李金方 汪鴻偉 郭國(guó)平

1河海大學(xué)信息中心 江蘇 210098

2中興通訊公司 江蘇 210029

0 引言

本文提出一種利用超級(jí)虛擬局域網(wǎng)，該方法只要將匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持Super VLAN技術(shù)能力的三層匯聚交換機(jī)，維持使用原接入層和核心層網(wǎng)絡(luò)設(shè)備，尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時(shí)仍可使用功能簡(jiǎn)單、價(jià)格低廉的交換機(jī)。達(dá)到了既不改變傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)模式，又可有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊、DHCP欺騙等嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行的故障問(wèn)題，特別是可以充分的保護(hù)前期的投資，極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費(fèi)用。

1 基于Super VLAN技術(shù)的組網(wǎng)方法原理

1.1 Super VLAN概述

Super VLAN是VLAN劃分的一種方式。Super VLAN又稱為VLAN聚合，是一種專門(mén)優(yōu)化IP地址的管理技術(shù)。傳統(tǒng)的信息服務(wù)商（ISP）網(wǎng)絡(luò)給每個(gè)用戶分配一個(gè)IP子網(wǎng)，而分配一個(gè)子網(wǎng)，就有三個(gè)IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號(hào)、廣播地址和缺省網(wǎng)關(guān)。再有如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無(wú)法給其他用戶使用。因此這種方法會(huì)造成IP地址的浪費(fèi)。Super VLAN有效的解決了這個(gè)問(wèn)題，其原理是將一個(gè)網(wǎng)段的IP分給多個(gè)不同的VLAN（稱為SubVLAN），這些SubVLAN同屬于一個(gè)Super VLAN。而每個(gè)SubVLAN都是一個(gè)獨(dú)立的廣播域，不同SubVLAN之間二層相互隔離。這樣只需為Super VLAN分配一個(gè)IP子網(wǎng)，并為每個(gè)用戶建立一個(gè)SubVLAN，從而保證了不同用戶之間的隔離。所有SubVLAN可以靈活使用Super VLAN子網(wǎng)中的IP地址，當(dāng)SubVLAN內(nèi)的用戶需要進(jìn)行三層通信時(shí)，將使用Super VLAN的虛接口的IP地址作為缺省網(wǎng)關(guān)。這樣多個(gè)Sub VLAN 共享一個(gè)IP網(wǎng)關(guān)地址，從而節(jié)省了IP地址資源。同時(shí)，為了實(shí)現(xiàn)不同SubVLAN間的三層互通及SubVLAN與其他網(wǎng)絡(luò)的互通，需要利用ARP代理功能。通過(guò)ARP代理可以進(jìn)行ARP請(qǐng)求和響應(yīng)報(bào)文的轉(zhuǎn)發(fā)與處理，從而實(shí)現(xiàn)了二層隔離端口間的三層互通。

1.2 Super VLAN的通信原理

在以Super VLAN技術(shù)組成的網(wǎng)絡(luò)情況下，兩個(gè)聚合的Sub-VLAN之間通信的過(guò)程，如圖1所示。

Sub VLAN2和Sub VLAN4聚合成Super VLAN3，為Super VLAN3 分配一個(gè)IP子網(wǎng)，Sub VLAN2和Sub VLAN4都位于此子網(wǎng)。假設(shè)Sub VLAN2中的一臺(tái)主機(jī)PC1要與子網(wǎng)中的另一臺(tái)主機(jī)PC2通信，PC1發(fā)現(xiàn)對(duì)方與自己處于同一網(wǎng)段，則直接發(fā)出目的IP的ARP請(qǐng)求報(bào)文。那么三層設(shè)備收到該ARP請(qǐng)求報(bào)文后，將其在Sub VLAN2的范圍內(nèi)直接通過(guò)二層廣播此報(bào)文，并送一份給設(shè)備本身的ARP模塊，設(shè)備的ARP模塊首先看ARP請(qǐng)求報(bào)文中的目的IP地址是不是在Sub VLAN2中，如果是就丟棄該報(bào)文，表明它和PC1在同一個(gè)廣播域里面，那么目的主機(jī)將直接應(yīng)答給PC1；如果不是就將Super VLAN3的MAC地址應(yīng)答給PC1，完成ARP的代理工作。比如PC1和PC2的通信就需要通過(guò)ARP代理，由設(shè)備轉(zhuǎn)發(fā)PC1發(fā)給PC2的數(shù)據(jù)包；而PC1和PC3的通信則直接進(jìn)行無(wú)需通過(guò)設(shè)備轉(zhuǎn)發(fā)。

由此可見(jiàn)采用Super VLAN技術(shù)的初衷是為了節(jié)省IP地址（它只需對(duì)包含多個(gè)Sub VLAN的Super VLAN分配一個(gè)IP地址）。而基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法不僅利用Super VLAN技術(shù)節(jié)省IP地址的特性，更重要的是利用每個(gè)SubVLAN都是一個(gè)獨(dú)立的廣播域，不同用戶之間二層相互隔離的特性。在接入層交換機(jī)上為每個(gè)用戶分配一個(gè)VLAN，每個(gè)VLAN只分配一個(gè)用戶端口。這樣將不同用戶之間的影響降到最低，徹底解決了網(wǎng)絡(luò)環(huán)路、網(wǎng)絡(luò)ARP攻擊、DHCP欺騙等用戶之間相互影響的問(wèn)題。

1.3 基于Super VLAN技術(shù)的組網(wǎng)方法實(shí)現(xiàn)

為了實(shí)現(xiàn)每個(gè)用戶分配一個(gè)VLAN，每個(gè)VLAN只分配一個(gè)用戶端口的目的，Super VLAN技術(shù)的組網(wǎng)技術(shù)方案通過(guò)以下步驟加以解決的。

基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法，其方法步驟如下：

步驟1：初始化，分別將接入層、匯聚層交換機(jī)進(jìn)行物理安裝并將接入層交換機(jī)分別與匯聚交換機(jī)以及核心交換機(jī)物理上下連接，然后檢查交換機(jī)物理上下連接正確后，給交換機(jī)加電，啟動(dòng)。

步驟2：對(duì)接入層交換機(jī)進(jìn)行配置：按照交換機(jī)Switchi i=1….m的端口數(shù)j，依次分別在交換機(jī)上創(chuàng)建j-1個(gè)VLANk K=I×（J-1）+（n-1）n=2..3..j，為了管理方便 VLAN的名與VLAN的標(biāo)簽號(hào)（VID）應(yīng)保持相同。

步驟3：將交換機(jī)上的j個(gè)端口按照每個(gè)VLANk分配一個(gè)用戶端口的原則依次將m臺(tái)交換機(jī)配置完成，即一個(gè)用戶一個(gè)端口一個(gè)VLAN。同時(shí)將交換機(jī)上連匯聚交換機(jī)的端口配置成支持中繼能力的端口，即配置成Trunk port，達(dá)到可以傳輸多個(gè)VLAN的數(shù)據(jù)流的目地。

步驟4：對(duì)匯聚交換機(jī)的配置，首先在匯聚交換機(jī)上創(chuàng)建K+2個(gè)VLAN，其中K個(gè)VLAN的VID應(yīng)與接入層交換機(jī)上的VID相同，然后進(jìn)入第K+1的VLAN配置模式，設(shè)置該VLAN的IP地址以及該VLAN的DHCP Server服務(wù)或者DHCP代理服務(wù)功能，保證用戶端的設(shè)備自動(dòng)獲得IP地址。

步驟5：繼續(xù)設(shè)置該VLAN屬于哪個(gè)Super VLAN并打開(kāi)Super VLAN的功能，繼續(xù)在這個(gè)VLAN模式下將K個(gè)VLAN設(shè)置成為Super VLAN的SubVLAN，同時(shí)將SubVLAN的代理地址解析協(xié)議（ARP）功能關(guān)閉，不允許各SubVLAN之間相互通信，達(dá)到網(wǎng)絡(luò)二層相互隔離的作用。

步驟6：將匯聚交換機(jī)的各個(gè)下連端口和與核心交換機(jī)上連的端口均設(shè)置成Trunk port，達(dá)到可以傳輸多個(gè)VLAN的數(shù)據(jù)流的目地。

步驟7：進(jìn)入第K+2的VLAN配置模式，設(shè)置該VLAN的IP地址。然后視Super VLAN所在的VLAN里的DHCP Server服務(wù)功能是否設(shè)置？若沒(méi)有設(shè)置DHCP Server服務(wù)，則在本VLAN里配置DHCP代理服務(wù)。

步驟8：對(duì)核心交換機(jī)的配置，在本交換機(jī)將與匯聚交換機(jī)下連的端口設(shè)置成Trunk port。創(chuàng)建一個(gè)與匯聚交換機(jī)上第K+2的VLAN同名同VID的VLAN。

步驟9：進(jìn)入該VLAN的配置模式，設(shè)置該VLAN的IP地址。然后視匯聚交換機(jī)的Super VLAN所在的VLAN里的DHCP Server服務(wù)功能是否設(shè)置？若沒(méi)有設(shè)置DHCP Server服務(wù)，則在本VLAN里配置Super VLAN網(wǎng)段的DHCP Server服務(wù)。

步驟10：繼續(xù)在本VLAN里配置本VLAN與Super VLAN之間互通的路由。

步驟11：保存各個(gè)交換機(jī)的系統(tǒng)配置，然后重新啟動(dòng)各個(gè)交換機(jī)。

2 基于Super VLAN技術(shù)的組網(wǎng)方法實(shí)驗(yàn)

實(shí)驗(yàn)環(huán)境由一幢學(xué)生宿舍樓構(gòu)成，樓內(nèi)有150個(gè)房間，每個(gè)房間有4個(gè)信息點(diǎn)，近600個(gè)信息點(diǎn)和1個(gè)3.3m×3.3m×3m的網(wǎng)絡(luò)設(shè)備機(jī)房，機(jī)房里安置4個(gè)2m高的標(biāo)準(zhǔn)機(jī)柜，安裝銳捷S2126S 24端口的交換機(jī)11臺(tái)和H3C S1550 48端口的交換機(jī)7臺(tái)作為用戶接入交換機(jī)，中興ZXR10 5900三層交換機(jī)作為匯聚交換機(jī)。19臺(tái)24端口的交換機(jī)和48端口的交換機(jī)分別安裝在4個(gè)機(jī)柜里，中興ZXR10 5928匯聚交換機(jī)用多模光纖線向上與中興ZXR10 8905核心交換機(jī)相連，各接入交換機(jī)的千M端口分別用雙絞網(wǎng)線與中興ZXR10 5928匯聚交換機(jī)千M相連，這樣的拓?fù)浣Y(jié)構(gòu)充分保證了系統(tǒng)負(fù)載均衡的能力需求。下面分別將接入層交換機(jī)、匯聚交換機(jī)相關(guān)的配置內(nèi)容顯示如下：

（1）分別對(duì)用戶接入交換機(jī)進(jìn)行 VLAN劃分和端口配置，其中一臺(tái)銳捷S2126S交換機(jī)配置的相關(guān)內(nèi)容顯示如下：

Stu5_1（config）# sh run

!vlan config

config ipaddress 172.17.130.12 255.255.255.0 交換機(jī)管理地址

config vlan default tag 1

create vlan 1002 創(chuàng)建名字為1002的VLAN

config vlan 1002 tag 1002 設(shè)置vlan 1002的VID為1002

config vlan 1002 add port 1 tagged設(shè)置1號(hào)端口為可通行vlan 1002標(biāo)識(shí)的數(shù)據(jù)包

config vlan 1002 add port 2 untagged設(shè)置2號(hào)端口為用戶端口

create vlan 1003 創(chuàng)建名字為1003的VLAN

config vlan 1003 tag 1003 設(shè)置vlan 1003的VID為1003

config vlan 1003 add port 1 tagged設(shè)置1號(hào)端口為可通行vlan 1003標(biāo)識(shí)的數(shù)據(jù)包

config vlan 1003 add port 3 untagged設(shè)置3號(hào)端口為用戶端口

︰

︰

create vlan 1024 創(chuàng)建名字為1024的VLAN

config vlan 1024 tag 1024 設(shè)置vlan 1024的VID為1024

config vlan 1024 add port 1 tagged設(shè)置1號(hào)端口為可通行vlan 1024標(biāo)識(shí)的數(shù)據(jù)包

config vlan 1024 add port 24 untagged設(shè)置24號(hào)端口為用戶端口

config vlan 1002 inputport 2 設(shè)置2號(hào)端口進(jìn)出vlan 1002的數(shù)據(jù)包不加標(biāo)識(shí)

config vlan 1003 inputport 3 設(shè)置3號(hào)端口進(jìn)出vlan 1003的數(shù)據(jù)包不加標(biāo)識(shí)

︰

︰

config vlan 10024 inputport 24 設(shè)置24號(hào)端口進(jìn)出vlan 1024的數(shù)據(jù)包不加標(biāo)識(shí)

!

!iproute config

ip route 0.0.0.0 0.0.0.0 172.17.130.1

!

!end of config ------------------------

（2）對(duì)中興ZXR10 5928匯聚交換機(jī)的配置，配置的相關(guān)內(nèi)容顯示如下：

ZXR10#sh run

vlan 1 缺省VLAN

vlan 1002 創(chuàng)建VID為1002的VLAN

vlan 1003

︰

vlan 1024 創(chuàng)建VID為1024的VLAN

vlan 1025

︰

vlan 1724

vlan 1725 創(chuàng)建VID為1725的第K個(gè)VLAN

vlan 5 創(chuàng)建VID為5的第K+2個(gè)VLAN

vlan 651 創(chuàng)建VID為651的第K+1個(gè)VLAN

Super VLAN 將VID為651的VLAN設(shè)為Super VLAN

subvlan 1002-1745 將VID為1002-1725的VLAN設(shè)為SubVLAN

no proxy-arp 關(guān)閉ARP代理功能

no service password-encryption

service dhcp

ip dhcp pool vlan 651 配置VLAN651的DHCP服務(wù)功能

network 10.1.0.0 255.255.252.0將10.1.0.0—10.1.3.254的IP地址分配給

dns-server 218.2.135.1 VLAN651 Super VLAN里的用戶使用

default-router 10.1.3.254

interface GigabitEthernet 0/1 交換機(jī)端口1配置成Trunk port

switchport mode trunk

interface GigabitEthernet 0/2 交換機(jī)端口2配置成Trunk port

switchport mode trunk

︰

︰

interface GigabitEthernet 0/24 交換機(jī)端口24配置成Trunk port

switchport mode trunk

interface GigabitEthernet 1/1 交換機(jī)光模端口1/1配置成Trunk port

switchport mode trunk

interface VLAN 5 配置普通VLAN 5網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

ip address 192.168.1.1 255.255.255.0

interface VLAN 651 配置超級(jí)VLAN 651網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

no ip proxy-arp 關(guān)閉IP ARP代理功能

ip address 10.1.3.254 255.255.252.0

end

（3）對(duì)中興ZXR10 8905核心交換機(jī)的配置，配置的相關(guān)內(nèi)容顯示如下：

ZXR10#sh run

Vlan 1

Vlan 5 創(chuàng)建VID為5的VLAN

interface GigabitEthernet3/2 交換機(jī)光模端口3/2設(shè)置成Trunk port

switchport mode trunk

interface VLAN 5 設(shè)置普通VLAN 5網(wǎng)絡(luò)的IP地址（即缺省網(wǎng)關(guān)）

ip address 192.168.1.2 255.255.255.0

ip route 10.1.0.0 255.255.252.0 192.168.

1.1 設(shè)置VLAN 5網(wǎng)絡(luò)與超級(jí)網(wǎng)絡(luò)VLAN 651互聯(lián)的路由

設(shè)置完成后，保存各個(gè)交換機(jī)的配置，重新啟動(dòng)交換機(jī)，實(shí)驗(yàn)完成。

從上述配置內(nèi)容可見(jiàn)對(duì)接入交換機(jī)的性能要求較低，適合大量使用功能簡(jiǎn)單，價(jià)格低廉的交換機(jī)。對(duì)核心交換機(jī)的配置也不需作大的改動(dòng)，關(guān)鍵的部分在匯聚交換機(jī)上的超級(jí)VLAN與核心交換機(jī)之間的網(wǎng)絡(luò)互聯(lián)，由于Super VLAN技術(shù)不支持802.1Q協(xié)議，因此必須在匯聚交換機(jī)上創(chuàng)建一個(gè)普通VLAN作為跳板，將超級(jí)VLAN與核心交換機(jī)進(jìn)行橋接達(dá)到網(wǎng)絡(luò)之間的互聯(lián)。

交換機(jī)經(jīng)配置重新啟動(dòng)后，經(jīng)過(guò)檢測(cè)接入層交換機(jī)的任意端口均可正常上網(wǎng)使用。然后再用一根網(wǎng)線連接到接入交換機(jī)任意兩端口上，或者用一根網(wǎng)線連接到普通交換機(jī)的兩端口上，再用一根網(wǎng)線上聯(lián)到接入交換機(jī)某一端口上，構(gòu)建產(chǎn)生網(wǎng)絡(luò)環(huán)路的環(huán)境。登入接入交換機(jī)查看，可見(jiàn)形成環(huán)路的端口并沒(méi)發(fā)生環(huán)路，同時(shí)檢測(cè)交換機(jī)其他端口均可正常上網(wǎng)。另外在同一個(gè)VLAN里的兩臺(tái)計(jì)算機(jī)互Ping對(duì)方的IP地址均不通。實(shí)驗(yàn)表明Super VLAN技術(shù)產(chǎn)生了隔離作用，有效的防止網(wǎng)絡(luò)環(huán)路的發(fā)生，抑制了ARP攻擊、DHCP欺騙等問(wèn)題造成的網(wǎng)絡(luò)故障，保障了網(wǎng)絡(luò)的正常運(yùn)行。

3 結(jié)束語(yǔ)

基于Super VLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法與傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)方法或使用QinQ技術(shù)的組網(wǎng)模式的方法相比較有以下有益效果：

（1）有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊、DHCP欺騙等問(wèn)題造成的網(wǎng)絡(luò)故障，提升了網(wǎng)絡(luò)運(yùn)行的質(zhì)量。

（2）不改變傳統(tǒng)的三層網(wǎng)絡(luò)（接入層、匯聚層、核心層）組網(wǎng)方法的組織結(jié)構(gòu)，保持了傳統(tǒng)網(wǎng)絡(luò)運(yùn)行的靈活性和應(yīng)用的多樣性的特點(diǎn)，增強(qiáng)了網(wǎng)絡(luò)的可靠性。

（3）由于該方法僅在網(wǎng)絡(luò)匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持Super VLAN技術(shù)能力的三層交換機(jī)，減輕了傳統(tǒng)網(wǎng)絡(luò)接入層網(wǎng)絡(luò)設(shè)備的性能要求，（接入交換機(jī)只承擔(dān)用戶接入和二層數(shù)據(jù)轉(zhuǎn)發(fā)的功能，只需要提供基本的VLAN劃分功能），維持使用原接入層和核心層網(wǎng)絡(luò)設(shè)備，尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時(shí)仍可使用功能簡(jiǎn)單、價(jià)格低廉的交換機(jī)。極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費(fèi)用。