VLAN聚合特性及其实例配置介绍...

谈一下VLAN的一个独特的功能―――VLAN聚合（vlan aggregation）。当然，前提是交换机支持VLAN聚合。现在一般的三层交换机都支持，对用户作用也很大。一旦我们使用VLAN聚合功能，就允许客户端在同一子网里使用不同的广播域，但是这些客户端使用的还是同一个路由接口，从而达到增强IP地址利用率的目的。可以跟VLAN做比较，通常一个VLAN，一个子网，也即一个广播域，一个路由接口（本文中谈的都是三层VLAN），而VLAN聚合则把一个子网段分成地址段，即几个广播域，IP地址和路由接口都不变，至于子网段之间的通讯与否，可以根据需要设置。使用VLAN聚合时，超VLAN可以定义一个任意IP地址，但是没有自己的成员端口，端口都是指定在子VLAN中。子VLAN作为超VLAN的成员，并没有自己的IP地址，而是使用超VLAN的IP地址作为自己的路由接口地址。通常，客户端都是指定在子VLAN内，我们可以在子VLAN中有选择的分配给一些地址段，前提是这些地址段必须在超VLAN的子网范围内，以便于我们更好的管理IP地址。当然，根据需要，我们可以控制各子VLAN之间是否需要通讯。我们平时使用时，子VLAN可以很小，但是必须要为今后网络的扩容而且不重新定义子网的情况留下空间，假如不使用VLAN聚合，即通常使用VLAN的情况，每个VLAN需要一个路由接口地址，并且需要大的子网。结果是不能有效的利用IP地址，造成浪费。 Vlan聚合示意图 VLAN聚合是VLAN的一项比较独特的功能，在使用中有如下特性： ●所有广播包和未知流量都局限在子VLAN内部，不会跨越子VLAN边界。子VLAN内部的所有流量只在子VLAN内部交换，这样可以有效的隔离子VLAN之间的流量。 ●客户端即主机都放置在子VLAN内。在超VLAN的路由接口地址范围内，每台主机可以任意设置一个IP地址。在子VLAN内的每台主机的子网掩码都是和超VLAN定义的子网掩码相同，并且他们的路由地址即网关就是超VLAN的路由接口地址。 ●子VLAN之间的所有流量都是通过超VLAN来路由的。例如，在子VLAN间不会有ICMP重定向产生，因为超VLAN为子VLAN进行了路由。当一个子VLAN加入到超VLAN中时，在IP　arp表中会自动加入一个arp表项，这就使得IP单播包可以穿越子VLAN。为安全起见，我们可以关闭掉这项功能。 ●当超VLAN启用组播路由协议时，子VLAN间的IP组播流量将被路由。当然，VLAN聚合也有它的局限性： ●子VLAN不能有其他的路由接口，它的路由只能在超VLAN上进行。 ●子VLAN不能成为超VLAN。 ●子VLAN不能指定IP地址，即路由接口地址。 ●通常，超VLAN没有成员端口，除了一些特定场合。 ●如果客户机从一个子VLAN移到另一个子VLAN，必须在客户机和交换机上清除IP　arp缓存以继续通讯。通常，我们还可以给每个子VLAN设置地址段，以避免地址段以外的非法客户端进入网络。但是我们要注意，假如多个子VLAN定义了重复的地址段，交换机并不提供错误检查，从而在超VLAN和子VLAN的arp过程中带来错误。这一点尤其要注意。设置一个子VLAN的地址段，可以用如下命令：（本文中命令配置以extreme交换机为例） config vlan subvlan-address-range - 删除一个子VLAN的地址段： config vlan subvlan-address-range 0.0.0.0 – 0.0.0.0 为了在子VLAN间可以通讯，交换机默认在超VLAN的IP　arp表中生成一个表项来提供arp代理功能。这样，使得一个子VLAN的客户机可以和另一个子VLAN的客户机进行通讯。当然，出于安全需要我们可以关闭此功能。关闭超VLAN的IP　arp表项自动添加功能，我们可以用如下命令： disable subvlan-proxy-arp vlan 最后，结合extreme交换机举个VLAN聚合的例子：１．建立一个VLAN，指定路由地址，但没有成员端口，作为超VLAN，并且启动路由。 create vlan super config super ipaddress 192.201.3.1/24 enable ipforwarding enable ospf config ospf add super ２．建立子VLAN并加入成员端口。 create vlan sub1 con sub1 add port 1-4 create vlan sub2 config sub2 add po 5-8 create vlan sub3 config sub3 add po 9-12 ３．把子VLAN加入到超VLAN。 config super add subvlan sub1 config super add subvlan sub2 config super add subvlan sub3 ４．如果要阻止各子VLAN通讯，默认为允许。 disable subvlan-proxy-arp super 如要查看配置信息，用show vlan 命令。