subvlan、supervlan原理

VLAN 工作原理(VLAN 通信原理)详解VLAN 工作原理即VLAN 通信原理1、vlan 基本通信原理为了提高处理效率，交换机内部的数据帧一律都带有 VLAN Tag，以统一方式处理。

当一个数据帧进入交换机接口时，如果没有带 VLAN Tag，且该接口上配置了 PVID(Port Default VLAN ID)，那末，该数据帧就会被标记上接口的 PVID。

如果数据帧已经带有VLAN Tag，那末，即使接口已经配置了 PVID，交换机不会再给数据帧标记 VLAN Tag。

由于接口类型不同，交换机对数据帧的处理过程也不同。

下面根据不同的接口类型分别介绍。

各类型接口对数据帧的处理方式接口类型对接收不带 Tag 的报文对接收带 Tag 的报文处发送帧处理过程处理理Access 接接收该报文，并打上当 VLAN ID 与缺省 VLAN 先剥离帧的 PVID口缺省的 VLAN ID。

ID 相同时，接收该报文； Tag，然后再发送。

当 VLAN ID 与缺省 VLANID 不同时，丢弃该报文。

Trunk 接口打上缺省的 VLANID，当缺省 VLAN ID 在允许通过的 VLAN ID 列表里时，接收该报文；当 VLAN ID 在接口允许当 VLAN ID 与缺省通过的 VLAN ID 列表里时， VLAN ID 相同，且是该接接收该报文；口允许通过的 VLAN ID当 VLAN ID 不在接口允时，去掉 Tag，发送该报当缺省VLAN ID 不在许通过的 VLAN ID 列表里允许通过的 VLAN ID 列时，丢弃该报文。

表里时，丢弃该报文。

文；当 VLAN ID 与缺省VLAN ID 不同，且是该接口允许通过的 VLAN ID 时，保持原有 Tag，发送该报文。

Hybrid 接打上缺省的 VLAN 当 VLAN ID 在接口允许当VLAN ID 是该接口口 ID，当缺省 VLAN ID 在通过的 VLAN ID 列表里时，允许通过的 VLAN ID 时，允许通过的 VLAN ID 列接收该报文。

vlan的工作原理
VLAN（Virtual Local Area Network，虚拟局域网）是将一个物理局域网划分为多个逻辑上的局域网的技术。

其工作原理如下：
1. 以太网帧：VLAN基于以太网帧来实现逻辑分割。

以太网帧是实现数据传输的基本单元，由目的MAC地址、源MAC地址、VLAN标签等字段组成。

2. VLAN标签：VLAN标签用于识别帧属于哪个VLAN。

VLAN标签通常插入在以太网帧的头部，这个操作称为“打标签”（tagging）。

3. 端口绑定：每个交换机端口都可以配置为一个或多个VLAN。

配置端口的VLAN意味着该端口会过滤掉不属于该VLAN的帧。

一个端口只能隶属于一个VLAN，但一个VLAN可以包含多个端口。

4. VLAN间通信：默认情况下，不同的VLAN之间是相互隔离的，即VLAN内的主机可以互相通信，但不同VLAN内的主机不能直接通信。

要实现不同VLAN间的通信，需要通过一些设备（如交换机、路由器）来进行数据转发。

5. 交换机处理：当交换机收到一帧时，会根据帧头中的VLAN标签来判断该帧属于哪个VLAN。

如果交换机配置了该VLAN，那么它会将帧转发到该VLAN所对应的端口上；如果交换机未配置该VLAN，那么它会将帧丢弃。

总结来说，VLAN通过将一个物理局域网划分为多个逻辑上的局域网，实现了不同VLAN之间的隔离和控制。

它提供了更灵活、更安全的网络管理方式，使网络更易于扩展和维护。

SUPERVLAN基本介绍一、SuperVlan的概念同一交换机上的不同vlan共用一个路由虚接口ip地址，这些vlan不再单独配置虚接口ip地址，它们包含在supervlan内，称作subvlan，而supervlan可以配置虚接口。

二、为什么要使用SuperVlan？主要目的是节省ip地址：使用了SuperVlan后，不需要再为每个vlan都配置路由虚接口，只要在它们SuperVlan上配置路由虚接口即可，这样也能实现vlan之间的三层互通．三、S upervlan与subvlan的特点：Supervlan对应一个网段Supervlan内不允许加入端口Subvlan不允许配置虚接口四、S upervlan与subvlan关系的建立将subvlan加入supervlan过程，通过函数L2INF_AddSubVlan2SuperVlan实现：如果supervlan配置了ip地址,则要为subvlan获取RDHandle(路由句柄)过程如下:获取subvlan端口,并将其加入supervlan获取subvlan的RDHandle,即取出一个空的RDHandle分配给subvlan获取RDHandle对应的虚接口的mac申请一新的路由接口结构pRoutIntf获取supervlan的虚接口对应的路由信息,如ip地址,掩码等,并把它们填入subvlan的pRoutIntf结构中,同时还要把subvlan的RDHandle写入其中.虽然subvlan不允许配置三层虚接口，但是在内部的实现上subvlan与它的supervlan有共同的三层虚接口结构，即supervlan的虚接口结构。

五、同一Supervlan的不同Subvlan之间是如何互通的？这个过程是通过ProxyArp实现的：ProxyArp处理arp报文的过程如下：1、如果接收到的是arp请求报文，查找现有的arp表，如果找到了目的ip并且已经解析，则构造应答报文，直接应答，应答报文中源ip =请求报文的目的ip，源mac=请求报文输入的subvlan接口mac，目的mac=请求报文的源mac，目的ip=请求报文的源ip；如果没有找到目的ip或找到了还没有解析成功，则向每个subvlan分别发送arp请求报文（在每个subvlan内广播arp请求报文），请求报文中源ip=supervlan的虚接口ip，源mac=subvlan的接口mac，目的ip=请求报文中的目的ip，目的mac=请求报文中的目的mac；2、如果接收到的是arp应答报文,向所有接收报文中源ip的请求者发送应答报文，应答报文源ip=接收报文源ip，源mac=arp请求报文输入的subvlan 接口mac，目的ip=arp请求报文发送者的ip，目的mac=arp请求报文发送者的mac；六、相关的配置命令行1、 VLAN模式下，配置VLAN类型为Supervlan[undo] supervlan例如将vlan2设为supervlan：[Quidway-vlan2]supervlan如果一个vlan内有端口存在，则不能将其配置成supervlan，supevlan内是不能包含端口的2、 VLAN模式下，Supervlan中加入Subvlan[undo] subvlan vlan-id [to vlan-id-end]例如将vlan3做为subvlan加入supervlan2：[Quidway-vlan2]subvlan 3subvlan不能配置三层虚接口只要supervlan启用了三层虚接口，它的ProxyArp就是默认打开的，不允许关闭。

•
技术背景：传统VLAN 部署中，一个VLAN 对应一个网段和一个VLANIF 三层接口实现不同VLAN 间通信，但这样的部署很容易导致IP地址的浪费。

实现位于相同网段但不同VLAN间的用户通信。

•只需一个VLANIF 接口作为不同VLAN 的共同网关。

•引入了Super -VLAN和Sub -VLAN概念。

•
•Super VLAN：又称VLAN Aggregation，VLAN 聚合
Super VLAN
•
•
即最终是多个Sub-VLAN组成一个Super-VLAN。

只需Super-VLAN接口上配置IP 地址，所有Sub-VLAN共用一个IP网段，解决了IP •
地址资源浪费的问题。

不同Sub-VLAN下的主机默认不能互通，如果想要互通，需要在Super-VLAN的•
VLANIF接口上开启Proxy ARP。

•
Super VLAN通信规则：
•
•
•
•
•Super VLAN 配置：先创建和配置Sub VLAN ，再创建和配置Super VLAN
[SWA]int vlanif10
[SWA-Vlanif10]ip address10.0.0.1 24
[SWA-Vlanif10]arp-proxy inter-sub-vlan-proxy enable 配置VLANIF的IP地址开启代理ARP
display super-vlan验证Super VLAN。

简述VLAN的原理和应用1. VLAN的定义和概念VLAN（Virtual LAN），即虚拟局域网，是一种在物理网络基础上，将逻辑上互相通信的设备组织起来的技术。

VLAN通过网络交换机将同一个虚拟局域网中的设备连接在一起，实现了逻辑上的隔离和独立。

2. VLAN的原理VLAN的原理基于802.1Q协议，通过在以太网数据帧的标头中插入VLAN标签，将数据帧进行标记，实现对不同虚拟局域网的划分和隔离。

VLAN标签包含一个12位的VLAN ID，用于唯一区分不同的虚拟局域网。

3. VLAN的应用场景•1) 隔离网络流量：将不同部门或用户的网络设备划分到不同的VLAN 中，可以通过限制物理链路和控制交换机端口的访问来实现对网络流量的隔离。

•2) 提高网络性能：通过将网络流量分散到不同的虚拟局域网中，减少广播风暴和冲突域，提高网络性能和传输效率。

•3) 增强网络安全性：通过将不同安全级别的网络设备划分到不同的VLAN中，可以实现网络流量的隔离和安全访问控制，提高网络的安全性。

•4) 简化网络管理：VLAN可以根据不同的管理需求将网络设备进行逻辑划分，简化网络拓扑结构，提高网络管理的灵活性和可扩展性。

•5) 支持虚拟机迁移：在虚拟化环境中，VLAN可以为不同的虚拟机提供独立的网络环境，使虚拟机在不同的物理服务器之间迁移时能够保持网络的连通性。

4. VLAN的配置和管理VLAN的配置和管理需要在网络交换机上进行操作，一般包括以下几个步骤：步骤1: 创建VLAN首先需要在交换机上创建VLAN，为每个VLAN分配一个唯一的VLAN ID。

可以通过命令行界面或图形界面进行配置。

步骤2: 配置端口将需要连接到VLAN的端口配置为该VLAN的成员端口。

可以将一个或多个端口配置为一个VLAN的成员。

步骤3: 配置VLAN间的通信根据需要配置VLAN间的通信方式，可以通过交换机端口的配置或路由器的配置实现VLAN间的互通。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。

Sub VLAN主机的三层通信原理Sub VLAN主机的三层通信原理在此篇文章（/net/201207/143648.html ）中，笔者介绍了H3C交换机Spuer VLAN的聚合原理，本节接着要介绍Super VLAN中的Sub VLAN （从VLAN）间主机的三层通信原理。

20.3.2 Sub VLAN主机的三层通信原理我们在前面已说到，Super VLAN（也就是VLAN聚合）方案中，在实现不同Sub VLAN 间共用同一子网网段地址的同时也带来了Sub VLAN间的三层转发问题。

因为在普通VLAN中，VLAN间的主机可以通过各自不同的网关（也就是它们自己的VLAN 接口IP地址）进行三层转发来达到互通的目的。

但是在Super VLAN方案中下，各Sub VLAN是不允许配置VLAN接口IP地址的，同一个Super VLAN内的所有主机使用的是同一个网段的地址和共用同一个网关地址，即使是属于不同的Sub VLAN的主机。

由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。

而实际上不同的Sub VLAN的主机在二层又是相互隔离的（这是继承普通VLAN的属性），这就造成了Sub VLAN间无法通信（包括二层通信和三层通信）的问题。

解决这一问题的方法就是使用ARP代理。

下面具体进行介绍。

1. 不同Sub VLAN间的三层互通 例如，如图20-7所示的网络中，Super VLAN（VLAN 10）包含Sub VLAN（VLAN 2和VLAN 3）。

VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址为1.1.1.1/24。

VLAN 2内的主机A与VLAN 3内的主机B的通信过程如下：（假设主机A的ARP 表中没有主机B的对应ARP表项，并且在担当网关的交换机上启用了Sub VLAN 间的ARP代理功能）。

图20-7 通过ARP代理实现不同Sub VLAN间三层互通的示例（1）主机A将主机B的IP地址（1.1.1.3）和自己所在网段1.1.1.0/24进行比较，发现主机B和自己在同一个子网，但是主机A的ARP表中没有主机B的对应表项，于是主机A发送ARP广播，请求主机B的MAC地址。

VLAN的工作原理VLAN（Virtual Local Area Network）是一种虚拟局域网技术，它通过逻辑上将一个局域网划分为多个虚拟子网，实现了逻辑上的隔离和灵便的网络管理。

本文将详细介绍VLAN的工作原理。

一、VLAN的概念和作用VLAN是一种将物理上的局域网划分为多个逻辑上独立的虚拟子网的技术。

它可以将不同位置、不同功能或者不同部门的设备划分到不同的虚拟子网中，实现网络资源的灵便管理和隔离。

VLAN的作用主要有以下几点：1. 隔离和安全：VLAN可以将不同的用户或者设备划分到不同的虚拟子网中，实现逻辑上的隔离，提高网络的安全性。

2. 灵便的网络管理：VLAN可以根据需要灵便地调整网络拓扑结构，简化网络管理和维护。

3. 带宽控制：VLAN可以根据需要对网络流量进行控制和限制，提高网络性能和带宽利用率。

二、VLAN的工作原理VLAN的工作原理主要涉及到两个关键技术：VLAN的划分和VLAN的通信。

1. VLAN的划分VLAN的划分可以根据不同的标准进行，常见的划分方式有以下几种：- 端口划分：将交换机的端口划分到不同的VLAN中，每一个端口只能属于一个VLAN。

- MAC地址划分：根据设备的MAC地址将其划分到不同的VLAN中。

- 协议划分：根据设备使用的协议将其划分到不同的VLAN中。

2. VLAN的通信VLAN的通信主要通过交换机实现。

交换机根据配置的VLAN信息，将数据包转发到对应的VLAN中。

具体的通信过程如下：- 数据包进入交换机：当一个数据包进入交换机的端口时，交换机会根据端口所属的VLAN信息，将数据包标记为对应的VLAN标签。

- 数据包转发：交换机根据数据包的VLAN标签，将数据包转发到对应的VLAN中。

如果目标设备在同一个VLAN中，交换机会直接将数据包转发到目标设备所在的端口；如果目标设备在不同的VLAN中，交换机会将数据包转发到连接不同VLAN的交换机端口上。

- 数据包到达目标设备：当数据包到达目标设备所在的端口时，交换机会将数据包从VLAN标签中解析出来，并将数据包交给目标设备进行处理。