Vlan间通讯配置与管理
三层交换机(带有路由功能)
三层交换机,除了拥有Mac地址表,还有一张路由表!
[s1-Vlanif100]display ip routing-table 查看路由表,目前表中只能看到环回接口。
vlan间的三层通讯存在两种不同的情况:
①相互通信的不同vlan处于同一个交换机;
②互相通信的不同vlan处于不同的交换机。
因此,为了达到即二层隔离,又能互相通信,华为提供了三种解决方案:
配置三层VALNIF接口;(本次验证)
三层以太网子接口;
Vlan Switch;
我会用vlanif接口来解决这个矛盾,最后利用supvlan解决 vlanif接口带来的缺点。
试验拓扑
这里先采用三层vlanif接口 (企业中常用的方案)
优点:属于不同vlan且不同网段的用户,只要在路由可达的情况下,随时可以互相通信。
缺点:若是网络中存在多个用户,且属于不同的vlan,那么需要对每一个vlan创建对应的vlanif接口,并分配IP地址,增加了配置工作量,占用了大量的内网IP资源
适用场景:规模小,IP地址固定的网络,且用户属于不同的网段,二层转发,三层转发。
验证:
不同VLAN在不同子网互相通讯;
相同子网不同vlan互相通信。
先验证不同vlan 不同子网通讯:
以基于端口划分vlan方法讲解:
1.创建vlan
[s1]vlan 100
[s1]vlan 200
[s1-GigabitEthernet0/0/1]port link-type access
[s1-GigabitEthernet0/0/1]port default vlan 100
其他端口省略....
[s1-GigabitEthernet0/0/4]port link-type access
[s1-GigabitEthernet0/0/4]port default vlan 200
截止目前配置,相同vlan互通,不同VLAN间目前不能互相通信。
进入vlan200接口,vlan接口属于三层接口,就可以配置IP地址。启用vlan200和vlan100的 三层接口。
S1700系类交换机不支持
[s1]interface Vlanif 200
[s1-Vlanif200]ip address 192.168.200.1 24
vlan100一样配置
配置完成后,再次查看路由表,路由表发生了变化。P301
该接口理解成一个三层的逻辑接口,VLANIF接口作为对应vlan内部用户主机的缺省网关,通过三层交换机内部的IP路由功能可以实现不同VLAN通讯。
路由表中可以看到两个vlan三层接口的地址。
注意的是:华为s系列的交换机中,物理接口都是不能直接配置IP地址的,在进行交换机的远程管理场景中,都是利用vlanif逻辑接口上配置IP地址作为管理IP地址,而这个管理IP地址所对应的vlan ,称之为管理vlan !
测试通讯成功
若是通讯不成功,请检查两端的客户端的网关地址是否填写好!客户端判断不在同一个子网,arp数据请求会请求网关地址,由网关来和外界通信。
通俗的来说:路由功能就是让交换机识别不同网段的作用
为了验证vlanif接口的重要性,我在拓扑中再创建一个vlan3的区域
区别:将vlan3接口信息消失在路由表中。关闭vlanif3接口。
[s1-Vlanif3]shutdown
PC5 ping PC4,结果通讯失败:
抓取报文,验证网关和vlan接口的重要性,抓取交换机5号端口报文,发现只有arp报文,实际上网关地址并没有被解析到。(网关地址没有获取到)
只能vlan3里的主机互相通讯
再验证:不同vlan 相同子网,通讯失败、若是要通信成功,如何解决,常规思路启用VLANIF4,然后在配置一个192.168.3.0/24的网关地址,可是这样配置,如果数量多了,如何管理呢?
super_vlan试验拓扑
若是想要完成不同vlan 相同子网互相通讯,如何处理?
supper VLAN的出现可以解决这个问题,由supperVLAN来全权处理
创建步骤:
指定supperVLAN (根据需求来指定 supperVLAN)
这里我用vlan 6作为 supperVLAN,它的成员就包括了vlan3.4.5
[s1]vlan 6
[s1-vlan6]aggregate-vlan
指定谁是sub-vlan (成员vlan),
A . 指定sup-vlan时,该Vlan 不得有任意一个接口加入。
B . Sub-VLAN不能启用Vlanif接口。
C . 不建议将vlan1加入,若是强用或者将所有端口划分到其他vlan中
要不然会报错
因此需要,将三层接口去掉[s1]undo interface Vlanif 3 
再次设置sub_VLAN[s1-vlan6]access-vlan 3 to 5
最后查看 vlan,345是subVLAN,6是superVLAN
启用super_VLAN的三层接口配置地址
但是,现在的路由表中只有vlanif6的路由条目,不同VLAN,相同子网下,通讯不能成功,相同子网下,arp解析的目标IP地址,是不会去找网关的。
在通讯不成功的背后就是,用户发出arp解析,没有被任何人理会,因为vlanif接口地址收到目标IP地址是192.168.3.10.不是自己的IP地址,因此无回应
在vlanif接口下启用代理ARP
[s1-Vlanif6]arp-proxy inter-sub-vlan-proxy enable
这是相同vlan间
通讯成功后的抓包分析:
4c1f-cc6a-7d7d是这个mac地址回应了arp请求。
[s1-Vlanif6]display int Vlanif 6
而vlan 6接口的mac地址就是这个地址,证明了vlan6接口的地址返回给请求用户,
在接收端的接口下抓取报文,通过查看arp的源IP,知道网关的地址。证明vlanIF6给目标IP用户的ARP报文
所谓,条条大路通罗马,两台主机在不同vlan,相同子网下的第二种方法。
MUX_vlan实验拓扑
1.先创建vlan 2 to 5
2.定义主vlan
[S1-vlan4]mux-vlan 不要在三层接口
3.指定从vlan配置互通或者隔离
separate----隔离
group----互通
将2和3设置成互通型从vlan
[S1-vlan4]subordinate group 2 to 3
配置中不允许有三层接口。
vlan5配置隔离型从vlan
[S1-vlan4]subordinate separate 5
4.划分端口归属vlan
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 2
拓扑内内所有端口都要配置
截止目前配置,各自的VLAN内部通讯正常,包括隔离型从vlan 5
不同vlan间通讯失败也不能和主vlan 通信
5.接口划分到mux_vlan中
每个端口都要配置[S1-GigabitEthernet0/0/11]port mux-vlan enable
测试结果:
隔离型vlan 5内部的主机不可以通讯
互通型的vlan之间也不可互相通讯,但是可以主vlan通信
