Super VLAN技术在园区网中应用.docVIP

Super VLAN技术在园区网中应用 　　摘 要：为解决园区网中VLAN和IP地址资源紧缺及网内各主机相互二层隔离的问题，可以采用Super VLAN加以解决。Super VLAN通过和Sub VLAN相关联，能够减少VLAN和IP子网号的消耗，使网络规划更为容易；另外由于各Sub VLAN之间处于不同的冲突域，各主机之间可以实现二层隔离，网络的安全性也得到了提高。 关键词：Super VLAN；Sub VLAN；二层隔离；园区网 中图分类号：TP393.18 随着城乡建设的发展及网络技术的普及，越来越多的住宅小区都组建了自己的园区网，小区住户可以很方便地接入到园区网中，并作为园区网用户访问互联网。为保护住户个人电脑的安全，通常在园区网内会要求普通住户的个人电脑之间相互隔离，即它们之间不能相互访问，这些主机只要能访问网关或特定的服务器即可。解决上述问题可以通过划分VLAN的方式来实现，也就是把不同的主机划分到不同的VLAN中去，每个主机都属于一个单独的VLAN，这样不同VLAN的主机就无法实现直接的二层通信了。但这种方案存在两个重要缺陷：1.如果园区网规模较大的话，是否有足够的VLAN和IP地址资源可供分配；2.由于每个VLAN都需要一个独立的网关，作为网关的设备是否有足够的接口。我们可以通过Super VLAN技术解决以上问题。 1 Super VLAN的基本原理 Super VLAN又称为VLAN聚合（VLAN Aggregation）[1]，它采用分级结构，引入了Super VLAN和Sub VLAN的概念。每个Sub VLAN都是一个独立的广播域，一个super VLAN可以包含一个或多个保持着不同广播域的sub VLAN；一个Super VLAN占用一个独立的子网网段，sub VLAN不再占用独立的子网网段；在同一个super VLAN中，无论主机属于哪一个sub VLAN，它的IP地址都在super VLAN对应的子网网段内。 一个Super VLAN和多个Sub VLAN关联，Super VLAN可以创建对应的VLAN接口，VLAN接口下可以配置IP地址，但Super VLAN只是一个逻辑接口，它不包括任何物理端口；Sub VLAN可以加入物理端口，但不能创建对应的VLAN接口，所有Sub VLAN内的端口共用Super VLAN的VLAN接口IP地址，不同Sub VLAN之间二层相互隔离。当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN的IP地址作为网关地址。这样，通过sub VLAN间共用同一个三层接口，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址，消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费。从而，在保证了各个sub VLAN作为一个独立广播域实现了广播隔离的同时，将从前使用普通VLAN浪费掉的IP地址节省下来。 2 Super VLAN的通信 划分过Super VLAN和Sub VLAN后，主机之间的通信就可以分为Sub VLAN之间的通信和与外部主机之间的通信两种情况。 2.1 Sub VLAN间的通信[2] 当通信的双方属于和同一个Super VLAN相关联的不同Sub VLAN时，由于各Sub VLAN之间是相互二层隔离的，因此它们无法直接通信。如果希望这些主机相互通信时，需要在作为网关的交换设备上开启本地ARP代理[3]功能。 在同一Super VLAN下各主机都属于同一网段，共享一个三层接口，因而它们之间相互通信时会直接发送ARP解析请求，但因为各Sub VLAN之间是二层隔离的，因此目标主机无法收到ARP请求包也就无法给出回应。当网关开启了本地ARP代理功能后，如果收到来自Sub VLAN的ARP请求并且没有发现相应的回应包，通过查找路由表发现目标主机在自己的直连路由上，则网关会向该Sub VLAN内发送ARP请求给目标主机；在收到回应后网关会把Super VLAN接口的MAC地址作为目标主机的MAC地址发送给源主机。这样两台主机之间就能够通过Super VLAN进行三层转发从而实现相互通信。 2.2 Sub VLAN和外部主机之间的通信 各Sub VLAN内的主机和外部主机之间的通信较为简单，只需要各Sub VLAN的主机都将Super VLAN对应的VLAN接口作为它们的默认网关就行。当需要和外部主机进行通信时，各Sub VLAN的主机通过判断目标主机和自身不在同一个网段，封装时将Super VLAN接口的MAC地址作为目标MAC，将数据包发送给Super VLAN，并由网关进行转发即可。 3 Super VLAN