SuperVLAN原理与配置V1.0数据用服部内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习目标•熟悉SuperVLAN原理•掌握SuperVLAN配置内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习内容•第一章SuperVLAN原理•第二章SuperVLAN配置内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习内容•第一章SuperVLAN原理本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲为什么需要SuperVLAN传统的ISP网络给每个用户分配一个IP子网每分配一个子网,就有三个IP地址被占用,分别作为子网的网络号、广播地址和缺省网关如果一些用户的子网中有大量未分配的IP地址,也无法给其他用户使用这种方法会造成IP地址的浪费解决办法:SuperVLAN本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN概述SuperVLAN-----RFC3069SuperVLAN又称为VLAN聚合(VLANAggregation),把多个VLAN(称为子VLAN)聚合成一个SuperVLAN,这些子VLAN使用同一个IP子网和缺省网关每个子VLAN都是一个独立的广播域,保证不同用户之间的隔离,子VLAN之间的通信通过SuperVLAN进行路由优点节省交换机路由接口数目节约IP地址本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN利用SuperVLAN技术,ISP只需为SuperVLAN分配一个IP子网,并为每个用户建立一个子VLAN,所有子VLAN可以灵活分SuperVLAN子网中的IP地址,使用SuperVLAN的缺省网关SuperVLAN只建立三层接口,不包含物理端口Subvlan包含物理端口,但不能建立三层接口SubVlan3SubVlan2SuperVLAN:5IP:10.1.1.0/24IP:10.1.1.3/24GW:10.1.1.0IP:10.1.1.2/24GW:10.1.1.0Gei_3/1Gei_5/1本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN工作原理是否开启地址过滤用户端口接收数据IP是否匹配地址段是否是否开启arp广播是否是是广播发送arp报文否随机选择端口发送arp源、目的IP是否同一网段是否存在arp表项正常转发是是否收到arp回应报文否丢弃否是否存在路由是否是否有绑定supervlan否是否是网络端口接收数据是否配置IPpool根据IPpool发送arp是否内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习内容•第二章SuperVLAN配置第一节配置命令第二节接口配置组合第三节典型应用第四节维护诊断本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲配置命令创建SuperVLAN接口,并进入其配置模式(全局模式)interface{supervlansupervlan-id|supervlan-name}将SubVLAN接口绑定到SuperVLAN接口中(VLAN配置模式下或者VLAN子接口配置模式下)supervlansupervlan-id批量将VLAN绑定到指定的SuperVLAN(SuperVLAN接口模式下)subvlanvlan-id本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲配置命令打开/关闭子VLAN间的路由功能(SuperVLAN接口模式下)inter-subvlan-routing{enable|disable}打开/关闭IPPOOL地址过滤功能(SuperVLAN接口模式下)ip-pool-filter{enable|disable}绑定一段IP地址到SubVLAN接口上(VLAN配置模式下/VLAN子接口配置模式下)ipsupervlanpoolStartIPaddressEndIPaddress打开/关闭SuperVLAN向其包含所有的子VLAN/实接口上进行ARP广播功能(SuperVLAN接口模式下)arp-broadcast{enable|disable}内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习内容•第二章SuperVLAN配置第一节配置命令第二节接口配置组合第三节典型应用第四节维护诊断本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲接口配置组合说明arp-broadcast开关ip-pool-filter开关SubVLANpool配置情况业务情况是否存在广播风暴防arp攻击能力arp-broadcastdisableip-pool-filterdisable不配置subvlanpoolarp请求包会被丢弃arp老化后业务不通否易受攻击配置subvlanpool通否易受攻击ip-pool-filterenable不配置subvlanpool不通否不易受攻击配置subvlanpool通否不易受攻击arp-broadcastenableip-pool-filterdisable不配置subvlanpool通是易受攻击配置subvlanpool通是易受攻击ip-pool-filterenable不配置subvlanpool不通是不易受攻击配置subvlanpool通是不易受攻击本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲推荐接口配置组合现网开局中建议使用arp-broadcastdisable,ip-pool-filterenable,同时配置subvlanpool。此种配置可以减少用户间的ARP广播报文防止形成广播风暴,控制用户地址的分布防止私设IP,有一定的防arp攻击能力。内部公开▲本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲学习内容•第二章SuperVLAN配置第一节配置命令第二节接口配置组合第三节典型应用第四节维护诊断本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲网络拓扑SwitchB作为汇聚交换机,接入多台PC,划入不同vlan,并透传至RouterA。A、B之间使用trunk接口。在RouterA上配置SuperVLAN功能。SwitchB192.168.1.2/24VLAN10SuperVLAN1000192.168.1.1/24Gei_2/1Gei_2/2Gei_2/3Gei_1/1Gei_2/1RouterA192.168.1.3/24VLAN20192.168.1.4/24VLAN30本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN典型配置一普通SuperVLAN组网(RouterA是路由器)创建SuperVLAN接口并分配子网、指定网关ZXR10_A(config)#interfacesupervlan1000ZXR10_A(config-if)#ipaddress192.168.1.1255.255.255.0//配置SuperVLAN接口地址ZXR10_A(config-if)#inter-subvlan-routingdisable//禁止subvlan用户的互通ZXR10_A(config-if)#arp-broadcastdisable//关闭ARP广播。只有在使能IP绑定后,才能关闭ARP广播,否则会出现业务不通的情况。ZXR10_A(config-if)#ip-pool-filterenable//使能ip地址绑定功能,该配置与ARP广播开关配合使用。建议开启IP绑定功能,减少ARP广播包。本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN典型配置一配置SubVLAN子接口,并加入到SuperVLANZXR10_A(config)#interfacegei_2/1.10ZXR10_A(config-if)#encapsulationdot1Q10ZXR10_A(config-if)#supervlan1000ZXR10_A(config-if)#ipsupervlanpool192.168.1.2192.168.1.2//做地址绑定ZXR10_A(config)#interfacegei_2/1.20ZXR10_A(config-if)#encapsulationdot1Q20ZXR10_A(config-if)#supervlan1000ZXR10_A(config-if)#ipsupervlanpool192.168.1.3192.168.1.3ZXR10_A(config)#interfacegei_2/1.30ZXR10_A(config-if)#encapsulationdot1Q30ZXR10_A(config-if)#supervlan1000ZXR10_A(config-if)#ipsupervlanpool192.168.1.4192.168.1.4本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN典型配置二普通SuperVLAN组网(RouterA是交换机)创建SuperVLAN接口并分配子网、指定网关ZXR10_A(config)#interfacesupervlan1000ZXR10_A(config-if)#ipaddress192.168.1.1255.255.255.0ZXR10_A(config-if)#inter-subvlan-routingdisableZXR10_A(config-if)#arp-broadcastdisableZXR10_A(config-if)#ip-pool-filterenable把SubVLAN加入到SuperVLANZXR10_A(config)#vlan10ZXR10_A(config-vlan)#supervlan1000ZXR10_A(config-vlan)#ipsupervlanpool192.168.1.2192.168.1.2ZXR10_A(config)#vlan20ZXR10_A(config-vlan)#supervlan1000ZXR10_A(config-vlan)#ipsupervlanpool192.168.1.3192.168.1.3ZXR10_A(config)#vlan30ZXR10_A(config-vlan)#supervlan1000ZXR10_A(config-vlan)#ipsupervlanpool192.168.1.4192.168.1.4本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传内部公开▲SuperVLAN典型配置三SuperVLAN+vrf+vlanrange(QinQrange)组网创建vrf实例ZXR10_A(config)#ipvrfvpn1ZXR10_A(config-vrf)#rd65535:100ZXR10_A(config-vrf)#route-targetimport65535:100ZXR10_A(config-