Super-vlan技術詳解

Super-vlan技術詳解

在傳統的VLAN間路由中，咱們須要每一個VLAN配置一個IP地址，做爲此VLAN的網關，以實現三層路由;此方法中，每一個VLAN都是一個子網，子網號不能爲主機所用，此子網須要分配一個IP地址做爲網關，還有一個IP地址做爲定向廣播地址，若是VLAN中的主機不須要那麼多IP地址，那此子網內的剩餘IP地址，也不能分配給其它VLAN的主機使用，形成極大的浪費。就算是使用VLSM分配IP地址，每一個VLAN也至少浪費三個IP地址，若是有幾十或上百個VLAN,那會浪費大量的IP地址。在此這種狀況下，爲節約IP地址，提出Super VLAN的概念。

Super VLAN又稱VLAN聚合，其原理是一個Super VLAN包含多個Sub VLAN，每一個Sub VLAN是一個廣播域，不一樣Sub VLAN之間二層相互隔離。Super VLAN能夠配置三層接口，Sub VLAN不能配置三層接口。 當Sub VLAN內的用戶須要進行三層通訊時，將使用Super VLAN三層接口的IP地址做爲網關地址，經過ARP 代理能夠進行ARP 請求和響應報文的轉發與處理，從而實現了二層隔離端口間的三層互通 。這樣多個Sub VLAN共用一個IP網段，從而節省了IP地址資源。

Super VLAN只創建三層接口，不包含物理端口，能夠看到成是一個邏輯的三層接口，若干sub-VLAN的集合。

sub-VLAN 則只包含物理端口，但不能創建三層VLAN虛接口.它的三層通訊依靠super-vlan來實現。

與原來的VLAN間路由不通，本來的三層交換能夠根據各自的網關進行，可是如今全部的sub-vlan都屬於同一個網段，則就處於不一樣的sub-vlan通訊時，會認在同一個網段，會作二層轉發，而不會進行三層轉發，可是二層轉發是被VLAN隔離了，這就形成sub-vlan間不能通訊。解決方法就是代理ARP。

代理ARP的工做原理：

源主機認爲目標主機與本身在同一網段，廣播發送ARP請求。

與源主機網絡相連的網關已經使能ARP PROXY功能，若是存在到達目的主機的正常路由，則代替目的主機REPLY本身接口的MAC地址；

源主機向目的主機發送的IP報文都發給了路由器；

路由器對報文作正常的IP路由轉發；

發往目的主機的IP報文經過網絡，最終到達目的主機。

三層通訊原理

PC1:192.168.10.10 MAC=PC1MAC與PC2：192.168.10.20 MAC=PC2MAC的通訊過程:

首先PC1與PC2通訊，經過對方IP和本身的子網掩碼進行與運算，發如今同一個網段，因此廣播發送ARP請求(DMC=FFF:FFF:FFF，SMAC=PC1MAC,ARP字段中 SMAC=PC1MAC,SIP=192.168.10.10 DMAC=000:000:000 DIP=192.168.10.20),SW2收到後學習SMAC（PC1MAC），同時向VLAN10 裏廣播，SW3收到後也學習SMAC（PC1MAC），同時向VLAN10裏廣播，並抄送一份給接口板的ARP模塊，通過接口板ARP的分析，發現它來自SubVLAN，就將此ARP請求報文交給主控板ARP模塊處理。主控板ARP首先在ARP表中查找ARP請求報文中的目的IP地址，假如找到對應項，看看目的IP地址是否是在SubVLAN10中，是就丟棄該報文，不是就將SuperVLAN5的MAC地址應答給PC1，完成代理工做（DMC=PC1MAC，SMAC=VLAN5MAC,ARP字段SMAC=VLAN5MAC,SIP=192.168.10.10,DMAC=PC1MAC,DIP=192.168.10.20）。　假如在ARP表中沒有找到對應項，主控板ARP就查VLAN聚合與VLAN的邏輯映射表，知道Sub-VLAN10屬於Super-VLAN5，將此報文中的源MAC地址替換成SuperVLAN5的MAC地址，VLAN ID的值由10分別替換成屬於SuperVLAN3的其它Sub-VLAN的值，以後逐個向屬於此SuperVLAN的其它Sub-VLAN（本例中爲Sub-VLAN20）廣播，並同時將此請求報文中的信息學習加入動態ARP表中。此後若收到PC2的ARP應答報文（其目的MAC地址爲Super-VLAN5的MAC地址），主控板ARP模塊發現此ARP應答報文的VLAN ID是Sub-VLAN20，即PC2位於Sub-VLAN20中，主控板CPU根據應答報文中的信息，搜索ARP表中的各項，找到對應項後把SuperVLAN5對應的MAC地址經過ARP應答報文回給PC1（若PC2位於Sub-VLAN10，PC2響應的ARP應答報文直接經過二層轉發回給PC1，交換機就再也不應答）。同時在接口板上將SubVLAN20中的響應報文信息記錄在ARP表及FIB表中，之後再收到來自主機X的報文就能夠經過查詢FIB表進行三層轉發了。二層通訊原理

由於super-vlan並不包含物理端口，是一個邏輯的三層接口，因此實際上不會有帶有super-vlan的VLAN標記的報文。就算是有super-vlan的VLAN標記的報文過來，但因爲trunk上不容許super vlan的VLAN標記的報文經過。因此二層通訊與原來的通訊是同樣的。

與外部PC通訊原理

PC1=192.168.1.10/24 MAC=PC1MAC PC3=1.1.1.10/24 MAC=PC3MAC

首先PC1與PC3通訊，經過目標IP與PC1的子網掩碼進行與運算，發現不在同一個網段，則應該將數據發送給網關，在ARP緩存表查詢網關MAC（192.168.10.1的MAC）,若沒有，則發送ARP請求，與前面同樣。獲得網關MAC後，將數據發給網關，網關收到後，拆二層封裝，以目標IP查詢FIB表，發現應從e1/0/3發出，同時從該接口發送ARP請求請求PC3MAC,PC3收到後回覆，數據包從新封裝從該接口發出。當PC3回覆數據時，正常轉發到e1/0/3，查詢FIB表，發現目標主機PC1對應的出接口爲super-vlan5,可是VLAN5中沒有包含任何物理端口，那麼就不能轉發出去，可是儘管在FIB表中192.168.1.0/24出接口爲super-VLAN5，可是在ARP表中IP地址192.168.1.10對應的出接口卻爲sub-VLAN 10，真正用來構建轉發表時所用的出接口應該是ARP表中對應的sub-VLAN接口，這樣就能夠經過在sub-VLAN下查找目的MAC找到正確的出端口。因而，PC3的迴應報文就能正常到達主機PC1了。

H3C配置命令：

<h3c> system-view       //進入系統視圖
[H3C] vlan 5        //進入VLAN視圖
[H3C-vlan5] supervlan    //配置當前VLAN爲Super VLAN 
[H3C-vlan5] vlan 10     //建立Sub VLAN
[H3C-vlan10] port ethernet1/0/1   //向Sub VLAN中添加以太網端口 。port命令只適用於將access端口加入sub vlan。若是須要將trunk端口和hybrid端口加入sub vlan，只能經過以太網端口視圖下的port trunk permit vlan和port hybrid vlan命令實現

[H3C-vlan10] vlan 20
[H3C-vlan20] port ethernet1/0/2 

[H3C-vlan20] vlan 5    //進入Super VLAN的VLAN視圖
[H3C-vlan5] subvlan 10 20 //建立Super VLAN與Sub VLAN間的映射關係
[H3C-vlan10] interface vlan 10      
[H3C-Vlan-interface10]ip address 192.168.10.1 24

思科交換機VLAN配置

switch# configure       //進入全局配置模式 
switch(config)# vlan vlan-id   //進入 VLAN配置模式 
switch(config-vlan)# supervlan    //打開 SuperVLAN的功能 

缺省狀況下，Super VLAN功能是關閉的，使用 no supervlan 能夠關閉已經打開得 supervlan 的功能。

switch(config-vlan)# subvlan vlan-id-list  //指定若干個 sub vlan 並把它們加入super vlan 中。 
switch(config-vlan)# exit        //退出到全局模式

設置 Super VLAN 的虛擬接口 

switch# configure       //進入配置模式 
switch(config)# interface vlan vlan-id  //進入 SVI 模式 
switch(config-vlan)# ip address ip mask  //設置虛擬接口的 IP 地址 
switch(config-vlan)# end        //回到特權模式 

打開ARP代理功能，默認是開啓的
switch# configure        //進入配置模式 
switch(config)# vlan vlan-id //進入 VLAN模式 switch(config-vlan)# proxy-arp  //打開 VLAN的 ARP 代理功能

注意事項：

Trunk端口會過濾掉super-vlan。

Super VLAN不能作爲其它Super VLAN的Sub VLAN。

Super VLAN不能當正常的1Q vlan來使用。

VLan 1不能做爲SuperVLAN。

Sub VLAN不能配置爲網絡接口，不能配置IP地址。

SVLAN不能使用VRRP，不支持多播。

基於Super VLAN接口的ACL和QOS配置不對Sub VLAN生效。

每個Super VLAN能夠和127個Sub VLAN創建映射關係。系統最多容許創建1024個Sub VLAN。