VLAN聚合特性及其實例配置介紹

2019-11-04 20:26:05

字體：大中小

來源：轉載

供稿：網友

　　如今,談起網絡,馬上就會讓人反應到寬帶．除了各電信公司,現在全國的廣電網絡公司也都建立起了自己的寬帶ip城域網，用來承載數據業務以及其他增值業務。在眾多寬帶網組建方案中，IP網以其獨有的操作輕易，治理簡單，技術靈活等特性，在城域網的組建中突穎而出，占了很大比例。我們宜興廣電寬帶網主要是以extreme公司的三層交換機為核心交換設備，以VLAN為實現手段和方法，為集團用戶提供高速以太專線，用來實現高速上網或者集團內部之間實現自己的數據業務和其他業務，如視頻點播之類。這種組網方法在如今新組建的寬帶城域網中占大多數，因為在以VLAN為實現方法時，配合線速路由交換機，克服傳統路由的路由瓶頸，使得城域網的性能比起傳統網絡來有了大幅度的提升。在這里，不想談太多的VLAN方面的東西，主要是想結合自己的實際，談一下VLAN的一個獨特的功能―――VLAN聚合（vlan aggregation）。
　　
　　當然，前提是交換機支持VLAN聚合。現在一般的三層交換機都支持，對用戶作用也很大。一旦我們使用VLAN聚合功能，就答應客戶端在同一子網里使用不同的廣播域，但是這些客戶端使用的還是同一個路由接口，從而達到增強IP地址利用率的目的。可以跟VLAN做比較，通常一個VLAN，一個子網，也即一個廣播域，一個路由接口（本文中談的都是三層VLAN），而VLAN聚合則把一個子網段分成地址段，即幾個廣播域，IP地址和路由接口都不變，至于子網段之間的通訊與否，可以根據需要設置。
　　
　　使用VLAN聚合時，超VLAN可以定義一個任意IP地址，但是沒有自己的成員端口，端口都是指定在子VLAN中。子VLAN作為超VLAN的成員，并沒有自己的IP地址，而是使用超VLAN的IP地址作為自己的路由接口地址。通常，客戶端都是指定在子VLAN內，我們可以在子VLAN中有選擇的分配給一些地址段，前提是這些地址段必須在超VLAN的子網范圍內，以便于我們更好的治理IP地址。當然，根據需要，我們可以控制各子VLAN之間是否需要通訊。我們平時使用時，子VLAN可以很小，但是必須要為今后網絡的擴容而且不重新定義子網的情況留下空間，
　　
　　假如不使用VLAN聚合，即通常使用VLAN的情況，每個VLAN需要一個路由接口地址，并且需要大的子網。結果是不能有效的利用IP地址，造成浪費。
　　 VLAN聚合特性及其實例配置介紹

　　Vlan聚合示意圖
　　VLAN聚合是VLAN的一項比較獨特的功能，在使用中有如下特性：
　　
　　●所有廣播包和未知流量都局限在子VLAN內部，不會跨越子VLAN邊界。子VLAN內部的所有流量只在子VLAN內部交換，這樣可以有效的隔離子VLAN之間的流量。
　　
　　●客戶端即主機都放置在子VLAN內。在超VLAN的路由接口地址范圍內，每臺主機可以任意設置一個IP地址。在子VLAN內的每臺主機的子網掩碼都是和超VLAN定義的子網掩碼相同，并且他們的路由地址即網關就是超VLAN的路由接口地址。
　　
　　●子VLAN之間的所有流量都是通過超VLAN來路由的。例如，在子VLAN間不會有ICMP重定向產生，因為超VLAN為子VLAN進行了路由。當一個子VLAN加入到超VLAN中時，在IP　arp表中會自動加入一個arp表項，這就使得IP單播包可以穿越子VLAN。為安全起見，我們可以關閉掉這項功能。
　　
　　●當超VLAN啟用組播路由協議時，子VLAN間的IP組播流量將被路由。
　　
　　當然，VLAN聚合也有它的局限性：
　　
　　●子VLAN不能有其他的路由接口，它的路由只能在超VLAN上進行。
　　
　　●子VLAN不能成為超VLAN。
　　
　　●子VLAN不能指定IP地址，即路由接口地址。
　　
　　●通常，超VLAN沒有成員端口，除了一些特定場合。
　　
　　●假如客戶機從一個子VLAN移到另一個子VLAN，必須在客戶機和交換機上清除IP　arp緩存以繼續通訊。
　　
　　通常，我們還可以給每個子VLAN設置地址段，以避免地址段以外的非法客戶端進入網絡。但是我們要注重，假如多個子VLAN定義了重復的地址段，交換機并不提供錯誤檢查，從而在超VLAN和子VLAN的arp過程中帶來錯誤。這一點尤其要注重。
　　
　　設置一個子VLAN的地址段，可以用如下命令：（本文中命令配置以extreme交換機為例）
　　
　　config vlan <name> subvlan-address-range <ip_address> - <ip_address>
　　刪除一個子VLAN的地址段：
　　config vlan <name> subvlan-address-range 0.0.0.0 – 0.0.0.0
　　
　　為了在子VLAN間可以通訊，交換機默認在超VLAN的IP　arp表中生成一個表項來提供arp代理功能。這樣，使得一個子VLAN的客戶機可以和另一個子VLAN的客戶機進行通訊。當然，出于安全需要我們可以關閉此功能。關閉超VLAN的IP　arp表項自動添加功能，我們可以用如下命令：
　　
　　disable subvlan-proxy-arp vlan <super-vlan name>
　　
　　最后，結合extreme交換機舉個VLAN聚合的例子：
　　
　　１．建立一個VLAN，指定路由地址，但沒有成員端口，作為超VLAN，并且啟動路由。
　　
　　create vlan super
　　config super ipaddress 192.201.3.1/24
　　enable ipforwarding
　　enable ospf
　　config ospf add super
　　
　　２．建立子VLAN并加入成員端口。
　　
　　create vlan sub1
　　con sub1 add port 1-4
　　create vlan sub2
　　config sub2 add po 5-8
　　create vlan sub3
　　config sub3 add po 9-12
　　
　　３．把子VLAN加入到超VLAN。
　　
　　config super add subvlan sub1
　　config super add subvlan sub2
　　config super add subvlan sub3
　　
　　４．假如要阻止各子VLAN通訊，默認為答應。
　　
　　disable subvlan-PRoxy-arp super
　　
　　如要查看配置信息，用show vlan <vlan_name>命令。

上一篇：典型的以太網絡中建立多個VLAN實例

下一篇：企業的無線安全問題綜合解決方案