锐客网

  1. 首页 > 生活百科 > it技术 > >

super-vlan 和 mux-vlan

IT知识superVLAN

莫道桑榆晚,为霞尚满天。这篇文章主要讲述super-vlan 和 mux-vlan相关的知识,希望能为你提供帮助。
1.super vlan 的概念:

  • VLAN Aggregation使处于相同子网的VLAN实现广播隔离。同网段事现隔离广播。
  • Super-VLAN,只建立三层接口,不包含物理端口,是若干Sub-VLAN 的集合
  • Sub-VLAN,只包含物理端口,不能创建三层接口,用于隔离广播域的VLAN,通过Super-VLAN与外部实现三层交换
  • 一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
  • super-vlan 和 mux-vlan

    文章图片
    2.super vlan 通信原理
  • super-vlan 和 mux-vlan

    文章图片
  • Super-VLAN(VLAN10)包含Sub-VLAN(VLAN2 和VLAN3)
    上述拓扑假设S1已经开启了Sub-VLAN间的ARP Proxy功能,通信过程如下:
    • PC1将PC2的IP 地址(1.1.1.20)和自己所在网段1.1.1.0/24 进行比较,发现PC2和自己在同一个子网,但是PC1的ARP表中无PC2的对应表项。
    • PC1发送ARP广播,请求PC2的MAC 地址。
    • PC2并不在VLAN2的广播域内,无法接收到PC1的这个ARP请求。
    • 由于网关上使能Sub-VLAN间的ARP Proxy,当网关收到PC1的ARP请求后,开始在路由表中查找,发现ARP请求中的PC2的IP地址(1.1.1.20)为直连接口路由,则网关向所有其他Sub-VLAN接口发送一个ARP广播,请求PC2的MAC地址。
    • PC2收到网关发送的ARP广播后,对此请求进行ARP应答。
    • 网关收到PC2的应答后,就把自己的MAC地址当作PC2的MAC地址回应给PC1。
    • 网关和PC1的ARP表项中都存在PC2的对应表项。
    • PC1之后要发给B的报文都先发送给网关,由网关做三层转发
  • super-vlan 和 mux-vlan

    文章图片
  • 从PC1侧Port1进入设备S1的帧会被打上VLAN2的Tag,在设备S1中这个Tag不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的Tag。该数据帧从Trunk类型的接口Port3出去时,依然是携带VLAN2的Tag。设备S1本身不会发出VLAN10的报文。就算其他设备有VLAN10的报文发送到该设备上,这些报文也会因为设备S1上没有VLAN10对应物理端口而被丢弃。
    Super-VLAN中是不存在物理端口的,这种限制是强制的,表现在:
    如果先配置了Super-VLAN,再配置Trunk接口时,Trunk的VLAN allowed表项里就自动滤除了Super VLAN。
    如果先配好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因是有物理端口的VLAN都不能被配置为Super VLAN。而允许所有VLAN通过的Trunk端口是所有VLAN的tagged端口,当然任何VLAN 都不能被配置为Super VLAN。
    对于设备S1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发的。
  • super-vlan 和 mux-vlan

    文章图片
  • lS2上配置了Super-VLAN 4,Sub-VLAN 2和Sub-VLAN 3,并配置一个普通的VLAN10;Switch1上配置两个普通的VLAN 10和VLAN 20。假设Super-VLAN 4中的Sub-VLAN 2下的PC1想访问与S1 相连的主机PC3,假设设S2上已配置了去往1.1.3.0/24网段的路由,Switch1上已配置了去往1.1.1.0/24网段的路由:
    • PC1将PC3的IP地址(1.1.3.2)和自己所在网段1.1.1.0/24进行比较,发现PC3和自己不在同一个子网。
    • PC1发送ARP请求给自己的网关,请求网关的MAC地址。
    • S2收到该ARP请求后,查找Sub-VLAN和Super-VLAN的对应关系,从Sub-VLAN 2发送ARP应答给PC1。ARP应答报文中的源MAC地址为Super-VLAN 4对应的VLANIF4的MAC地址。
    • PC1学习到网关的MAC地址。
    • PC1向网关发送目的MAC为Super-VLAN 4对应的VLANIF4的MAC、目的IP为1.1.3.2的报文。
    • S2收到该报文后进行三层转发,下一跳地址为1.1.2.2,出接口为VLANIF10,把报文发送给S1。
    • S1收到该报文后进行三层转发,通过直连出接口VLANIF20,把报文发送给PC3。
    • PC3的回应报文,在Switch2上进行三层转发到达Switch1。
    • Switch1收到该报文后进行三层转发,通过super-VLAN,把报文发送给PC1。3.super vlan 配置命令:
  • super-vlan 和 mux-vlan

    文章图片
    4. mux vlan 概念
  • super-vlan 和 mux-vlan

    文章图片
  • MUX VLAN的划分:
    p主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
    p隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
    p互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
    如图所示,根据MUX VLAN特性,解决方案如下:
    企业管理员可以将服务器划分到Principal VLAN。
    MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。
    由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
    这样就能够实现:
    企业外来访客、企业员工都能够访问企业服务器。
    企业员工部门内部可以通信,而企业员工部门之间不能通信。
    企业外来访客间不能通信、外来访客和企业员工之间不能互访。
    5.mux vlan的配置命令:
  • super-vlan 和 mux-vlan

    文章图片
  • 实现企业外来访客、企业员工都能够访问企业服务器,而企业同部门员工可以通信,不同部门员工不能通信;企业外来访客间不能通信;企业外来访客和企业员工之间不能互访。
    将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;
    企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;
    企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。
  • SWB配置:
    sysname SWB
    #
    vlan batch 10 20 30 40
    #
    vlan 10
    description Financial VLAN
    vlan 20
    description Marketing VLAN
    vlan 30
    description Client VLAN
    vlan 40
    description Principal VLAN
    mux-vlan//将VLAN 40设置为Principal VLAN
    subordinate separate 30//将VLAN 30设置为Separate VLAN
    subordinate group 10 20//将VLAN 10与VLAN 20设置为Group VLAN
    #
    interface GigabitEthernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 40
    #
    interface GigabitEthernet0/0/2
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 40
    #
    interface GigabitEthernet0/0/3
    port link-type access
    port default vlan 40
    port mux-vlan enable//在接口下开启MUX VLAN功能
    SWC配置:
    sysname SWC
    #
    vlan batch 10 20 30 40
    #
    vlan 10
    description Financial VLAN
    vlan 20
    description Marketing VLAN
    vlan 30
    description Cilent VLAN
    vlan 40
    description Principal VLAN
    mux-vlan
    subordinate separate 30
    subordinate group 10 20
    #
    interface GigabitEthernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 40
    #
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 10
    port mux-vlan enable
    #
    interface GigabitEthernet0/0/3
    port link-type access
    port default vlan 10
    port mux-vlan enable
    #
    interface GigabitEthernet0/0/4
    port link-type access
    port default vlan 20
    port mux-vlan enable
    #
    interface GigabitEthernet0/0/5
    port link-type access
    port default vlan 20
    port mux-vlan enable
    SWD配置:
    sysname SWD
    #
    vlan batch 10 20 30 40
    #
    vlan 10
    description Financial VLAN
    vlan 20
    description Marketing
    vlan 30
    description Client VLAN
    vlan 40
    description Principal VLAN
    mux-vlan
    subordinate separate 30
    subordinate group 10 20
    #
    interface GigabitEthernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 40
    #
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 30
    port mux-vlan enable
    #
    interface GigabitEthernet0/0/3
    port link-type access
    port default vlan 30
    【super-vlan 和 mux-vlan】 port mux-vlan enable
  • super-vlan 和 mux-vlan

    文章图片

    推荐阅读


    上一篇:Netty-UDP与HTTPS协议

    下一篇:Python中的函数参数(位置参数默认参数可变参数关键字参数和命名关键字参数)