subvlan、supervlan原理
vlan工作原理vlan通信原理)详解
VLAN 工作原理(VLAN 通信原理)详解VLAN 工作原理即VLAN 通信原理1、vlan 基本通信原理为了提高处理效率,交换机内部的数据帧一律都带有 VLAN Tag,以统一方式处理。
当一个数据帧进入交换机接口时,如果没有带 VLAN Tag,且该接口上配置了 PVID(Port Default VLAN ID),那末,该数据帧就会被标记上接口的 PVID。
如果数据帧已经带有VLAN Tag,那末,即使接口已经配置了 PVID,交换机不会再给数据帧标记 VLAN Tag。
由于接口类型不同,交换机对数据帧的处理过程也不同。
下面根据不同的接口类型分别介绍。
各类型接口对数据帧的处理方式接口类型对接收不带 Tag 的报文对接收带 Tag 的报文处发送帧处理过程处理理Access 接接收该报文,并打上当 VLAN ID 与缺省 VLAN 先剥离帧的 PVID口缺省的 VLAN ID。
ID 相同时,接收该报文; Tag,然后再发送。
当 VLAN ID 与缺省 VLANID 不同时,丢弃该报文。
Trunk 接口打上缺省的 VLANID,当缺省 VLAN ID 在允许通过的 VLAN ID 列表里时,接收该报文;当 VLAN ID 在接口允许当 VLAN ID 与缺省通过的 VLAN ID 列表里时, VLAN ID 相同,且是该接接收该报文;口允许通过的 VLAN ID当 VLAN ID 不在接口允时,去掉 Tag,发送该报当缺省VLAN ID 不在许通过的 VLAN ID 列表里允许通过的 VLAN ID 列时,丢弃该报文。
表里时,丢弃该报文。
文;当 VLAN ID 与缺省VLAN ID 不同,且是该接口允许通过的 VLAN ID 时,保持原有 Tag,发送该报文。
Hybrid 接打上缺省的 VLAN 当 VLAN ID 在接口允许当VLAN ID 是该接口口 ID,当缺省 VLAN ID 在通过的 VLAN ID 列表里时,允许通过的 VLAN ID 时,允许通过的 VLAN ID 列接收该报文。
vlan的工作原理
vlan的工作原理
VLAN(Virtual Local Area Network,虚拟局域网)是将一个物理局域网划分为多个逻辑上的局域网的技术。
其工作原理如下:
1. 以太网帧:VLAN基于以太网帧来实现逻辑分割。
以太网帧是实现数据传输的基本单元,由目的MAC地址、源MAC地址、VLAN标签等字段组成。
2. VLAN标签:VLAN标签用于识别帧属于哪个VLAN。
VLAN标签通常插入在以太网帧的头部,这个操作称为“打标签”(tagging)。
3. 端口绑定:每个交换机端口都可以配置为一个或多个VLAN。
配置端口的VLAN意味着该端口会过滤掉不属于该VLAN的帧。
一个端口只能隶属于一个VLAN,但一个VLAN可以包含多个端口。
4. VLAN间通信:默认情况下,不同的VLAN之间是相互隔离的,即VLAN内的主机可以互相通信,但不同VLAN内的主机不能直接通信。
要实现不同VLAN间的通信,需要通过一些设备(如交换机、路由器)来进行数据转发。
5. 交换机处理:当交换机收到一帧时,会根据帧头中的VLAN标签来判断该帧属于哪个VLAN。
如果交换机配置了该VLAN,那么它会将帧转发到该VLAN所对应的端口上;如果交换机未配置该VLAN,那么它会将帧丢弃。
总结来说,VLAN通过将一个物理局域网划分为多个逻辑上的局域网,实现了不同VLAN之间的隔离和控制。
它提供了更灵活、更安全的网络管理方式,使网络更易于扩展和维护。
SUPERVLAN基本介绍
SUPERVLAN基本介绍一、SuperVlan的概念同一交换机上的不同vlan共用一个路由虚接口ip地址,这些vlan不再单独配置虚接口ip地址,它们包含在supervlan内,称作subvlan,而supervlan可以配置虚接口。
二、为什么要使用SuperVlan?主要目的是节省ip地址:使用了SuperVlan后,不需要再为每个vlan都配置路由虚接口,只要在它们SuperVlan上配置路由虚接口即可,这样也能实现vlan之间的三层互通.三、S upervlan与subvlan的特点:Supervlan对应一个网段Supervlan内不允许加入端口Subvlan不允许配置虚接口四、S upervlan与subvlan关系的建立将subvlan加入supervlan过程,通过函数L2INF_AddSubVlan2SuperVlan实现:如果supervlan配置了ip地址,则要为subvlan获取RDHandle(路由句柄)过程如下:获取subvlan端口,并将其加入supervlan获取subvlan的RDHandle,即取出一个空的RDHandle分配给subvlan获取RDHandle对应的虚接口的mac申请一新的路由接口结构pRoutIntf获取supervlan的虚接口对应的路由信息,如ip地址,掩码等,并把它们填入subvlan的pRoutIntf结构中,同时还要把subvlan的RDHandle写入其中.虽然subvlan不允许配置三层虚接口,但是在内部的实现上subvlan与它的supervlan有共同的三层虚接口结构,即supervlan的虚接口结构。
五、同一Supervlan的不同Subvlan之间是如何互通的?这个过程是通过ProxyArp实现的:ProxyArp处理arp报文的过程如下:1、如果接收到的是arp请求报文,查找现有的arp表,如果找到了目的ip并且已经解析,则构造应答报文,直接应答,应答报文中源ip =请求报文的目的ip,源mac=请求报文输入的subvlan接口mac,目的mac=请求报文的源mac,目的ip=请求报文的源ip;如果没有找到目的ip或找到了还没有解析成功,则向每个subvlan分别发送arp请求报文(在每个subvlan内广播arp请求报文),请求报文中源ip=supervlan的虚接口ip,源mac=subvlan的接口mac,目的ip=请求报文中的目的ip,目的mac=请求报文中的目的mac;2、如果接收到的是arp应答报文,向所有接收报文中源ip的请求者发送应答报文,应答报文源ip=接收报文源ip,源mac=arp请求报文输入的subvlan 接口mac,目的ip=arp请求报文发送者的ip,目的mac=arp请求报文发送者的mac;六、相关的配置命令行1、 VLAN模式下,配置VLAN类型为Supervlan[undo] supervlan例如将vlan2设为supervlan:[Quidway-vlan2]supervlan如果一个vlan内有端口存在,则不能将其配置成supervlan,supevlan内是不能包含端口的2、 VLAN模式下,Supervlan中加入Subvlan[undo] subvlan vlan-id [to vlan-id-end]例如将vlan3做为subvlan加入supervlan2:[Quidway-vlan2]subvlan 3subvlan不能配置三层虚接口只要supervlan启用了三层虚接口,它的ProxyArp就是默认打开的,不允许关闭。
华为数通基础21-Super VLAN
•
技术背景:传统VLAN 部署中,一个VLAN 对应一个网段和一个VLANIF 三层接口实现不同VLAN 间通信,但这样的部署很容易导致IP地址的浪费。
实现位于相同网段但不同VLAN间的用户通信。
•只需一个VLANIF 接口作为不同VLAN 的共同网关。
•引入了Super -VLAN和Sub -VLAN概念。
•
•Super VLAN:又称VLAN Aggregation,VLAN 聚合
Super VLAN
•
•
即最终是多个Sub-VLAN组成一个Super-VLAN。
只需Super-VLAN接口上配置IP 地址,所有Sub-VLAN共用一个IP网段,解决了IP •
地址资源浪费的问题。
不同Sub-VLAN下的主机默认不能互通,如果想要互通,需要在Super-VLAN的•
VLANIF接口上开启Proxy ARP。
•
Super VLAN通信规则:
•
•
•
•
•Super VLAN 配置:先创建和配置Sub VLAN ,再创建和配置Super VLAN
[SWA]int vlanif10
[SWA-Vlanif10]ip address10.0.0.1 24
[SWA-Vlanif10]arp-proxy inter-sub-vlan-proxy enable 配置VLANIF的IP地址开启代理ARP
display super-vlan验证Super VLAN。
简述vlan的原理和应用
简述VLAN的原理和应用1. VLAN的定义和概念VLAN(Virtual LAN),即虚拟局域网,是一种在物理网络基础上,将逻辑上互相通信的设备组织起来的技术。
VLAN通过网络交换机将同一个虚拟局域网中的设备连接在一起,实现了逻辑上的隔离和独立。
2. VLAN的原理VLAN的原理基于802.1Q协议,通过在以太网数据帧的标头中插入VLAN标签,将数据帧进行标记,实现对不同虚拟局域网的划分和隔离。
VLAN标签包含一个12位的VLAN ID,用于唯一区分不同的虚拟局域网。
3. VLAN的应用场景•1) 隔离网络流量:将不同部门或用户的网络设备划分到不同的VLAN 中,可以通过限制物理链路和控制交换机端口的访问来实现对网络流量的隔离。
•2) 提高网络性能:通过将网络流量分散到不同的虚拟局域网中,减少广播风暴和冲突域,提高网络性能和传输效率。
•3) 增强网络安全性:通过将不同安全级别的网络设备划分到不同的VLAN中,可以实现网络流量的隔离和安全访问控制,提高网络的安全性。
•4) 简化网络管理:VLAN可以根据不同的管理需求将网络设备进行逻辑划分,简化网络拓扑结构,提高网络管理的灵活性和可扩展性。
•5) 支持虚拟机迁移:在虚拟化环境中,VLAN可以为不同的虚拟机提供独立的网络环境,使虚拟机在不同的物理服务器之间迁移时能够保持网络的连通性。
4. VLAN的配置和管理VLAN的配置和管理需要在网络交换机上进行操作,一般包括以下几个步骤:步骤1: 创建VLAN首先需要在交换机上创建VLAN,为每个VLAN分配一个唯一的VLAN ID。
可以通过命令行界面或图形界面进行配置。
步骤2: 配置端口将需要连接到VLAN的端口配置为该VLAN的成员端口。
可以将一个或多个端口配置为一个VLAN的成员。
步骤3: 配置VLAN间的通信根据需要配置VLAN间的通信方式,可以通过交换机端口的配置或路由器的配置实现VLAN间的互通。
超级vlan技术介绍
Super—vlan技术详解在传统的VLAN间路由中,我们需要每个VLAN配置一个IP地址,作为此VLAN的网关,以实现三层路由;此方法中,每个VLAN都是一个子网,子网号不能为主机所用,此子网需要分配一个IP地址作为网关,还有一个IP地址作为定向广播地址,如果VLAN中的主机不需要那么多IP地址,那此子网内的剩余IP地址,也不能分配给其它VLAN的主机使用,造成极大的浪费。
就算是使用VLSM分配IP地址,每个VLAN也至少浪费三个IP地址,如果有几十或上百个VLAN,那会浪费大量的IP地址。
在此这种情况下,为节约IP地址,提出Super VLAN的概念。
Super VLAN又称VLAN聚合,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。
Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN 内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,通过ARP 代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。
这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
Super VLAN只建立三层接口,不包含物理端口,可以看到成是一个逻辑的三层接口,若干sub-VLAN的集合。
sub-VLAN 则只包含物理端口,但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。
与原来的VLAN间路由不通,原本的三层交换可以根据各自的网关进行,但是现在所有的sub-vlan都属于同一个网段,则就处于不同的sub-vlan通信时,会认在同一个网段,会做二层转发,而不会进行三层转发,但是二层转发是被VLAN隔离了,这就造成sub-vlan间不能通信。
解决方法就是代理ARP。
代理ARP的工作原理:源主机认为目标主机与自己在同一网段,广播发送ARP请求。
subvlan、supervlan原理
Sub VLAN主机的三层通信原理Sub VLAN主机的三层通信原理在此篇文章(/net/201207/143648.html )中,笔者介绍了H3C交换机Spuer VLAN的聚合原理,本节接着要介绍Super VLAN中的Sub VLAN (从VLAN)间主机的三层通信原理。
20.3.2 Sub VLAN主机的三层通信原理我们在前面已说到,Super VLAN(也就是VLAN聚合)方案中,在实现不同Sub VLAN 间共用同一子网网段地址的同时也带来了Sub VLAN间的三层转发问题。
因为在普通VLAN中,VLAN间的主机可以通过各自不同的网关(也就是它们自己的VLAN 接口IP地址)进行三层转发来达到互通的目的。
但是在Super VLAN方案中下,各Sub VLAN是不允许配置VLAN接口IP地址的,同一个Super VLAN内的所有主机使用的是同一个网段的地址和共用同一个网关地址,即使是属于不同的Sub VLAN的主机。
由于它们同属一个子网,彼此通信时只会做二层转发,而不会通过网关进行三层转发。
而实际上不同的Sub VLAN的主机在二层又是相互隔离的(这是继承普通VLAN的属性),这就造成了Sub VLAN间无法通信(包括二层通信和三层通信)的问题。
解决这一问题的方法就是使用ARP代理。
下面具体进行介绍。
1. 不同Sub VLAN间的三层互通 例如,如图20-7所示的网络中,Super VLAN(VLAN 10)包含Sub VLAN(VLAN 2和VLAN 3)。
VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址为1.1.1.1/24。
VLAN 2内的主机A与VLAN 3内的主机B的通信过程如下:(假设主机A的ARP 表中没有主机B的对应ARP表项,并且在担当网关的交换机上启用了Sub VLAN 间的ARP代理功能)。
图20-7 通过ARP代理实现不同Sub VLAN间三层互通的示例(1)主机A将主机B的IP地址(1.1.1.3)和自己所在网段1.1.1.0/24进行比较,发现主机B和自己在同一个子网,但是主机A的ARP表中没有主机B的对应表项,于是主机A发送ARP广播,请求主机B的MAC地址。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network)是一种虚拟局域网技术,它通过逻辑上将一个局域网划分为多个虚拟子网,实现了逻辑上的隔离和灵便的网络管理。
本文将详细介绍VLAN的工作原理。
一、VLAN的概念和作用VLAN是一种将物理上的局域网划分为多个逻辑上独立的虚拟子网的技术。
它可以将不同位置、不同功能或者不同部门的设备划分到不同的虚拟子网中,实现网络资源的灵便管理和隔离。
VLAN的作用主要有以下几点:1. 隔离和安全:VLAN可以将不同的用户或者设备划分到不同的虚拟子网中,实现逻辑上的隔离,提高网络的安全性。
2. 灵便的网络管理:VLAN可以根据需要灵便地调整网络拓扑结构,简化网络管理和维护。
3. 带宽控制:VLAN可以根据需要对网络流量进行控制和限制,提高网络性能和带宽利用率。
二、VLAN的工作原理VLAN的工作原理主要涉及到两个关键技术:VLAN的划分和VLAN的通信。
1. VLAN的划分VLAN的划分可以根据不同的标准进行,常见的划分方式有以下几种:- 端口划分:将交换机的端口划分到不同的VLAN中,每一个端口只能属于一个VLAN。
- MAC地址划分:根据设备的MAC地址将其划分到不同的VLAN中。
- 协议划分:根据设备使用的协议将其划分到不同的VLAN中。
2. VLAN的通信VLAN的通信主要通过交换机实现。
交换机根据配置的VLAN信息,将数据包转发到对应的VLAN中。
具体的通信过程如下:- 数据包进入交换机:当一个数据包进入交换机的端口时,交换机会根据端口所属的VLAN信息,将数据包标记为对应的VLAN标签。
- 数据包转发:交换机根据数据包的VLAN标签,将数据包转发到对应的VLAN中。
如果目标设备在同一个VLAN中,交换机会直接将数据包转发到目标设备所在的端口;如果目标设备在不同的VLAN中,交换机会将数据包转发到连接不同VLAN的交换机端口上。
- 数据包到达目标设备:当数据包到达目标设备所在的端口时,交换机会将数据包从VLAN标签中解析出来,并将数据包交给目标设备进行处理。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network,虚拟局域网)是一种将物理局域网划分为多个逻辑上独立的虚拟网络的技术。
通过使用VLAN,可以将不同的用户或设备分组,并实现逻辑上的隔离和安全性。
本文将详细介绍VLAN的工作原理及其相关概念。
1. VLAN的基本概念VLAN是一种基于交换机的技术,可以将交换机端口划分为不同的虚拟网络。
每个VLAN都有一个唯一的标识符,称为VLAN ID。
VLAN ID是一个12位的数字,用于标识不同的VLAN。
VLAN可以跨越多个交换机,形成一个逻辑上的网络。
2. VLAN的工作原理VLAN的工作原理基于交换机的端口划分和流量控制。
当交换机收到一个数据帧时,它会根据数据帧中的VLAN标签将数据转发到相应的VLAN。
交换机通过端口和VLAN之间的映射来确定数据帧的目的地。
3. VLAN的端口划分交换机的端口可以划分为两种类型:访问端口和特定VLAN端口。
访问端口只属于一个VLAN,用于连接主机或其他网络设备。
特定VLAN端口可以同时属于多个VLAN,用于连接两个交换机之间的链路。
特定VLAN端口也称为Trunk端口。
4. VLAN的标记方法为了在数据帧中标识所属的VLAN,交换机使用了两种不同的标记方法:标记式VLAN和未标记式VLAN。
- 标记式VLAN:交换机在数据帧中添加一个额外的VLAN标签,用于标识所属的VLAN。
这种标记方法通常用于跨越多个交换机的VLAN通信。
- 未标记式VLAN:交换机不在数据帧中添加VLAN标签,而是根据接收端口的配置来确定数据帧所属的VLAN。
这种标记方法通常用于同一个交换机内的VLAN通信。
5. VLAN的通信方式VLAN之间的通信可以通过三种不同的方式实现:隔离方式、共享方式和交互方式。
- 隔离方式:不同VLAN之间的通信是被禁止的,数据帧只能在同一个VLAN 内进行传输。
这种方式提供了最高级别的安全性,但限制了不同VLAN之间的互访。
SuperVLAN原理
IP_BT209_C1_0SuperVLAN原理
课程目标:
了解SuperVLAN的背景
掌握SuperVLAN的工作原理
第一章
知识点
SuperVLAN背景概述
SuperVLAN工作原理
一.1
随着互联网的不断发展,终端以及通讯设置的剧增,IP地址面临着即将耗尽的局面。而传统的ISP网络给每个用户被分配一个IP子网,每分配一个子网,就有三个IP地址被占用,分别作为子网的网络号、广播地址和缺省网关。如果一些用户的子网中有大量未分配的IP地址,也无法给其他用户使用。因此这种方法会造成IP地址的浪费。如何更有效的利用IP地址资源呢?
一.2
一.2.1
VLAN Aggregation技术(也称为SuperVLAN,即VLAN聚合)就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网。它引入SuperVLAN和subvlan的概念。RFC文档是3609。
SuperVLAN:和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干subvlan的集合。
4.同一子网SuperVLAN中的不同subvlan互通需要SuperVLAN开启ARP代理。
VLAN的工作原理
VLAN的工作原理标题:VLAN的工作原理引言概述:虚拟局域网(VLAN)是一种将物理网络设备分成多个逻辑网络的技术,可以提高网络性能和安全性。
VLAN的工作原理是通过在交换机上对端口进行划分,实现不同VLAN之间的隔离和通信。
本文将详细介绍VLAN的工作原理及其应用。
一、VLAN的基本概念1.1 VLAN的定义VLAN是一种将局域网划分成多个虚拟局域网的技术,可以在同一物理网络中实现逻辑上的隔离。
1.2 VLAN的作用VLAN可以提高网络性能,减少广播风暴,增强网络安全性,简化网络管理。
1.3 VLAN的分类VLAN可以按照不同的标准进行分类,如基于端口、基于MAC地址、基于协议等。
二、VLAN的工作原理2.1 VLAN的标记当数据包进入交换机时,交换机会根据VLAN ID对数据包进行标记,以区分不同VLAN的数据包。
2.2 VLAN的隔离交换机根据VLAN ID将数据包发送到相应的VLAN中,实现不同VLAN之间的隔离,保障网络安全性。
2.3 VLAN的通信通过交换机的路由功能,不同VLAN之间也可以进行通信,实现跨VLAN的数据传输。
三、VLAN的配置与管理3.1 VLAN的创建管理员可以在交换机上创建不同的VLAN,并为每个VLAN指定VLAN ID和名称。
3.2 VLAN的端口划分管理员可以将交换机的端口划分到不同的VLAN中,实现不同VLAN之间的隔离。
3.3 VLAN的管理管理员可以通过网络管理软件对VLAN进行管理,包括监控VLAN的状态、配置VLAN的参数等。
四、VLAN的应用场景4.1 办公楼网络在办公楼网络中,可以通过VLAN将不同部门的电脑划分到不同的VLAN中,实现部门间的隔离和通信。
4.2 数据中心网络在数据中心网络中,可以通过VLAN将不同业务的服务器划分到不同的VLAN中,实现业务间的隔离和通信。
4.3 无线网络在无线网络中,可以通过VLAN将不同SSID的无线网络划分到不同的VLAN 中,实现不同用户的隔离和通信。
SUPERVLAN基本介绍
SUPERVLAN基本介绍一、SuperVlan的概念同一交换机上的不同vlan共用一个路由虚接口ip地址,这些vlan不再单独配置虚接口ip地址,它们包含在supervlan内,称作subvlan,而supervlan可以配置虚接口。
二、为什么要使用SuperVlan?主要目的是节省ip地址:使用了SuperVlan后,不需要再为每个vlan都配置路由虚接口,只要在它们SuperVlan上配置路由虚接口即可,这样也能实现vlan之间的三层互通.三、S upervlan与subvlan的特点:Supervlan对应一个网段Supervlan内不允许加入端口Subvlan不允许配置虚接口四、S upervlan与subvlan关系的建立将subvlan加入supervlan过程,通过函数L2INF_AddSubVlan2SuperVlan实现:如果supervlan配置了ip地址,则要为subvlan获取RDHandle(路由句柄)过程如下:获取subvlan端口,并将其加入supervlan获取subvlan的RDHandle,即取出一个空的RDHandle分配给subvlan获取RDHandle对应的虚接口的mac申请一新的路由接口结构pRoutIntf获取supervlan的虚接口对应的路由信息,如ip地址,掩码等,并把它们填入subvlan的pRoutIntf结构中,同时还要把subvlan的RDHandle写入其中.虽然subvlan不允许配置三层虚接口,但是在内部的实现上subvlan与它的supervlan有共同的三层虚接口结构,即supervlan的虚接口结构。
五、同一Supervlan的不同Subvlan之间是如何互通的?这个过程是通过ProxyArp实现的:ProxyArp处理arp报文的过程如下:1、如果接收到的是arp请求报文,查找现有的arp表,如果找到了目的ip并且已经解析,则构造应答报文,直接应答,应答报文中源ip =请求报文的目的ip,源mac=请求报文输入的subvlan接口mac,目的mac=请求报文的源mac,目的ip=请求报文的源ip;如果没有找到目的ip或找到了还没有解析成功,则向每个subvlan分别发送arp请求报文(在每个subvlan内广播arp请求报文),请求报文中源ip=supervlan的虚接口ip,源mac=subvlan的接口mac,目的ip=请求报文中的目的ip,目的mac=请求报文中的目的mac;2、如果接收到的是arp应答报文,向所有接收报文中源ip的请求者发送应答报文,应答报文源ip=接收报文源ip,源mac=arp请求报文输入的subvlan 接口mac,目的ip=arp请求报文发送者的ip,目的mac=arp请求报文发送者的mac;六、相关的配置命令行1、 VLAN模式下,配置VLAN类型为Supervlan[undo] supervlan例如将vlan2设为supervlan:[Quidway-vlan2]supervlan如果一个vlan内有端口存在,则不能将其配置成supervlan,supevlan内是不能包含端口的2、 VLAN模式下,Supervlan中加入Subvlan[undo] subvlan vlan-id [to vlan-id-end]例如将vlan3做为subvlan加入supervlan2:[Quidway-vlan2]subvlan 3subvlan不能配置三层虚接口只要supervlan启用了三层虚接口,它的ProxyArp就是默认打开的,不允许关闭。
H3C交换机super vlan技术详解
H3C交换机supervlan技术详解2009-11-14 16:36Super VLAN又称为VLAN聚合(VLAN Aggregation),是一种节省VLAN接口及IP地址的三层VLAN技术,其原理是一个Super VLAN包含多个SubVLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。
Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要在Super vlan 开启ARP代理功能。
通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。
当设置vlan类型为super vlan 后,该vlan接口上的arp代理自动开启,无需配置,且不能关闭。
super vlan可以节省IP地址,让不同VLAN的网关使用同一个IP,在交换网络环境中引进Sub VLAN和Super VLAN,它们是一种可以实现IP地址划分的更加优化的途径。
它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚合(Super VLAN),它包含整个IP子网内的所有VLAN(Sub VLAN)。
而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的.super vlan 可以实现同一个VLAN 内的端口间的隔离,实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。
PVLAN和supervlan区别
物理的,都是要加入实际的端口才能激活的。
PVLAN采用两层VLAN隔离技术,只有上层vlan全局可见,下层vlan相互隔离。
supervlan又称为vlan聚合,其原理是一个supervlan包含多个subvlan,每个
subvlan是一个广播域,不同subvlan之间二层相互隔离。supervlan可以配置三
层接口,subvlan不能配置三层接口。
二层隔离端口间的三层互通。
supervlan是节省ip地址的。可以让不同vlan的网关使用同一个ip。而这个ip就是
supervlan的ip,这是逻辑上的vlan,它是不需要把商品加到这个vlan里的,下面的不
同的vlan都可以看做是它的子vlan,这些子vlan是物理的,要加端口才能激活
要有一个子vlan是激活的,那么supervlan就是激活的。
当subvlan内的用户需要进行三层通信时,将使用supervlan三层接口的ip地址作为
网关地址,这样多个subvlan共用一个ip网段,从而节省了地址资源。
同时,为了实现不同subvlan间的三层互通及subvlan与其他网络的互通,需要利用
arp代理功能,通过arp代理可以进行arp请求和响应报文的转发与处理,从而实现了
Super-VLAN原理22个知识点
1.在交换网络中,VLAN技术以其对广播域的灵活控制(可跨物理设备)、部署方便而得到了广泛的应用。
但是在一般的三层交换机中,通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的,这在某些情况下导致了对IP地址的较大浪费。
2.Super VLAN技术(也称为VLAN Aggregation ,即VLAN聚合)针对上述缺陷作了改进,它引入Super-VLAN和Sub-VLAN的概念。
一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。
Sub-VLAN不再占用一个独立的子网网段。
在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
3.通过Sub-VLAN间共用同一个三层接口,既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗,又实现了不同广播域使用同一子网网段地址,消除了子网差异,增加了编址的灵活性,减少了闲置地址浪费。
从而,在保证了各个Sub-VLAN作为一个独立广播域实现了广播隔离的同时,将从前使用普通VLAN浪费掉的IP地址节省下来。
4.在Super VLAN中,引入Super-VLAN和Sub-VLAN的概念。
这是两种与以往的VLAN不同的VLAN类型。
5.Super-VLAN和通常意义上的VLAN不同,它只建立三层接口,而不包含物理端口。
因此,可以把它看作一个逻辑的三层概念——若干Sub-VLAN的集合。
与一般没有物理端口的VLAN不同的是,它的三层虚接口的UP状态不依赖于其自身物理端口的UP,而是只要它所含Sub-VLAN中存在UP状态的物理端口。
6.Sub-VLAN则只包含物理端口,但不能建立三层VLAN虚接口。
它与外部的三层交换是靠Super-VLAN的三层虚接口来实现的。
7.每一个普通VLAN都有一个三层逻辑接口和若干物理端口。
而Super VLAN把这两部分剥离开来:Sub-VLAN只映射若干物理端口,负责保留各自独立的广播域;而用一个Super-VLAN来实现所有Sub-VLAN共享同一个三层接口的需求,使不同Sub-VLAN内的主机可以共用同一个Super-VLAN的网关,在Super-VLAN对应的子网里分配地址;然后再通过建立Super-VLAN和Sub-VLAN间的映射关系,把三层逻辑接口和物理端口这两部分有机地结合起来,并用ARP Proxy来实现Sub-VLAN间的三层互访,从而在实现普通VLAN的功能的同时,达到节省IP地址的目的。
华三supervlan原理
华三supervlan原理
华三Super VLAN又称为VLAN聚合,其原理是将一个Super VLAN和多个Sub VLAN关联。
在Super VLAN中,只建立三层VLANif接口作为不
同VLAN的网关,不包含物理接口。
Sub VLAN只包含物理接口,无VLANif三层接口,隔离广播域。
Super VLAN的作用是作为一个三层网关,使得不同的Sub VLAN内的主机可以共用一个或多个网关。
在Super VLAN中,可以为不同的VLAN分配相同的网段和相同的VLANif 接口,只需一个VLANif接口作为不同VLAN的共同网关,从而节约IP地
址资源。
在Sub VLAN中,所有端口共用Super VLAN的VLAN接口IP地址作为默认网关。
不同Sub VLAN之间由于广播隔离,无法直接互通,此时需要在Super VLAN上开启ARP代理(Vlan间的ARP代理),实现不同VLAN间的通信。
以上信息仅供参考,如需了解更多信息,建议查阅华为官方网站或咨询网络技术人员。
SuperVLAN原理与配置
接口配置组合说明
arpbroadcast 开关 ip-pool-filter 开关 SubVLAN pool 配置情况 不配置 subvlan pool 业务情况 arp请求包会被丢弃 arp老化后业务不通 通 不通 通 通 通 是否存在 广播风暴 否 否 否 否 是 是
内部公开▲ 内部公开▲
学习目标
• •
熟悉SuperVLAN原理 掌握SuperVLAN配置
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
• •
第一章 SuperVLAN原理 第二章 SuperVLAN配置
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
•
第一章 SuperVLAN原理
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
为什么需要SuperVLAN
内部公开▲
传统的ISP网络给每个用户分配一个IP子网
每分配一个子网,就有三个IP地址被占用,分别作为子网的
网络号、广播地址和缺省网关 如果一些用户的子网中有大量未分配的IP地址,也无法给其 他用户使用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
SuperVLAN典型配置三
内部公开▲
SuperVLAN+vrf+vlan range(QinQ range)组网
创建vrf实例
ZXR10_A(config)# ip vrf vpn1 ZXR10_A(config-vrf)# rd 65535:100 ZXR10_A(config-vrf)# route-target import 65535:100 ZXR10_A(config-vrf)# route-target export 65535:100
Super—vlan技术详解
Super—vlan技术详解在传统的VLAN间路由中,我们需要每个VLAN配置一个IP地址,作为此VLAN的网关,以实现三层路由;此方法中,每个VLAN都是一个子网,子网号不能为主机所用,此子网需要分配一个IP地址作为网关,还有一个IP地址作为定向广播地址,如果VLAN中的主机不需要那么多IP地址,那此子网内的剩余IP地址,也不能分配给其它VLAN的主机使用,造成极大的浪费。
就算是使用VLSM分配IP地址,每个VLAN也至少浪费三个IP地址,如果有几十或上百个VLAN,那会浪费大量的IP地址。
在此这种情况下,为节约IP地址,提出Super VLAN的概念。
Super VLAN又称VLAN聚合,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。
Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN 内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,通过ARP 代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。
这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
Super VLAN只建立三层接口,不包含物理端口,可以看到成是一个逻辑的三层接口,若干sub-VLAN的集合。
sub-VLAN 则只包含物理端口,但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。
与原来的VLAN间路由不通,原本的三层交换可以根据各自的网关进行,但是现在所有的sub-vlan都属于同一个网段,则就处于不同的sub-vlan通信时,会认在同一个网段,会做二层转发,而不会进行三层转发,但是二层转发是被VLAN隔离了,这就造成sub-vlan间不能通信。
解决方法就是代理ARP。
代理ARP的工作原理:源主机认为目标主机与自己在同一网段,广播发送ARP请求。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network)是一种虚拟局域网技术,通过将物理网络划分为多个逻辑上独立的虚拟网络,实现不同网络设备之间的隔离和通信。
本文将详细介绍VLAN的工作原理。
一、VLAN的定义和分类VLAN是一种将局域网划分为多个逻辑上独立的虚拟网络的技术。
通过VLAN,可以实现不同网络设备之间的逻辑隔离,提高网络的安全性和可管理性。
根据VLAN的划分方式,可以将其分为两种类型:静态VLAN和动态VLAN。
1. 静态VLAN(Static VLAN):静态VLAN是通过配置交换机的端口将设备划分到不同的VLAN中。
每个端口只能属于一个VLAN,不可跨VLAN通信。
2. 动态VLAN(Dynamic VLAN):动态VLAN是通过使用VLAN管理软件和协议,根据设备的MAC地址、IP地址或其他标识符将设备划分到不同的VLAN中。
动态VLAN可以根据网络中设备的变化自动进行VLAN的划分和配置。
二、VLAN的工作原理主要涉及到以下几个方面:VLAN的划分、VLAN的通信和VLAN的扩展。
1. VLAN的划分VLAN的划分是将局域网划分为多个逻辑上独立的虚拟网络。
在交换机中,可以通过端口划分和标记来实现VLAN的划分。
端口划分:通过配置交换机的端口,将设备连接到指定的VLAN中。
每个端口只能属于一个VLAN,不同VLAN之间的设备无法直接通信。
标记划分:在IEEE 802.1Q标准中,可以使用VLAN标记(VLAN Tag)来划分VLAN。
VLAN标记是在数据帧的头部添加一个额外的标记字段,用于标识该数据帧属于哪个VLAN。
交换机根据VLAN标记将数据帧转发到相应的VLAN中。
2. VLAN的通信VLAN之间的通信可以通过交换机进行实现。
交换机根据VLAN的划分和配置,将数据帧从一个VLAN转发到另一个VLAN。
交换机在转发数据帧时,会根据数据帧的目的MAC地址和VLAN标记来判断数据帧应该转发到哪个端口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sub VLAN主机的三层通信原理Sub VLAN主机的三层通信原理在此篇文章(/net/201207/143648.html )中,笔者介绍了H3C交换机Spuer VLAN的聚合原理,本节接着要介绍Super VLAN中的Sub VLAN (从VLAN)间主机的三层通信原理。
20.3.2 Sub VLAN主机的三层通信原理我们在前面已说到,Super VLAN(也就是VLAN聚合)方案中,在实现不同Sub VLAN 间共用同一子网网段地址的同时也带来了Sub VLAN间的三层转发问题。
因为在普通VLAN中,VLAN间的主机可以通过各自不同的网关(也就是它们自己的VLAN 接口IP地址)进行三层转发来达到互通的目的。
但是在Super VLAN方案中下,各Sub VLAN是不允许配置VLAN接口IP地址的,同一个Super VLAN内的所有主机使用的是同一个网段的地址和共用同一个网关地址,即使是属于不同的Sub VLAN的主机。
由于它们同属一个子网,彼此通信时只会做二层转发,而不会通过网关进行三层转发。
而实际上不同的Sub VLAN的主机在二层又是相互隔离的(这是继承普通VLAN的属性),这就造成了Sub VLAN间无法通信(包括二层通信和三层通信)的问题。
解决这一问题的方法就是使用ARP代理。
下面具体进行介绍。
1. 不同Sub VLAN间的三层互通 例如,如图20-7所示的网络中,Super VLAN(VLAN 10)包含Sub VLAN(VLAN 2和VLAN 3)。
VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址为1.1.1.1/24。
VLAN 2内的主机A与VLAN 3内的主机B的通信过程如下:(假设主机A的ARP 表中没有主机B的对应ARP表项,并且在担当网关的交换机上启用了Sub VLAN 间的ARP代理功能)。
图20-7 通过ARP代理实现不同Sub VLAN间三层互通的示例(1)主机A将主机B的IP地址(1.1.1.3)和自己所在网段1.1.1.0/24进行比较,发现主机B和自己在同一个子网,但是主机A的ARP表中没有主机B的对应表项,于是主机A发送ARP广播,请求主机B的MAC地址。
(2)由于主机B并不在VLAN 2的广播域内,无法接收到主机A的这个ARP请求。
但由于在网关上启用了Sub VLAN间的ARP代理功能,而且网关是在Sub VLAN 中,是允许接收其下面各Sub VLAN报文的,所以当网关收到主机A的ARP请求后,开始在路由表中查找,发现ARP请求中的主机B的IP地址(1.1.1.3)为直连接口路由,则网关向所有其他Sub VLAN接口发送一个ARP广播,请求主机B 的MAC地址。
(3)当主机B收到网关发送的ARP广播后,对此请求进行ARP应答。
(4)在网关收到主机B的应答后,就把自己的MAC地当作B的MAC地址回应给主机A。
(5)主机A收到网关发来的响应后就认为主机B的MAC地址就是网关的MAC地址,于时主机A之后要发给B的报文都先发送给网关,由网关做三层转发。
主机B发送报文给主机A的过程和上述的A到B的报文流程类似,不再赘述。
2. Sub VLAN与外部网络的二层通信在基于端口的VLAN二层通信中,无论是数据帧进入接口,还是从接口发出都不会有针对Super VLAN的报文,也不会把报文的VLAN ID改为Super VLAN对应的VLAN ID,而是保持报文中原来的VLAN ID不变,因为在Super VLAN中根本没有端口(这是关键)。
现以如图20-8所示的例子进行说明。
从Host A侧GE0/0/1进入设备Switch1的帧会被打上VLAN2的标记,在设备Switch1中这个标记不会因为VLAN 2是VLAN 10的Sub VLAN而变为VLAN 10的标记。
这样,该数据帧从Trunk类型的接口GE0/0/3出去时,依然是携带VLAN2的标记。
也就是说,Switch1本身不会发出VLAN 10的报文,就算其他设备有VLAN 10的报文发送到该设备上,这些报文也会因为Switch1上没有VLAN 10对应物理端口而被丢弃。
【经验之谈】由于Super VLAN中是不允许有物理端口的,所以在配置过程中需要注意Super VLAN和Trunk链路的配置次序问题。
如果先配置了Super VLAN,再配置Trunk接口时,Trunk的VLAN许可表项里也会自动滤除了Super VLAN。
如在如图20-8中,虽然Switch1的GE0/0/3允许所有的VLAN通过,但是也不会有作为Super VLAN的VLAN 10的报文从该接口进出。
但是,如果先配好了Trunk 端口,并允许所有VLAN通过,则在此设备上将无法配置Super VLAN。
本质原因是有物理端口的VLAN都不能被配置为Super VLAN。
而允许所有VLAN通过的Trunk 端口是所有VLAN的端口,这样一来,任何VLAN都不能被配置为Super VLAN。
这一点一定要谨记。
在本示例中,对于Switch1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发的。
图20-8 通过ARP代理实现Sub VLAN与外部网络的二层通信的示例3. Sub VLAN与外部网络的三层通信下面以图20-9所示的例子介绍通过ARP代理实现Sub VLAN与外部网络的三层通信原理。
在示例中,Switch1上配置了Super VLAN 10,Sub VLAN 2和Sub VLAN 3,并配置一个普通的VLAN 30;Switch2上配置两个普通的VLAN 30和VLAN 20。
假设Super VLAN 10中的Sub VLAN 2下的主机A想访问与Switch2相连的主机C,则会经过以下下流程如下:(假设Swith1上已配置了去往1.1.3.0/24网段的路由,Swith2上已配置了去往1.1.1.0/24网段的路由):图20-9 通过ARP代理实现Sub VLAN与外部网络的三层通信的示例(1)首先主机A将主机C的IP地址(1.1.3.2)和自己所在网段1.1.1.0/24进行比较,发现主机C和自己不在同一个子网。
于是,主机A向自己的网关(Super VLAN 10接口)发送一个ARP请求(其实它不仅是给网关发送了这个请求,而是向整个VLAN 2中节点发送了这个请求),请求网关的MAC地址。
(2)Switch1在收到该主机A发送的ARP请求后,查找Sub VLAN和Super VLAN 的对应关系,以源MAC地址为Super VLAN 10 对应的VLANIF10的MAC地址作为目的主机C的目的MAC地址从Sub VLAN 2发送ARP应答给主机A。
(3)这样主机A就以网关MAC地址作为主机C的MAC地址记录在MAC表项。
然后主机A向网关发送以Super VLAN 10对应的VLANIF10的MAC地址作为目的MAC 地址,主机C的IP地址1.1.3.2作为目的IP地址的报文。
(4)Switch1在收到主机A发送的报文后,根据所设置的路由进行三层转发,下一跳地址为1.1.2.2,出接口为Switch2中的VLANIF30接口,把报文发送给Switch2。
(5)Switch2在收到该报文后通过直连出接口VLANIF20(注意,在同一台交换机上直接的多个网段之间是不存在跳数的,可直接进行三层转发),把报文发送给主机C。
(6)主机C在收到主机A发送的报文后,发送响应报文,经过Switch2上的VLANIF30接口进行三层转发到达Switch1的VLANIF30接口。
(7)Switch1在收到该报文后再通过Super VLAN 10这个网关接口,把报文发送给主机A。
这样就完成了Sub VLAN与外部网络的整个三层通信。
不再难懂的Super VLAN聚合原理2012-07-26 11:24:03 我来说两句收藏我要投稿不再难懂的Super VLAN聚合原理Super VLAN(超级VLAN)也是主要应用于服务提供商网络中,用于解决目前IPv4地址资源日趋紧张的问题。
Super VLAN又称为VLAN聚合(VLAN Aggregation),其原理就是将一个Super VLAN和多个Sub VLAN(子VLAN)关联(与前面介绍的Isolate-user-VLAN有些类似),但Super VLAN内不能加入物理端口,却可以创建对应的VLAN接口,在该VLAN接口下可以配置IP地址(这点有些特别,因为普通VLAN中是需要有至少一个活跃的端口才可以激活VLAN的);Sub VLAN 可以加入物理端口,但不能创建对应的VLAN接口,所有Sub VLAN内的端口共用Super VLAN的VLAN接口IP地址作为默认网关,从而节省了IP地址资源;不同Sub VLAN之间仍像普通VLAN一样采用二层相互隔离。
在H3C交换机中并不是所有系列都支持Isolate-user-VLAN,主要是H3CS5500和S7500两个系列支持。
前面说了,Super VLAN就是VLAN Aggregation(VLAN聚合)技术,它可以使同一个交换机中连接的多个不同VLAN、相同IP网段中的主机分配使用同一个默认网关进行三层通信。
我们知道,在普通VLAN中即使所有VLAN都是处于同一IP网段,都得为每个VLAN配置一个VLAN接口IP地址作为本VLAN的默认网关。
当然,普通VLAN的应用主要是一个VLAN 对应一个子网(如图20-5所示)同样在网络中的VLAN数量较多时,浪费了大量的IP地址资源。
图20-5 普通VLAN中的IP地址分配在图2-5所示的示例中,VLAN 2预计未来有10个主机地址的需求,给其分配一个掩码长度是28的子网1.1.1.0/28,其中1.1.1.0为子网号,1.1.1.15为子网定向广播地址,这两个地址都不能用作主机地址,此外1.1.1.1作为子网缺省网关地址也不可作为主机地址,剩下范围在1.1.1.2~1.1.1.14的地址可以被主机使用,共13个。
这样,尽管VLAN2只需要10个地址,但是按照子网划分却要分给它13个地址。
同理,VLAN 3预计未来有5个主机地址的需求,至少需要分配一个掩码长度是29的子网1.1.1.16/29。
VLAN 4预计未来只有1个主机,则分配一个掩码长度是30的子网1.1.1.24/30。
如表20-6所示。
表20-6 普通VLAN主机IP地址分配示例VLAN对应子网对应网关地址可用地址数可用主机数实际需求21.1.1.0/281.1.1.114131031.1.1.16/291.1.1.176 5541.1.1.24/301.1.1.25211上述三个VLAN一共需要10+5+1=16个地址,但是按照普通VLAN的编址方式,即使最优化的方案也需要占用16+8+4=28个地址,浪费了将近一半的地址。