27、VLAN高级技术

VLAN聚合(Super VLAN)

在一般的三层交换机中,通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通,这样导致了IP地址的浪费。

VLAN Aggregation技术(也称为Super VLAN,即VLAN聚合)就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网。

  • Super-VLAN:只建立三层VLANIF接口
  • Sub-VLAN:只包含物理端口,不能建立VLANIF接口。

与普通VLAN不同:

  • Super-VLAN的VLANIF接口状态取决于所包含的Sub-VLAN的物理接口状态。
    • up:任意的一个Sub-VLAN被up状态的接口放行,且Super-VLAN的VLANIF配置了IP。
    • down:其他情况都为down。
  • 普通VLAN的VLANIF接口状态取决于:
    • up:存在一个up状态的端口放行了该VLAN,同时该VLANIF配置了IP。
    • down:其他情况都为down。

需要再三层交换机上开启ARP代理,子VLAN之间才能进行通信。

image-20240729090124048

同一个Sub-VLAN之间属于同一个广播域,可以直接就行二层通信。

image-20250323093138893

不同Sub-VLAN之间的通信需要Super-VLAN的VLANif下开启arp代理,两个VLAN间通过Super-VLAN的转发来实现通信。

image-20250323093423355

Sub-VLAN与其他设备进行二层通信,与普通的VLNA内二层通信相同。

与其他网络三层通信的话,就把Super-VLAN的VLANif当作网关,与正常的VLAN间通过VLANif实现VLAN间通信一样。

image-20250323093505822

配置命令

image-20240729090124048

创建Super-VLAN,并将Sub-vlan加入Super-VLAN

# 创建vlan 2、3、4、10
[Huawei]vlan batch 2 to 4 10
# 进入vlan10
[Huawei]vlan 10
# 将vlan10配置为聚合vlan
[Huawei-vlan10]aggregate-vlan
# 将2、3、4设置为access vlan
[Huawei-vlan10]access-vlan 2 to 4

注意:

  • Super-VLAN中不能包含任何物理接口,VLAN1不能配置为Super-VLAN。
  • Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID必须使用不同的VLAN ID。
  • 将Sub-VLAN加入到Super-VLAN中时,必须保证Sub-VLAN没有创建对应的VLANIF接口。

创建Super-VLAN对应的VLANIF接口,并配置IP地址。

[Huawei]interface vlanif 10
[Huawei-Vlanif10]ip address 1.1.1.1 24

划分终端的VLAN

[SW]int e0/0/3
[SW-Ethernet0/0/3]port link-type access
[SW-Ethernet0/0/3]port default vlan 3
# 其他接口类似

开启arp代理,使子VLAN间能通信(可选)

[Huawei]interface vlanif 10
[Huawei-Vlanif10]arp-proxy inter-sub-vlan-proxy enable

MUX VLAN

MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。分为:

  • 主VLAN(Principal VLAN):可以与MUX VLAN内的所有接口进行通信。
  • 从VLAN(Subordinate VLAN):从VLAN之间不能互通
    • 隔离型从VLAN (Separate VLAN):从VLAN内部也不能互通。
    • 互通型从VLAN(Group VLAN):从VLAN内部可以互通。

注意:上述所说的都是二层间的通信。

从vlan可以访问主VLAN中的主机,但从VLAN之间不可互相访问。隔离型从VLAN内的主机不能互相访问,互通型VLAN内的主机之间可以互相访问。

image-20240729092213201

配置MUX VLAN,将VLAN2配置成主VLAN,VLAN3配置成互通型从VLAN,VLAN4配置成隔离型从VLAN。

# 创建VLAN
[Huawei]vlan batch 2 3 4
# 进入到VLAN2
[Huawei]vlan 2
# 将VLAN2设置为mux vlan主vlan
[Huawei-vlan2]mux-vlan
# 设置vlan 3为互通型从vlan
[Huawei-vlan2]subordinate group 3
# 设置vlan 3为隔离型从vlan
[Huawei-vlan2]subordinate separate 4

配置接口加入VLAN,并在接口下使能MUX VLAN功能。

[Huawei]interface e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 2
# 启用max-vlan
[Huawei-Ethernet0/0/1]port mux-vlan enable

# 其他的几个接口也是类似的
[Huawei]interface e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 3
[Huawei-Ethernet0/0/1]port mux-vlan enable

做完上边的配置,就可以实现mux-vlan的功能了从vlan中的主机都可以访问到主vlan中的主机,但是从vlan之间主机不能互相访问。隔离型从vlan内部的主机不能互相访问,互通型从vlan内部的主机之间可以互相访问。

Q in Q

QinQ(802.1Q-in-802.1Q)技术是一项扩展VLAN空间的技术,也叫做VLAN Stacking或Double VLAN,通过在802.1Q标签报文的基础上再增加一层802.1QTag来达到扩展VLAN空间的功能。

image-20250323100501637

在公网的传输过程中,设备只根据外层VLAN Tag转发报文,并根据报文的外层VLAN Tag:进行MAC地址学习,而用户的私网VLAN Tag将被当作报文的数据部分进行传输。即使私网VLAN Tag相同,也能通过公网VLANTag区分不同用户。

image-20250323100537576

基本QinQ

基本QinQ是基于端口方式实现的。开启端口的基本QiQ功能后,当该端口接收到报文,设备会为该报文打上本端口缺省VLAN的VLAN Tag。如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是不带VLAN Tagl的报文,该报文就成为带有端口缺省VLAN Tag的报文。

image-20250323100719770

灵活QinQ

灵活QinQ(Selective QinQ)可根据流分类的结果选择是否打外层VLAN Tag,打上何种外层VLAN Tag。

灵活QinQ可根据用户的VLAN标签、优先级、MAC地址、IP协议、IP源地址、IP目的地址、或应用程序的端口号进行流分类。

image-20250323100820434

配置命令

image-20250323101007317

基本QinQ配置举例

image-20250323101057131

SW1配置如下:

[SW1]vlan batch 100 200
[SW1]interface GigabitEthernet 0/0/1
#配置GE0/0/1外层TAG为100
[SW1-GigabitEtherneto/0/1]port link-type dot1q-tunnel
[SW1-GigabitEtherneto/0/1]port default vlan 100
[SW1]interface GigabitEthernet 0/0/2
#配置GE0/0/2外层TAG为200
[SW1-GigabitEtherneto/0/2]port link-type dot1q-tunnel
[SW1-GigabitEtherneto/0/2]port default vlan 200
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEtherneto/0/3]port link-type trunk
[SW1-GigabitEtherneto/0/3]port trunk allow-pass vlan 100 200
#配置外层VLAN tag的TPID值
[SW1-GigabitEtherneto/0/3]qinq protocol 9100
# SW2配置与SW1类似,此处省略。

灵活QinQ配置举例

image-20250323101258917

SW1配置如下:

[SW1]vlan batch 2 3
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEtherneto/0/1]port link-type hybrid
# 发送带有VLAN2、3标签的包时,将标签剥离后再从该端口发送出去
[SW1-GigabitEtherneto/0/1]port hybrid untagged vlan 2 3
[SW1-GigabitEtherneto/0/1]qing vlan-translation enable
# g内层vlan标签,打上不同的外层vlan标签
[SW1-GigabitEtherneto/0/1]port vlan-stacking vlan 100 stack-vlan 2
[SW1-GigabitEtherneto/0/1]port vlan-stacking vlan 300 stack-vlan 3
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEtherneto/0/2]port link-type trunk
[SW1-GigabitEtherneto/0/2]port trunk allow-pass vlan 2 3
[SW1-GigabitEtherneto/0/2]quit
# SW2配置与SW1类似,此处省略

思考题

image-20250323101636830

  1. A。sub-vlan与外部进行二层通信时,与普通的VLAN无区别,所以打上的VLAN标记为sub-vlan的标记(比如sub-vlan的vlan标记为20,则打上的也是20),而不会打上Super-VLAN的标记。

  2. B

posted @ 2025-05-28 12:16  最爱喝开水  阅读(161)  评论(0)    收藏  举报