAN。

[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit

3. 創(chuàng)建并配置VLANIF4，使不同部門的用戶可通過Super-VLAN 4訪問Internet。

[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit

4. 在SwitchB上配置一條到出口網(wǎng)關(guān)Router的缺省靜態(tài)路由，使用戶能夠訪問Internet。

[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2

5. 在SwitchB的Super-VLAN 4下配置Proxy ARP，使不同部門的用戶間三層互通。

[SwitchB] interface vlanif 4 
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit