李金方 汪鴻偉 郭國平

1河海大學(xué)信息中心 江蘇 210098

2中興通訊公司 江蘇 210029

0 引言

本文提出一種利用超級虛擬局域網(wǎng)，該方法只要將匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持Super VLAN技術(shù)能力的三層匯聚交換機，維持使用原接入層和核心層網(wǎng)絡(luò)設(shè)備，尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時仍可使用功能簡單、價格低廉的交換機。達到了既不改變傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)模式，又可有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊、DHCP欺騙等嚴重影響網(wǎng)絡(luò)運行的故障問題，特別是可以充分的保護前期的投資，極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費用。

1 基于Super VLAN技術(shù)的組網(wǎng)方法原理

1.1 Super VLAN概述

Super VLAN是VLAN劃分的一種方式。Super VLAN又稱為VLAN聚合，是一種專門優(yōu)化IP地址的管理技術(shù)。傳統(tǒng)的信息服務(wù)商（ISP）網(wǎng)絡(luò)給每個用戶分配一個IP子網(wǎng)，而分配一個子網(wǎng)，就有三個IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、廣播地址和缺省網(wǎng)關(guān)。再有如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費。Super VLAN有效的解決了這個問題，其原理是將一個網(wǎng)段的IP分給多個不同的VLAN（稱為SubVLAN），這些SubVLAN同屬于一個Super VLAN。而每個SubVLAN都是一個獨立的廣播域，不同SubVLAN之間二層相互隔離。這樣只需為Super VLAN分配一個IP子網(wǎng)，并為每個用戶建立一個SubVLAN，從而保證了不同用戶之間的隔離。所有SubVLAN可以靈活使用Super VLAN子網(wǎng)中的IP地址，當SubVLAN內(nèi)的用戶需要進行三層通信時，將使用Super VLAN的虛接口的IP地址作為缺省網(wǎng)關(guān)。這樣多個Sub VLAN 共享一個IP網(wǎng)關(guān)地址，從而節(jié)省了IP地址資源。同時，為了實現(xiàn)不同SubVLAN間的三層互通及SubVLAN與其他網(wǎng)絡(luò)的互通，需要利用ARP代理功能。通過ARP代理可以進行ARP請求和響應(yīng)報文的轉(zhuǎn)發(fā)與處理，從而實現(xiàn)了二層隔離端口間的三層互通。

1.2 Super VLAN的通信原理

在以Super VLAN技術(shù)組成的網(wǎng)絡(luò)情況下，兩個聚合的Sub-VLAN之間通信的過程，如圖1所示。

Sub VLAN2和Sub VLAN4聚合成Super VLAN3，為Super VLAN3 分配一個IP子網(wǎng)，Sub VLAN2和Sub VLAN4都位于此子網(wǎng)。假設(shè)Sub VLAN2中的一臺主機PC1要與子網(wǎng)中的另一臺主機PC2通信，PC1發(fā)現(xiàn)對方與自己處于同一網(wǎng)段，則直接發(fā)出目的IP的ARP請求報文。那么三層設(shè)備收到該ARP請求報文后，將其在Sub VLAN2的范圍內(nèi)直接通過二層廣播此報文，并送一份給設(shè)備本身的ARP模塊，設(shè)備的ARP模塊首先看ARP請求報文中的目的IP地址是不是在Sub VLAN2中，如果是就丟棄該報文，表明它和PC1在同一個廣播域里面，那么目的主機將直接應(yīng)答給PC1；如果不是就將Super VLAN3的MAC地址應(yīng)答給PC1，完成ARP的代理工作。比如PC1和PC2的通信就需要通過ARP代理，由設(shè)備轉(zhuǎn)發(fā)PC1發(fā)給PC2的數(shù)據(jù)包；而PC1和PC3的通信則直接進行無需通過設(shè)備轉(zhuǎn)發(fā)。

由此可見采用Super VLAN技術(shù)的初衷是為了節(jié)省IP地址（它只需對包含多個Sub VLAN的Super VLAN分配一個IP地址）。而基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法不僅利用Super VLAN技術(shù)節(jié)省IP地址的特性，更重要的是利用每個SubVLAN都是一個獨立的廣播域，不同用戶之間二層相互隔離的特性。在接入層交換機上為每個用戶分配一個VLAN，每個VLAN只分配一個用戶端口。這樣將不同用戶之間的影響降到最低，徹底解決了網(wǎng)絡(luò)環(huán)路、網(wǎng)絡(luò)ARP攻擊、DHCP欺騙等用戶之間相互影響的問題。

1.3 基于Super VLAN技術(shù)的組網(wǎng)方法實現(xiàn)

為了實現(xiàn)每個用戶分配一個VLAN，每個VLAN只分配一個用戶端口的目的，Super VLAN技術(shù)的組網(wǎng)技術(shù)方案通過以下步驟加以解決的。

基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法，其方法步驟如下：

步驟1：初始化，分別將接入層、匯聚層交換機進行物理安裝并將接入層交換機分別與匯聚交換機以及核心交換機物理上下連接，然后檢查交換機物理上下連接正確后，給交換機加電，啟動。

步驟2：對接入層交換機進行配置：按照交換機Switchi i=1….m的端口數(shù)j，依次分別在交換機上創(chuàng)建j-1個VLANk K=I×（J-1）+（n-1）n=2..3..j，為了管理方便 VLAN的名與VLAN的標簽號（VID）應(yīng)保持相同。

步驟3：將交換機上的j個端口按照每個VLANk分配一個用戶端口的原則依次將m臺交換機配置完成，即一個用戶一個端口一個VLAN。同時將交換機上連匯聚交換機的端口配置成支持中繼能力的端口，即配置成Trunk port，達到可以傳輸多個VLAN的數(shù)據(jù)流的目地。

步驟4：對匯聚交換機的配置，首先在匯聚交換機上創(chuàng)建K+2個VLAN，其中K個VLAN的VID應(yīng)與接入層交換機上的VID相同，然后進入第K+1的VLAN配置模式，設(shè)置該VLAN的IP地址以及該VLAN的DHCP Server服務(wù)或者DHCP代理服務(wù)功能，保證用戶端的設(shè)備自動獲得IP地址。

步驟5：繼續(xù)設(shè)置該VLAN屬于哪個Super VLAN并打開Super VLAN的功能，繼續(xù)在這個VLAN模式下將K個VLAN設(shè)置成為Super VLAN的SubVLAN，同時將SubVLAN的代理地址解析協(xié)議（ARP）功能關(guān)閉，不允許各SubVLAN之間相互通信，達到網(wǎng)絡(luò)二層相互隔離的作用。

步驟6：將匯聚交換機的各個下連端口和與核心交換機上連的端口均設(shè)置成Trunk port，達到可以傳輸多個VLAN的數(shù)據(jù)流的目地。

步驟7：進入第K+2的VLAN配置模式，設(shè)置該VLAN的IP地址。然后視Super VLAN所在的VLAN里的DHCP Server服務(wù)功能是否設(shè)置？若沒有設(shè)置DHCP Server服務(wù)，則在本VLAN里配置DHCP代理服務(wù)。

步驟8：對核心交換機的配置，在本交換機將與匯聚交換機下連的端口設(shè)置成Trunk port。創(chuàng)建一個與匯聚交換機上第K+2的VLAN同名同VID的VLAN。

步驟9：進入該VLAN的配置模式，設(shè)置該VLAN的IP地址。然后視匯聚交換機的Super VLAN所在的VLAN里的DHCP Server服務(wù)功能是否設(shè)置？若沒有設(shè)置DHCP Server服務(wù)，則在本VLAN里配置Super VLAN網(wǎng)段的DHCP Server服務(wù)。

步驟10：繼續(xù)在本VLAN里配置本VLAN與Super VLAN之間互通的路由。

步驟11：保存各個交換機的系統(tǒng)配置，然后重新啟動各個交換機。

2 基于Super VLAN技術(shù)的組網(wǎng)方法實驗

實驗環(huán)境由一幢學(xué)生宿舍樓構(gòu)成，樓內(nèi)有150個房間，每個房間有4個信息點，近600個信息點和1個3.3m×3.3m×3m的網(wǎng)絡(luò)設(shè)備機房，機房里安置4個2m高的標準機柜，安裝銳捷S2126S 24端口的交換機11臺和H3C S1550 48端口的交換機7臺作為用戶接入交換機，中興ZXR10 5900三層交換機作為匯聚交換機。19臺24端口的交換機和48端口的交換機分別安裝在4個機柜里，中興ZXR10 5928匯聚交換機用多模光纖線向上與中興ZXR10 8905核心交換機相連，各接入交換機的千M端口分別用雙絞網(wǎng)線與中興ZXR10 5928匯聚交換機千M相連，這樣的拓撲結(jié)構(gòu)充分保證了系統(tǒng)負載均衡的能力需求。下面分別將接入層交換機、匯聚交換機相關(guān)的配置內(nèi)容顯示如下：

（1）分別對用戶接入交換機進行 VLAN劃分和端口配置，其中一臺銳捷S2126S交換機配置的相關(guān)內(nèi)容顯示如下：

Stu5_1（config）# sh run

!vlan config

config ipaddress 172.17.130.12 255.255.255.0 交換機管理地址

config vlan default tag 1

create vlan 1002 創(chuàng)建名字為1002的VLAN

config vlan 1002 tag 1002 設(shè)置vlan 1002的VID為1002

config vlan 1002 add port 1 tagged設(shè)置1號端口為可通行vlan 1002標識的數(shù)據(jù)包

config vlan 1002 add port 2 untagged設(shè)置2號端口為用戶端口

create vlan 1003 創(chuàng)建名字為1003的VLAN

config vlan 1003 tag 1003 設(shè)置vlan 1003的VID為1003

config vlan 1003 add port 1 tagged設(shè)置1號端口為可通行vlan 1003標識的數(shù)據(jù)包

config vlan 1003 add port 3 untagged設(shè)置3號端口為用戶端口

︰

︰

create vlan 1024 創(chuàng)建名字為1024的VLAN

config vlan 1024 tag 1024 設(shè)置vlan 1024的VID為1024

config vlan 1024 add port 1 tagged設(shè)置1號端口為可通行vlan 1024標識的數(shù)據(jù)包

config vlan 1024 add port 24 untagged設(shè)置24號端口為用戶端口

config vlan 1002 inputport 2 設(shè)置2號端口進出vlan 1002的數(shù)據(jù)包不加標識

config vlan 1003 inputport 3 設(shè)置3號端口進出vlan 1003的數(shù)據(jù)包不加標識

︰

︰

config vlan 10024 inputport 24 設(shè)置24號端口進出vlan 1024的數(shù)據(jù)包不加標識

!

!iproute config

ip route 0.0.0.0 0.0.0.0 172.17.130.1

!

!end of config ------------------------

（2）對中興ZXR10 5928匯聚交換機的配置，配置的相關(guān)內(nèi)容顯示如下：

ZXR10#sh run

vlan 1 缺省VLAN

vlan 1002 創(chuàng)建VID為1002的VLAN

vlan 1003

︰

vlan 1024 創(chuàng)建VID為1024的VLAN

vlan 1025

︰

vlan 1724

vlan 1725 創(chuàng)建VID為1725的第K個VLAN

vlan 5 創(chuàng)建VID為5的第K+2個VLAN

vlan 651 創(chuàng)建VID為651的第K+1個VLAN

Super VLAN 將VID為651的VLAN設(shè)為Super VLAN

subvlan 1002-1745 將VID為1002-1725的VLAN設(shè)為SubVLAN

no proxy-arp 關(guān)閉ARP代理功能

no service password-encryption

service dhcp

ip dhcp pool vlan 651 配置VLAN651的DHCP服務(wù)功能

network 10.1.0.0 255.255.252.0將10.1.0.0—10.1.3.254的IP地址分配給

dns-server 218.2.135.1 VLAN651 Super VLAN里的用戶使用

default-router 10.1.3.254

interface GigabitEthernet 0/1 交換機端口1配置成Trunk port

switchport mode trunk

interface GigabitEthernet 0/2 交換機端口2配置成Trunk port

switchport mode trunk

︰

︰

interface GigabitEthernet 0/24 交換機端口24配置成Trunk port

switchport mode trunk

interface GigabitEthernet 1/1 交換機光模端口1/1配置成Trunk port

switchport mode trunk

interface VLAN 5 配置普通VLAN 5網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

ip address 192.168.1.1 255.255.255.0

interface VLAN 651 配置超級VLAN 651網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

no ip proxy-arp 關(guān)閉IP ARP代理功能

ip address 10.1.3.254 255.255.252.0

end

（3）對中興ZXR10 8905核心交換機的配置，配置的相關(guān)內(nèi)容顯示如下：

ZXR10#sh run

Vlan 1

Vlan 5 創(chuàng)建VID為5的VLAN

interface GigabitEthernet3/2 交換機光模端口3/2設(shè)置成Trunk port

switchport mode trunk

interface VLAN 5 設(shè)置普通VLAN 5網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

ip address 192.168.1.2 255.255.255.0

ip route 10.1.0.0 255.255.252.0 192.168.

1.1 設(shè)置VLAN 5網(wǎng)絡(luò)與超級網(wǎng)絡(luò)VLAN 651互聯(lián)的路由

設(shè)置完成后，保存各個交換機的配置，重新啟動交換機，實驗完成。

從上述配置內(nèi)容可見對接入交換機的性能要求較低，適合大量使用功能簡單，價格低廉的交換機。對核心交換機的配置也不需作大的改動，關(guān)鍵的部分在匯聚交換機上的超級VLAN與核心交換機之間的網(wǎng)絡(luò)互聯(lián)，由于Super VLAN技術(shù)不支持802.1Q協(xié)議，因此必須在匯聚交換機上創(chuàng)建一個普通VLAN作為跳板，將超級VLAN與核心交換機進行橋接達到網(wǎng)絡(luò)之間的互聯(lián)。

交換機經(jīng)配置重新啟動后，經(jīng)過檢測接入層交換機的任意端口均可正常上網(wǎng)使用。然后再用一根網(wǎng)線連接到接入交換機任意兩端口上，或者用一根網(wǎng)線連接到普通交換機的兩端口上，再用一根網(wǎng)線上聯(lián)到接入交換機某一端口上，構(gòu)建產(chǎn)生網(wǎng)絡(luò)環(huán)路的環(huán)境。登入接入交換機查看，可見形成環(huán)路的端口并沒發(fā)生環(huán)路，同時檢測交換機其他端口均可正常上網(wǎng)。另外在同一個VLAN里的兩臺計算機互Ping對方的IP地址均不通。實驗表明Super VLAN技術(shù)產(chǎn)生了隔離作用，有效的防止網(wǎng)絡(luò)環(huán)路的發(fā)生，抑制了ARP攻擊、DHCP欺騙等問題造成的網(wǎng)絡(luò)故障，保障了網(wǎng)絡(luò)的正常運行。

3 結(jié)束語

基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法與傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)方法或使用QinQ技術(shù)的組網(wǎng)模式的方法相比較有以下有益效果：

（1）有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊、DHCP欺騙等問題造成的網(wǎng)絡(luò)故障，提升了網(wǎng)絡(luò)運行的質(zhì)量。

（2）不改變傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)方法的組織結(jié)構(gòu)，保持了傳統(tǒng)網(wǎng)絡(luò)運行的靈活性和應(yīng)用的多樣性的特點，增強了網(wǎng)絡(luò)的可靠性。

（3）由于該方法僅在網(wǎng)絡(luò)匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持Super VLAN技術(shù)能力的三層交換機，減輕了傳統(tǒng)網(wǎng)絡(luò)接入層網(wǎng)絡(luò)設(shè)備的性能要求，（接入交換機只承擔用戶接入和二層數(shù)據(jù)轉(zhuǎn)發(fā)的功能，只需要提供基本的VLAN劃分功能），維持使用原接入層和核心層網(wǎng)絡(luò)設(shè)備，尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時仍可使用功能簡單、價格低廉的交換機。極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費用。