今日目标
01 利用VLANIF虚接口实现VLAN间通信
02 掌握VLAN聚合原理及配置
03 理解端口隔离的场景和原理
1 VLAN间通信
1.1 VLANIF虚接口
- 三层交换机
√ 具备路由功能的交换机,称之为三层交换机或多层交换机
- VLAN间通信解决方案:VLANIF虚接口
- VLANIF虚接口
√每个VLAN都对应一个VLANIF接口
√VLANIF接口是一种三层虚拟接口,可以实现VLAN间的三层互通
√给每个VLAN需要配置一个VLANIF虚接口,配置接口IP地址,作为VLAN内主机的网关地址
√VLANIF接口不占用额外的物理端口资源,节约成本
√通常在三层交换机上配置VLANIF接口,来实现VLAN间通信 - 三层交换机VLAN间通信的转发过程
1.2 VLANIF虚接口配置
√在三层交换机上创建VLAN
√为每个VLAN创建网关接口-VLANIF
√为每个VLANIF配置网关IP地址
√如有需要,还须在三层交换机上配置路由
- 要求实现不同VLAN间互通
√创建VLAN、接口加入VLAN
√配置VLANIF虚接口IP地址
- 创建VLAN、接口加入VLAN
bash
[SW1]vlan batch 2 3
[SW1]interface go/0/1
[SW1-G0/0/1]port link-type access
[SW1-G0/0/1]port default vlan 1
[SW1]interface go/0/2
[SW1-G0/0/2]port link-type access
[SW1-G0/0/2]port default vlan 2
[SW1]interface go/0/3
[SW1-G0/0/3]port link-type access
[SW1-G0/0/3]port default vlan 3- 配置VLANIF虚接口IP-网关地址
bash
[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.254 24
[SW1]interface Vlanif 2
[SW1-Vlanif2]ip address 192.168.2.254 24
[SW1]interface Vlanif 3
[SW1-Vlanif3]ip address 192.168.3.254 24√不同VLAN内的主机通过直连路由互连互通
VLAN间通信之配置VLANIF虚接口
- 每个VLAN的网关1P地址为192.168.x.254/24,实现所有PC互通
2 VLAN聚合原理及配置
2.1 VLAN聚合基本概念
- VLAN聚合(VLAN Aggregation,也称Super VLAN)
√指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域
√这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN)
√这些Sub-VLAN使用同一个IP子网和缺省网关,可以节约P地址资源 - Super VLAN:超级VLAN
- Sub-VLAN:子VLAN
2.2 多VLAN中IP地址浪费问题
- VLAN越多,IP地址浪费越多
√一个VLAN中,网络号、广播地址、网关地址都不能分配给主机使用
√且一个VLAN中实际主机数量过少,也要分配一个单独的网段
2.3 VLAN聚合作用
- 在多VLAN的网络环境中,节省IP地址
√每个Sub-VLAN对应一个广播域,多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP网段,所有Sub-VLAN都使用Super-VLAN的IP网段进行三层通信,从而节省P地址
2.4 Sub-VLAN
√只包含物理接口,不能建立三层VLANIF接口
√Sub-VLAN用于隔离广播域
√每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的
2.5 Super-VLAN
√Super-VLAN只建立三层VLANIF接口,不包含物理接口,与网关对应
√一个Super--VLAN可以包含一个或多个Sub-VLAN
√Sub-VLAN不再占用一个独立的子网网段
√在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的P地址都在Super-VLAN对应的网段内
2.6 Sub-VLAN之间的通信存在问题
√普通VLAN中,不同VLAN内的主机可以通过各自不同网关进行三层互通
√但是Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发
√不同Sub-VLAN的主机,在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题
2.7 Sub-VLAN之间的通信解决方案
- 解决这一问题的方法就是使用Proxy ARP
- Proxy ARP
√如果ARP请求是从一个网络的主机发往同一网段但不在同一VLAN(同一广播域)内的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理
(Proxy ARP)
√VLAN间Proxy ARP:两台主机处于相同网段,但属于不同VLAN
3 VLAN聚合配置
VLAN聚合配置思路
- 配置思路
√创建Sub-VLAN
√配置端口模式
√端口加入VLAN
√创建Super-VLAN
√将Sub-VLAN加入Super-VLAN
√配置Super-VLAN的VLANIF接口
√Super-VLAN下配置Proxy ARP
√验证设备之间的互通性
Sub-VLAN配置
- VLAN角色类型
√Sub-VLAN
√Super-VLAN - Sub-VLAN配置
bash
#
vlan 2 //创建valn2
#
interface Etherneto/0/1 //进入接口
port link-type access //配置接口链路类型
port default vlan 2 //接口加入sub-vlanSuper-VLAN配置
bash
#
vlan 10 //创建valn10
aggregate-vlan //配置vlan10为Super-VLAN
access-vlan 2 //将Sub-VLAN加入Super-VLAN
//备注:Sub-VLAN不能创建VLANIF接口
#
interface Vlanif10
ip address192.168.10.254255.255.255.0
arp-proxy inter-sub-vlan-proxy enable //Super--VLAN下开启Proxy ARP课堂练习
VLAN聚合
- 需求描述
√公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同
VLAN中,VLAN2和VLAN3和VLAN4属于不同部门
√各部门各VLAN内部的主机要和R1互通
√同时由于业务需要,不同的VLAN间的主机也需要互通 - 配置思路
√在SWB/C/D上创建VLAN,将端口加入VLAN,并且透传VLAN到SWA
√在SWA上配置Super-VLAN,并配置VLANIF:接口
√在SWA上启用Super-VLAN的Proxy ARP功能
4端口隔离原理与配置
端口隔离概述
- 实现报文之间的2层隔离,除了使用VLAN技术以后,还可以使用端口隔离技术
- 采用该技术后,属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离
- 端口隔离为用户提供了更加安全、更加灵活的组网方案
端口隔离应用场景
端口隔离基本概念
端口隔离配置实现
端口隔离
- 需求描述
√PC1/2/3/4都属于同一个VLAN100
√1P地址所在网段为192.168.100.0/24,网关地址为192.168.100.254
√PC1/2不能互访,但是都可以访问PC3/4
√同时,所有的PC都可以访问Server1
