简单来说,Super VLAN节约IP地址,隔离二层通信,VLAN聚合在实现不同Sub-VLAN间共用一个子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。
想做DHCP服务器,一定要在Super-VLAN上去做
[Huawei]vlan batch 2 to 4 100
[Huawei]vlan 100
[Huawei-vlan100]aggregate-vlan //将当前VLAN配置成Super-VLAN
[Huawei-vlan100]access-vlan 2 to 4 //将VLAN2到4配置成Sub-VLAN
VLAN聚合(VLAN Aggregation,也称Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
相对每一个普通VLAN都有一个三层逻辑接口和若干物理接口,VLAN聚合定义的Super-VLAN和Sub-VLAN比较特殊:
Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。
每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
[Huawei]interface g0/0/11
[Huawei-GigabitEthernet0/0/11]port link-type access
[Huawei-GigabitEthernet0/0/11]port default vlan 2 //Sub-VLAN只包含物理接口 可以包含物理接口
[Huawei]interface vlan 2
Error: The VLAN is already a sub-VLAN. //这个VLAN已对是Sub-VLAN 不能配置VLANIF接口
Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。
与普通VLAN不同的是,它的VLANIF接口的Up不依赖于自身物理接口的Up,而是只要它所含Sub-VLAN中存在Up的物理接口就Up。
[Huawei-GigabitEthernet0/0/10]port default vlan 100
Error: The VLAN is already a super-VLAN. //这个VLAN已经是super-VLAN 不能包含物理接口
[Huawei]display ip interface brief //查看当前设备上接口的IP概要信息
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 2
The number of interface that is DOWN in Protocol is 3
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif100 192.168.10.254/24 up up //VLAN100是Super-VLAN,中有三个 Sub-VLAN Sub-VLAN中有UP的接口
Vlanif200 192.168.20.254/24 down down //不是Super-VLAN 也不包含Sub-VLAN
配置完成上面的步骤 那么Sub-VLAN之间不能通信
Sub-VLAN之间的通信如何去做?
[Huawei-Vlanif100]arp-proxy inter-sub-vlan-proxy enable //在Super-VLAN的VLANIF接口下开启Sub-VLAN间的arp-proxy
特性依赖和限制
VLAN1不能配置为Super-VLAN。
[Huawei-vlan1]aggregate-vlan
Error: A super-VLAN cannot contain any physical ports. Please delete all the phy
sical ports of this VLAN first.
配置某VLAN为Super-VLAN后,该VLAN类型改变为super,不允许任何物理接口加入该VLAN。
[Huawei-GigabitEthernet0/0/10]port default vlan 100
Error: The VLAN is already a super-VLAN. //这个VLAN已经是super-VLAN 不能包含物理接口
如果该VLAN已经作为Guest-VLAN(动态授权VLAN),则不能再配置成Super-VLAN。
流策略只有在Super-vlan的所有Sub-vlan下配置才能生效,在Super-vlan下配置不生效。
如果通过命令dot1q termination vid或qinq termination pe-vid ce-vid配置某个VLAN为子接口的终结VLAN后,该VLAN不能再配置为Super-VLAN或Sub-VLAN。
Super-VLAN对应的VLANIF接口配置IP地址后Proxy ARP才能生效。
ARP Proxy
路由式Proxy:HCIA课程里学过,不同的子网内的主机,没有配置默认的网关,两个子网通信这时候需要开启ARPProxy
VLAN内Proxy:两个用户属于相同的VLAN,但VLAN内配置了端口隔离。此时用户间需要三层互通,可以在关联了VLAN的接口上启动VLAN内Proxy ARP功能。
VLAN间Proxy:如果两台主机处于相同网段但属于不同的VLAN,用户间要进行三层互通,可以在关联了这些VLAN的接口(例如VLANIF接口或者子接口)上使能VLAN间Proxy ARP功能。
VLAN mapping VLAN 2 替换成 VLAN 3
替换数据帧中的tag标签 要想借助VLAN Mapping实现两个VLAN内设备互相通信,这两个VLAN内设备的IP地址还必须处于同一网段。
如果两个VLAN内设备的IP地址不在同一网段,那么设备间的互通需要依赖三层路由实现,这样就失去了VLAN Mapping的意义。
运营商或大型园区网中应用 可以配置QinQ技术去实现
1:1的vlan-mapping
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 100
[Huawei-GigabitEthernet0/0/2]qinq vlan-translation enable //开启QinQ的功能
[Huawei-GigabitEthernet0/0/2]port vlan-mapping vlan 10 map-vlan 100 //配置vlan-mapping 将内部VLAN10替换成外部的VALN 100
N:1的vlan-mapping
[Huawei-GigabitEthernet0/0/2]port vlan-mapping vlan 10 to 11 map-vlan 100
閱讀更多 SPOTO—思科華為培訓 的文章
