VLAN基础

详见

2021-12-15 网工基础（十）TCP的三次握手、四次挥手、UDP协议、数据的封装和解封、VLAN基础_鹅一只的博客-CSDN博客_vlan封装和解封过程

2021-12-15 网工基础（十一） VLAN的基本原理、接口类型、Access、Trunk_鹅一只的博客-CSDN博客_access和trunk工作原理

VLAN聚合

在一般的三层交换机中，通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。

因为一个VLAN对应的子网中，子网号、子网广播地址、子网网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于可用IP地址数量，空闲的IP地址也会因不能再被其他VLAN使用而被浪费掉。

概述

VLAN聚合（VLAN Aggregation，也称Super-VLAN）: 指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，进而达到节约IP地址资源的目的。

Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。

Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同，Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态。

相关命令

创建super-vlan

[SW1-vlan100]aggregate-vlan 

将sub-vlan加入到super-vlan中

[SW1-vlan100]access-vlan 10 20 30

使能子接口的ARP代理功能

[SW1-Vlanif100]arp-proxy inter-sub-vlan-proxy enable 

配置举例

[SW1]vlan batch 10 20 30 100

[SW1-GigabitEthernet0/0/1]port link-type trunk 
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 此处不可为all，否则无法聚合

[SW1-GigabitEthernet0/0/2]port link-type trunk 
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 20 此处不可为all，否则无法聚合

[SW1-GigabitEthernet0/0/3]port link-type trunk 
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 此处不可为all，否则无法聚合

[SW1-Vlanif100]ip address 192.168.1.254 255.255.255.0
[SW1-Vlanif100]arp-proxy inter-sub-vlan-proxy enable

[SW1-vlan100]aggregate-vlan
[SW1-vlan100]access-vlan 10 20 30

MUX VLAN

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

MUX VLAN分为Principal VLAN（主VLAN）和Subordinate VLAN（从VLAN），Subordinate VLAN又分为Separate VLAN（隔离型从VLAN）和Group VLAN（互通型从VLAN）。

在使用MUX VLAN的过程中，无论是Separate VLAN还是Group VLAN都必须与一个Principle VLAN绑定。

配置举例

主要配置

[SW1]vlan batch 10 20 30 100

\\配置主vlan
[SW1-vlan100]mux-vlan

\\配置互通型从vlan
[SW1-vlan100]subordinate group 10 20

\\配置隔离型从vlan
[SW1-vlan100]subordinate separate 30

接口配置举例

[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10


\\使能mux-vlan功能
[SW1-GigabitEthernet0/0/1]port mux-vlan enable

QinQ

QinQ（802.1Q in 802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。

工作原理

在公网的传输过程中，设备只根据外层VLAN Tag转发报文，并根据报文的外层VLAN Tag进行MAC地址学习，而用户的私网VLAN Tag将被当作报文的数据部分进行传输。即使私网VLAN Tag相同，也能通过公网VLAN Tag区分不同用户。 

企业A和企业B的私网VLAN分别为VLAN 1～10和VLAN 1～20。公网为企业A和企业B分配的公网VLAN分别为VLAN 3和VLAN 4。当企业A和企业B中带VLAN Tag的报文进入公网时，报文外面就会被分别封装上VLAN 3和VLAN 4的VLAN标签。这样，来自不同企业网络的报文在公网中传输时被完全分开，即使这些企业网络各自的VLAN范围存在重叠，在公网中传输时也不会产生冲突。当报文穿过公网，到达公网另一侧PE设备后，报文会被剥离公网为其添加的公网VLAN标签，然后再传送给用户网络的CE设备。

配置方法

QinQ的配置方法一般有两种

1 基本QinQ：在核心交换机上，每个连接终端方向的接口只能配一个外层vlan，接口vlan类型为dot1q-tunnel。通过不同的接口来划分终端。外层vlan的数量等于dot1q-tunnel接口的数量。

2 灵活QinQ：在核心交换机上，每个连接终端方向的接口可以配多个外层vlan，接口vlan类型为hybrid。通过绑定不同的内层vlan和外层vlan来划分终端，外层vlan的数量等于绑定的对数。

相关命令

配置接口类型为dot1q-tunnel（用于基本QinQ）

使能接口VLAN转换功能（用于灵活QinQ）

[SW1-GigabitEthernet0/0/1]qinq vlan-translation enable 

配置灵活QinQ（内层vlan 10 外层vlan 100）

[SW1-GigabitEthernet0/0/1]port vlan-stacking vlan 10 stack-vlan 100

配置举例1：基本QinQ

​​​​​​​​​​​

[SW1-GigabitEthernet0/0/1]port link-type dot1q-tunnel 
[SW1-GigabitEthernet0/0/1]port default vlan 100
[SW1-GigabitEthernet0/0/2]port link-type dot1q-tunnel
[SW1-GigabitEthernet0/0/2]port default vlan 200

交换机2同

​​​​​​​配置举例2：灵活QinQ

​​​​​​​

[SW1-GigabitEthernet0/0/1]port link-type hybrid 
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 100 200
[SW1-GigabitEthernet0/0/1]qinq vlan-translation enable 
[SW1-GigabitEthernet0/0/1]port vlan-stacking vlan 10 stack-vlan 100
[SW1-GigabitEthernet0/0/1]port vlan-stacking vlan 20 stack-vlan 200

交换机2同

封装结构

QinQ封装报文是在无标签的以太网数据帧的源MAC地址字段后面加上两个VLAN标签构成。

TPID（Tag Protocol Identifier，标签协议标识）表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。 对于内层的802.1Q Tag，该值设置为0x8100；对于外层的802.1Q Tag，不同厂商所使用的值可能不相同，在华为设备上，外层802.1Q Tag缺省情况下值为0x8100，可以通过命令行调整该值。

抓包观察

1 外层vlan tag：100，TPID为0x8100

2 内层vlan tag：10，TPID为0x8100