華爲交換機擴展vlan配置

session 1 vlan擴展技術

一、Mux Vlan，利用vlan類型實現一種在同一個vlan端口間二層流量隔離的機制，Mux的vlan分爲主vlan和從vlan

1、主vlan和從vlan可以通信

2、從vlan之間分爲組類型和隔離類型，組類型的從vlan之間可以通信，隔離類型的vlan之間不能通信

實例，拓撲如下：

        主vlan10與從vlan2、3形成mux-vlan，其中pc1、2在sub-vlan2內，pc3、4在sub-vlan3內，要求pc1、2、3、4都能與pc5通信，而pc1、2相互可以通信但pc3、4相互不能通信，下面使用mux-vlan技術實現，配置如下：
pc1-5的ip地址分別爲192.168.1.10-50

在sw1上配置：

vlan batch 2 to 3 10                                            創建vlan2、3、10

vlan 10                                                                  進入vlan10
 mux-vlan                                                              將vlan10配置爲mux主vlan
 subordinate separate 3                                    配置sub-vlan3爲隔離類型
 subordinate group 2                                          配置sub-vlan2爲組類型
#

interface GigabitEthernet0/0/1                          將連接pc的端口分別加入對應的vlan
 port link-type access
 port default vlan 2
 port mux-vlan enable
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 3
 port mux-vlan enable
#
interface GigabitEthernet0/0/5                           將連接pc5的端口加入主vlan10，實現mux-vlan與sub-vlan相互通信的目的
 port link-type access
 port default vlan 10
 port mux-vlan enable
#

二、super vlan技術，聚合vlan，用於解決三層vlan接口過多浪費ip地址的問題

在聚合vlan中，只在super-vlan接口上配置ip地址，而不必爲每個sub-vlan配置ip地址。所有sub-vlan公用一個網段，從而節省ip地址

       上述拓撲中爲了節省ip地址，只使用一個網段。用到super-vlan技術，其中super-vlan10，ip地址192.168.1.24/24，sub-vlan2、3是從vlan，共同使用一個網絡。所有主機都屬於192.168.1.0/24網絡，但是pc1、2在vlan2內，pc3、4在vlan3內，默認情況下因爲pc1、2與pc3、4分別處於不同的vlan不能通信，爲了讓vlan2與vlan3能夠通信，就必須在super中開啓vlan間的arp代理功能（因爲super-vlan是節省ip地址用，但是公用一個ip網段後sub-vlan是不能相互通信的，必須依靠L3路由而super-vlan中sub-vlan又沒有svi接口來配置ip地址，所以必須依靠arp代理功能來讓super代理轉發sub-vlan之間的數據包，讓sub-vlan之間相互通信）

配置如下：

vlan batch 2 to 3 10                                                             創建vlan2、3、10

vlan 10                                                                                   進入vlan10
 aggregate-vlan                                                                    配置vlan10爲聚合vlan
 access-vlan 2 to 3                                                              聚合了vlan2、3
#

interface Vlanif10                                                                爲super-vlan10配置svi接口ip地址
 ip address 192.168.1.254 255.255.255.0
 arp-proxy inter-sub-vlan-proxy enable                           開啓vlan間的arp代理功能
#

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 3
#

pc的ip地址都是用192.168.1.0/24，可以不用配置網關，因爲在同一個網段內，並且有arp代理功能。

使用命令[Huawei]display vlan可以看到super-vlan和sub-vlan

三、arp代理功能：

[Huawei-Vlanif10]arp-proxy ?
  enable                Enable proxy ARP(Address Resolve Protocol)            路由模式的arp代理功能
  inner-sub-vlan-proxy  Proxy ARP within a VLAN                                       vlan內的arp代理功能
  inter-sub-vlan-proxy  Proxy ARP between VLANs                                    vlan間的arp代理功能

1、路由模式的arp代理功能，拓撲和實例如下：

        路由模式的arp-proxy代理主要用於兩個處於同一個網段的物理網絡之間的無網關通信，如上述拓撲中的PC6與PC7都在同一個網段，但是分別處於兩個不同的物理網絡中，中間使用路由器分割開，那麼可以使用arp-proxy的路由模式來使得pc6與pc7之間通信，在AR1上只需如此配置即可，pc上可以不同配置網關地址：

interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
 arp-proxy enable
#
interface GigabitEthernet0/0/1
 ip address 192.168.2.254 255.255.0.0 
 arp-proxy enable
#

2、vlan內的arp代理功能inner-sub-vlan-proxy，適用於交換機內同一vlan間不能通信的pc，與路由模式的原理一樣只是物理接口變成vlan的svi接口下配置即可，vlan內的代理使用只有一種場景：此種場景內DSLAM連接的vlan10中的pc之間無法通信，因爲DLSAM無法向交換機那樣使用mac地址進行轉發，所以就需要再SWA這個交換機上創建vlan10的svi接口，並且打開vlan10的vlan內arp-proxy代理功能，才能使DSLAM連接的vlan10的pc之間相互通信，由於無法演示，只給出配置命令：

在SWA上配置：

vlan 10

interface vlanif 10
 ip address 192.168.2.10 255.255.255.0 
  inner-sub-vlan-proxy
#

使得pc之間可以通過vlan內的arp代理通信

3、vlan間的arp-proxy功能在聚合vlan中使用，見上面的super-vlan

三、VLAN Mapping技術，vlan的映射。

在邊界交換機的入口處做，將收到和發出的vlan進行映射。用於兩端網絡vlan-id不同又要相互訪問的場景，如下例拓撲：

在上圖拓撲中，左邊net1網絡中只有vlan2，而右邊net2網絡中只有vlan5，但是兩端使用的ip地址都是相同的網段的，現在要實兩端相同網段的pc在不同的vlan中也能互通，即左邊的pc1、2在vlan2中卻可以和右邊的在vlan5中的pc3通信，使用vlam-mapping技術在LSW2上的g0/0/3接口上將收到的vlan5的幀的vlan-id替換成vlan2的幀，而將vlan2出去到net2網絡的幀的vlan-id替換成vlan5，從而達到相同網段在不同vlan之間的二層互通。

配置如下：

LSW1的配置：

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 5
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#

LSW2上的配置：

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 qinq vlan-translation enable                                     開啓vlan映射
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 port vlan-mapping vlan 5 map-vlan 2                     將收到的vlan5的幀映射爲vlan2的幀轉發
#

檢查結果，在pc1上ping一下pc3

PC1>ping 192.168.1.30  
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
From 192.168.1.30: bytes=32 seq=1 ttl=128 time=63 ms
From 192.168.1.30: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.1.30: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.1.30: bytes=32 seq=4 ttl=128 time=63 ms
From 192.168.1.30: bytes=32 seq=5 ttl=128 time=46 ms
--- 192.168.1.30 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/56/63 ms
PC1>