h5手机网站发展趋势,网站服务内容怎样选,网页设计框架图,创业商机网农村工厂Super VLAN产生的背景
就经典的酒店例子来说#xff0c;若是将101房和102房的网络划分在同一个vlan下面#xff0c;那么101房出现了一个懂得某些安全技术的大佬#xff0c;就会使得102房的隐私得到严重的隐患
所以这时我们就需要将二层给隔离开#xff0c;但又要去保证10…Super VLAN产生的背景
就经典的酒店例子来说若是将101房和102房的网络划分在同一个vlan下面那么101房出现了一个懂得某些安全技术的大佬就会使得102房的隐私得到严重的隐患
所以这时我们就需要将二层给隔离开但又要去保证101房和102房之间的基本通信所以我们就需要使得101房和102房之间二层隔离而三层互通
方法1将101房划分一个vlan并分配一个IP地址段在102房划分另一个vlan并分配另一个IP地址段这样也能使得两房之间的网络互通但是一旦酒店规模增大vlan的id还好说但就会显得非常地浪费IP地址
方法2为了解决方法1中浪费IP地址的问题我们可以使用super vlan技术来解决如给101房在物理层面上分配一个sub vlan 10给102房在物理层面上分配一个sub vlan 20 而对于sub vlan 10/20逻辑层面上它们都属于super vlan 2。即可达到这些sub vlan都属于同一个子网和网关而又二层隔离节约IP地址段的目的 super vlan概述
通过上面对super vlan的基本应用介绍我们大致了解了super vlan和sub vlan的用途是怎么样的但还是对super vlan怎么建用什么建等理论问题有所欠缺
super vlan用于创建SVI接口但不包含物理接口
sub vlan只包含物理接口没有SVI接口
只是将sub vlan创建出来是没有办法让sub vlan之间的主机通信的要想是sub vlan之间通信则需要通过super vlan上开启ARP代理
相同sub vlan的通信
相同sub vlan通信的时候由于PC3发出的ARP报文中携带vlan 10 的标签这个vlan 10的标签被交换机看到之后会将ARP报文泛洪到所有被绑定为vlan 10的端口
当PC4收到ARP报文后会进行一个应答包的发送以同样的方式发送给PC3 不同sub vlan的通信
这里super vlan已经开启了ARP代理功能而在整个转发的过程中PC是并没有跨二层的概念的虽然说两者通信的方式都是通过交换机SW1的MAC地址但是对于PC3和PC4而言它们两个一直是在一个广播域内的 为什么要开启ARP代理
对于PC而言根本没有VLAN的概念PC3和PC4会认为自己和对方都处在同一个广播域所以当发生PC3访问PC4的时候PC3会直接发ARP包给SW让SW去给PC4
但在没有开启ARP代理之前SW去不会去给ARP包给PC4的因为只是PC上没有VLAN的概念一旦到了交换机上就有VLAN的概念交换机发现没有和PC3处于同一个VLAN物理接口就不会在进行ARP包的转发
开启ARP代理之后super vlan就会向所有的sub vlan发送ARP包即一个为广播形式的ARP包但前提是super vlan需要到达目的网段才能进行数据的发送
交换机发送完广播形式的ARP包后就可以寻找到PC4PC4收到这个ARP包后将会发送一个应答包
交换机收到应答之后在交换机SW上会产生一个MAC地址汇总表存储了所有PC的MAC地址的汇总表如果下次有访问的请求就可以直接根据该表进行转发
随后由交换机在发送PC3自己的MAC地址而PC3和PC4学到的MAC地址实际上都是交换机的只不过在PC的眼中没有VLAN的概念
所以PC3和PC4都会认为这是对方的MAC地址再次由PC3访问PC4的情况就会将数据交给交换机SW由交换机SW来根据MAC地址表处理后面的转发 sub vlan与其它普通vlan的二层通信
由于super vlan是不存在任何的成员接口的即super vlan没有任何的物理接口所以但SW1给SW2发送报文的时候是不包含任何super vlan的信息的
换一句话说对于除了sub vlan 来说将没有任何人知道super vlan的任何信息
所以当数据sub vlan 10要去访问SW2下的vlan10时由于SW2不知道super vlan 的存在就只会将sub vlan 10看作普通的vlan 10
从而我们得出结论sub vlan 与普通vlan的通信方式与普通vlan 和普通vlan 的通信方式是一致的 sub vlan与其它的三层网络通信
刚刚已经说过了除了sub vlan在整个网络体系中就没有其它人知道super vlan这个概念了
所以若是sub vlan与其它的三层网络进行通信也是走普通的IP网络转发 super vlan的配置 既然是高级的vlan那么基础也是从vlan开始所以第一步我们要做的应该是创建vlan
SW(config)#vlan range 10,20,30,2告诉vlan2它是super vlan并关联它的sub vlan为102030
SW(config)#vlan 2
SW(config-vlan)#SW(config)#vlan 2
SW(config-vlan)#subvlan 10,20,30创建SVI接口这一步也是为sub vlan们配置网关
SW(config)#int vlan 2
SW(config-if-VLAN 2)#ip add 192.168.1.2 24给sub vlan定义地址范围这一步是可选的当存在DHCP服务器的时候这一步就是非必要的
重点因为如果dhcp分配的给vlan 10中其中一台主机的地址为192.168.1.120而我们却定义vlan 10 的地址段为192.168.1.10~192.168.1.40
这样会造成DHCP分配地址成功但是该主机不能与外界通信的后果
SW(config)#vlan 10
SW(config-vlan)#subvlan-address-range 192.168.1.10 192.168.1.50
SW(config-vlan)#ex
SW(config)#vlan 20
SW(config-vlan)#subvlan-address-range 192.168.1.60 192.168.1.100
SW(config-vlan)#ex
SW(config)#vlan 30
SW(config-vlan)#subvlan-address-range 192.168.1.110 192.168.1.160
SW(config-vlan)#ex将vlan划入到对应的接口
SW(config)#int g0/0
SW(config-if-GigabitEthernet 0/0)#switchport mode access
SW(config-if-GigabitEthernet 0/0)#switchport access vlan 10
SW(config-if-GigabitEthernet 0/0)#int g0/1
SW(config-if-GigabitEthernet 0/1)#switchport mode access
SW(config-if-GigabitEthernet 0/1)#switchport access vlan 20
SW(config-if-GigabitEthernet 0/1)#int g0/2
SW(config-if-GigabitEthernet 0/2)#switchport mode access
SW(config-if-GigabitEthernet 0/2)#switchport access vlan 30
SW(config-if-GigabitEthernet 0/2)#exsuper vlan 的限制
super vlan虽然解决了IP地址浪费的问题但是还是存在着不少的缺陷的
1、super vlan往下后没有成员接口只有sub vlan换句话说super vlan不属于任何一个物理接口只有sub vlan才有物理接口如果super vlan绑定到接口下将会出现如下的报错 2、super vlan不能作为其它super vlan的sub vlan即在super vlan中是没有层级概念的
3、vlan1不能属于super vlan因为在默认情况下每个物理接口下都打上了vlan 1的标签又因为super vlan不可能被绑定到物理接口下所以vlan 1就更不可能成为super vlan了
4、在sub vlan上不能配置IP地址sub vlan 没有路由口即无SVI接口
5、一个sub vlan只能属于一个super vlan我们可以将super vlan看作sub vlan下联成员的网关而一个设备不能存在两个网关自然不能存在属于两个super vlan
6、sub vlan的删除不能直接使用no vlan命令来删除需要先将sub vlan转换成普通的vlan才能正常地删除 7、基于super vlan所在设备的接口ACL和QOS对于sub vlan来说是无效的
super vlan实验 目的1PC3和PC4都为一个sub vlanPC5为另一个sub vlanPC6不为sub vlan但是处于vlan 10下
基础IP配置
PC3上192.168.1.30
VPCS ip 192.168.1.30 255.255.255.0 192.168.1.2PC4上192.168.1.40
VPCS ip 192.168.1.40 255.255.255.0 192.168.1.2PC5上192.168.1.50
VPCS ip 192.168.1.50 255.255.255.0 192.168.1.2PC6上192.168.1.60
VPCS ip 192.168.1.60 255.255.255.0 192.168.1.2配置SW1和SW2上的接口类型为trunk并且允许所有vlan通过
SW1上
SW1(config)#int g0/3
SW1(config-if-GigabitEthernet 0/3)#switchport mode trunk
SW1(config-if-GigabitEthernet 0/3)#switchport trunk allowed vlan allSW2上
SW2(config)#int g0/1
SW2(config-if-GigabitEthernet 0/1)#switchport mode trunk
SW2(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan all配置super vlan
在SW1上创建所需要的vlan
SW1(config)#vlan range 10,20,2
SW1(config-vlan-range)#ex在SW1上配置super vlan并划分sub vlan
SW1(config)#vlan 2
SW1(config-vlan)#supervlan
SW1(config-vlan)#subvlan 10,20
SW1(config-vlan)#ex为sub vlan划分物理接口
SW1(config)#int g0/0
SW1(config-if-GigabitEthernet 0/0)#switchport mode access
SW1(config-if-GigabitEthernet 0/0)#switchport access vlan 10
SW1(config-if-GigabitEthernet 0/0)#int g0/1
SW1(config-if-GigabitEthernet 0/1)#switchport mode access
SW1(config-if-GigabitEthernet 0/1)#switchport access vlan 10
SW1(config-if-GigabitEthernet 0/1)#int g0/2
SW1(config-if-GigabitEthernet 0/2)#switchport mode access
SW1(config-if-GigabitEthernet 0/2)#switchport access vlan 20
SW1(config-if-GigabitEthernet 0/2)#ex在我们没有配置SVI即没有开启ARP代理之前由于PC3和PC4都是处于sub vlan10所以PC3与PC4是互通的而PC5却是处于sub vlan 20下所以此时PC3/PC4去pingPC5是ping不通的 现在在SW1上将SVI配上会默认自动开启ARP代理此时PC3/PC4应该是能ping通PC5的
SW1(config)#int vlan 2
SW1(config-if-VLAN 2)#ip add 192.168.1.2 24
SW1(config-if-VLAN 2)#exPC3ping通PC5图片 此时若是手动将ARP代理给关掉则会返回刚刚PC3/PC4去pingPC5是ping不通的现象
SW1(config)#vlan 2
SW1(config-vlan)#no proxy-arp PC3再次ping不通PC5图片如果出现ping的现象那说明刚刚SW1发个PC3的MAC地址缓存还存在 目标2验证sub vlan 10与普通vlan 10之间的通信是三层还是二层
现在我们已经将ARP代理手动关闭了如果由处于sub vlan 10的PC3去ping处于普通vlan 10 的PC6能ping通的话那么就说明sub vlan 10与普通vlan 10之间的通信走的是二层因为开启ARP代理才能代表走三层
在SW2上创建vlan 10并为vlan 10划分物理接口
SW2(config)#vlan 10
SW2(config-vlan)#exsub vlan 10的PC3去ping处于普通vlan 10 的PC6能ping通图片如下说明sub vlan 10与普通vlan 10之间的通信是走三层的
