Super VLAN技术在园区网中的应用

摘 要：为解决园区网中VLAN和IP地址资源紧缺及网内各主机相互二层隔离的问题，可以采用Super VLAN加以解决。Super VLAN通过和Sub VLAN相关联，能够减少VLAN和IP子网号的消耗，使网络规划更为容易；另外由于各Sub VLAN之间处于不同的冲突域，各主机之间可以实现二层隔离，网络的安全性也得到了提高。

关键词：Super VLAN；Sub VLAN；二层隔离；园区网

中图分类号：TP393.18

随着城乡建设的发展及网络技术的普及，越来越多的住宅小区都组建了自己的园区网，小区住户可以很方便地接入到园区网中，并作为园区网用户访问互联网。为保护住户个人电脑的安全，通常在园区网内会要求普通住户的个人电脑之间相互隔离，即它们之间不能相互访问，这些主机只要能访问网关或特定的服务器即可。解决上述问题可以通过划分VLAN的方式来实现，也就是把不同的主机划分到不同的VLAN中去，每个主机都属于一个单独的VLAN，这样不同VLAN的主机就无法实现直接的二层通信了。但这种方案存在两个重要缺陷：1.如果园区网规模较大的话，是否有足够的VLAN和IP地址资源可供分配；2.由于每个VLAN都需要一个独立的网关，作为网关的设备是否有足够的接口。我们可以通过Super VLAN技术解决以上问题。

1 Super VLAN的基本原理

Super VLAN又称为VLAN聚合（VLAN Aggregation）[1]，它采用分级结构，引入了Super VLAN和Sub VLAN的概念。每个Sub VLAN都是一个独立的广播域，一个super VLAN可以包含一个或多个保持着不同广播域的sub VLAN；一个Super VLAN占用一个独立的子网网段，sub VLAN不再占用独立的子网网段；在同一个super VLAN中，无论主机属于哪一个sub VLAN，它的IP地址都在super VLAN对应的子网网段内。

一个Super VLAN和多个Sub VLAN关联，Super VLAN可以创建对应的VLAN接口，VLAN接口下可以配置IP地址，但Super VLAN只是一个逻辑接口，它不包括任何物理端口；Sub VLAN可以加入物理端口，但不能创建对应的VLAN接口，所有Sub VLAN内的端口共用Super VLAN的VLAN接口IP地址，不同Sub VLAN之间二层相互隔离。当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN的IP地址作为网关地址。这样，通过sub VLAN间共用同一个三层接口，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址，消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费。从而，在保证了各个sub VLAN作为一个独立广播域实现了广播隔离的同时，将从前使用普通VLAN浪费掉的IP地址节省下来。

2 Super VLAN的通信

划分过Super VLAN和Sub VLAN后，主机之间的通信就可以分为Sub VLAN之间的通信和与外部主机之间的通信两种情况。

2.1 Sub VLAN间的通信[2]

当通信的双方属于和同一个Super VLAN相关联的不同Sub VLAN时，由于各Sub VLAN之间是相互二层隔离的，因此它们无法直接通信。如果希望这些主机相互通信时，需要在作为网关的交换设备上开启本地ARP[3]功能。

在同一Super VLAN下各主机都属于同一网段，共享一个三层接口，因而它们之间相互通信时会直接发送ARP解析请求，但因为各Sub VLAN之间是二层隔离的，因此目标主机无法收到ARP请求包也就无法给出回应。当网关开启了本地ARP功能后，如果收到来自Sub VLAN的ARP请求并且没有发现相应的回应包，通过查找路由表发现目标主机在自己的直连路由上，则网关会向该Sub VLAN内发送ARP请求给目标主机；在收到回应后网关会把Super VLAN接口的MAC地址作为目标主机的MAC地址发送给源主机。这样两台主机之间就能够通过Super VLAN进行三层转发从而实现相互通信。

2.2 Sub VLAN和外部主机之间的通信

各Sub VLAN内的主机和外部主机之间的通信较为简单，只需要各Sub VLAN的主机都将Super VLAN对应的VLAN接口作为它们的默认网关就行。当需要和外部主机进行通信时，各Sub VLAN的主机通过判断目标主机和自身不在同一个网段，封装时将Super VLAN接口的MAC地址作为目标MAC，将数据包发送给Super VLAN，并由网关进行转发即可。

3 Super VLAN在园区网中的典型应用及配置

图1所示是一个典型的在园区网中应用Super VLAN技术的示例。在交换机SWA上创建Super VLAN10，与之对应的Sub VLAN为VLAN2、3。主机Host1和Host2分别属于Sub VLAN 2、3，它们的默认网关都是VLAN接口10。SWA的接口G0/0/1和外部网络连接，为保障园区网内部的安全，各Sub VLAN之间相互二层隔离。

为实现上述功能，具体的配置如下：

[SWA] vlan 10

[SWA] interface vlan-interface 10

[SWA-Vlan-interface10] ip address 10.0.0.1 255.255.255.0

[SWA] vlan 20

[SWA] interface vlan-interface 20

[SWA-Vlan-interface10] ip address 20.0.0.1 255.255.255.0

[SWA] vlan 2

[SWA-vlan2] port ethernet 1/0/2

[SWA] vlan 3

[SWA-vlan3] port ethernet 1/0/3

[SWA] vlan 10

[SWA-vlan10] supervlan

[SWA-vlan10] subvlan 2 3

在上述配置方案中，不同Sub VLAN的主机之间是二层隔离的，如果需要它们之间能够相互通信，可以开启设备的本地功能。

[SWA-Vlan-interface10] local-proxy-arp enable

[SWA-Vlan-interface10] quit

4 结束语

Super VLAN技术常应用在企业网及园区网中，主要用来解决VLAN的划分及IP地址浪费，实现二层隔离等问题。它的主要优点是编址灵活、扩展容易，能够节约大量的IP地址资源及VLAN资源。但由于Super VLAN可以在不同的广播域间任意分配IP地址，可能带来一定的安全隐患，所以在使用时要合理规划，注意IP地址的分配范围，做好安全防范。

参考文献：

[1]杭州华三通信技术有限公司.路由与交换技术（第2卷）[M].北京：清华大学出版社，2012.

[2]Yusuf Bhaiji.网络安全技术与解决方案[M].北京：人民邮电出版社，2009.

[3]王达.Cisco/H3C交换机配置与管理完全手册[M].中国水利水电出版社，2010-6.

作者简介：李继光（1975-），讲师，主要从事网络安全与网络管理方面的教学与研究。

作者单位：新乡学院 计算机与信息工程学院，河南新乡 453003