高职大赛培训01vlan技术课件

VLAN技术技术本章内容§ §VLANVLAN基本配置基本配置§ §使用使用SVISVI实现实现VLANVLAN间通信间通信§ §使用单臂路由实现使用单臂路由实现VLANVLAN间通信间通信§ §Private VLANPrivate VLAN原理与配置原理与配置§ §Super VLANSuper VLAN原理与配置原理与配置课程议题VLANVLANVLANVLAN配置配置配置配置交换网络中的问题在交换机组成的校园网络里所有主机都在同一个广播域内在交换机组成的校园网络里所有主机都在同一个广播域内广播域广播域交换网络中的问题 通过通过VLANVLAN技术可以对网络进行一个安全的隔离、分割广播域技术可以对网络进行一个安全的隔离、分割广播域VLAN 10VLAN 40VLAN 30VLAN 20VLAN技术1234交换机交换机广播帧广播帧广播域广播域广播帧广播帧广播域广播域§ §VLAN VLAN 概述（概述（Virtual Local Area NetworkVirtual Local Area Network））ØØVLANVLAN是划分出来的逻辑网络，是第二层网络。

是划分出来的逻辑网络，是第二层网络ØØVLANVLAN端口不受物理位置的限制端口不受物理位置的限制ØØVLAN VLAN 隔离广播域隔离广播域VLAN技术的好处§ §通过在交换网络中的通过在交换网络中的VLANVLAN技术的实施，可以为网络带来很多诸如技术的实施，可以为网络带来很多诸如隔离广播、安全、负载分担等好处隔离广播、安全、负载分担等好处 ØØ隔离广播：隔离广播：隔离广播：隔离广播：在交换网络中，通过广播域的隔离，可以大大减少网络中泛在交换网络中，通过广播域的隔离，可以大大减少网络中泛洪的广播包，从而提高网络中的带宽利用率洪的广播包，从而提高网络中的带宽利用率 ØØ安全性：安全性：安全性：安全性：通过在二层网络划分通过在二层网络划分VLANVLAN，可以实现在二层网络中不同，可以实现在二层网络中不同VLANVLAN间的数据隔离，间的数据隔离，ØØ故障隔离：故障隔离：故障隔离：故障隔离：通过通过VLANVLAN的划分，由于将设备划分到不同的广播域当中，可的划分，由于将设备划分到不同的广播域当中，可以减小网络故障的影响以减小网络故障的影响 IEEE802.1Q数据帧§ §标记协议标识（标记协议标识（TPIDTPID））: :ØØ固定值固定值0x8100,0x8100,表示该帧载有表示该帧载有802.1Q802.1Q标记信息标记信息§ §标记控制信息（标记控制信息（TCITCI））: :ØØPriorityPriority：：3 3比特，表示优先级比特，表示优先级ØØCanonical format indicatorCanonical format indicator：：1 1比特，表示总线型以太网、比特，表示总线型以太网、FDDIFDDI、令牌环网、令牌环网ØØVlanIDVlanID：：1212比特，表示比特，表示VIDVID，范围，范围1 1－－40944094Trunk端口工作原理§ §802.1Q802.1Q工作特点：工作特点：ØØTrunkTrunk上默认会转发交换机上存在的所有上默认会转发交换机上存在的所有VLANVLAN的数据。

的数据ØØ交换机在从交换机在从TrunkTrunk口转发数据前会在数据打上个口转发数据前会在数据打上个TagTag标签，在到达另一交标签，在到达另一交换机后，再剥去此标签换机后，再剥去此标签ØØNative VLANNative VLAN：这类：这类VLANVLAN可以省略掉打标签的过程，但是网络中只能有可以省略掉打标签的过程，但是网络中只能有一个一个Native VLANNative VLAN，默认情况下，锐捷交换机上的，默认情况下，锐捷交换机上的Native VLANNative VLAN是是VLAN 1VLAN 1数据帧数据帧TagTag标签标签TrunkTrunkTrunkTrunk数据帧数据帧A AB B配置VLAN——创建VLAN§ §步骤步骤1 1：进入全局配置模式：进入全局配置模式ØØSwitch#Switch#configure terminalconfigure terminal§ §步骤步骤2 2：创建：创建VLANVLANØØSwitch(config)#Switch(config)#vlan vlan vlan-idvlan-id§ §步骤步骤3 3：（可选）命名：（可选）命名VLANVLANØØSwitch(config-vlan)#Switch(config-vlan)#name name vlan-namevlan-name配置VLAN——将端口加入VLAN§ §步骤步骤1 1：进入端口配置模式：进入端口配置模式ØØSwtich(config)#Swtich(config)#interface interface interfaceinterface§ §步骤步骤2 2：将端口模式设置为接入端口：将端口模式设置为接入端口ØØSwitch(config-if)#Switch(config-if)#switchport mode accessswitchport mode access§ §步骤步骤3 3：将端口添加到特定：将端口添加到特定VLANVLANØØSwitch(config-if)#Switch(config-if)#switchport access vlanswitchport access vlan vlan-idvlan-id配置VLAN——将端口加入VLAN§ §示例：将端口示例：将端口FastEthernet 0/1FastEthernet 0/1加入加入VLANVLANØØSwitch#configure terminalSwitch#configure terminalØØSwitch(config)#interface fastEthernet 0/1Switch(config)#interface fastEthernet 0/1ØØSwitch(config-if)#switchport mode access Switch(config-if)#switchport mode access ØØSwitch(config-if)#switchport access vlan 10Switch(config-if)#switchport access vlan 10ØØSwitch(config-if)#endSwitch(config-if)#end配置VLAN——将一组端口加入VLAN§ §步骤步骤1 1：进入到一组需要添加到：进入到一组需要添加到VLANVLAN的端口中的端口中ØØSwtich(config)#Swtich(config)#interface range interface range interface-rangeinterface-range§ §步骤步骤2 2：将端口模式设置为接入端口：将端口模式设置为接入端口ØØSwitch(config-range-if)#Switch(config-range-if)#switchport mode accessswitchport mode access§ §步骤步骤3 3：将一组端口划分到指定：将一组端口划分到指定VLANVLANØØSwitch(config-range-if)#Switch(config-range-if)#swtichport access vlanswtichport access vlan vlan-idvlan-id 配置VLAN——将一组端口加入VLAN§ §示例：将端口示例：将端口fastEthernet 0/1~5,0/7fastEthernet 0/1~5,0/7同时划分到同时划分到VLAN10VLAN10ØØSwitch#configure terminalSwitch#configure terminalØØSwitch(config)#interface range fastEthernet 0/1-5,0/7Switch(config)#interface range fastEthernet 0/1-5,0/7ØØSwitch(config-if-range)#switchport mode access Switch(config-if-range)#switchport mode access ØØSwitch(config-if-range)#switchport access vlan 10Switch(config-if-range)#switchport access vlan 10ØØSwitch(config-if-range)#exitSwitch(config-if-range)#exitVLAN配置——配置Trunk和Native VLAN§ §将级联端口设置为将级联端口设置为TrunkTrunk§ §步骤步骤1 1：进入需要配置的端口：进入需要配置的端口ØØswtich(config)#swtich(config)#interface interface interfaceinterface§ §步骤步骤2 2：将端口的模式设置为：将端口的模式设置为TrunkTrunkØØSwitch(config-if)#Switch(config-if)#switchport mode trunkswitchport mode trunk § §配置配置Native VLANNative VLAN§ §步骤步骤1 1：进入到需要配置的：进入到需要配置的TrunkTrunk端口中端口中ØØswtich(config)#swtich(config)#interface interface interfaceinterface§ §步骤步骤2 2：配置：配置TrunkTrunk的的Native VLANNative VLANØØSwitch(config-if)#Switch(config-if)#switchport trunk native vlanswitchport trunk native vlan vlan-idvlan-id配置VLAN——配置VLAN许可列表§ §步骤步骤步骤步骤1 1：进入全局配置模式：进入全局配置模式ØØSwitch#Switch#configure terminalconfigure terminal§ §步骤步骤步骤步骤2 2：进入需要配置为：进入需要配置为TrunkTrunk的端口的端口ØØSwitch(config)#Switch(config)#interface interface interfaceinterface§ §步骤步骤步骤步骤3 3：：：：定义该端口模式为定义该端口模式为TrunkTrunkØØSwitch(config-range-if)#Switch(config-range-if)#switchport mode trunkswitchport mode trunk§ §步骤步骤步骤步骤4 4：：：：定义定义TrunkTrunk的的VLANVLAN列表列表ØØSwitch(config-if)#Switch(config-if)#switchport trunk allowed vlan switchport trunk allowed vlan { { all all | | [ [ add add | | remove remove | | except except ] }] } vlan-listvlan-list配置VLAN——查看、删除VLAN§ §删除删除VLANVLANØØSwitch(config)#no vlan Switch(config)#no vlan VLAN-idVLAN-id§ §验证配置信息验证配置信息ØØSwitch# show interfaces fastethernet0/20 switchportSwitch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN listsInterface Switchport Mode Access Native Protected VLAN lists --------- ---------- --------- --------- -------- --------- ----------- --------- ---------- --------- --------- -------- --------- ----------- Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094 Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094ØØSwitch# show vlanSwitch# show vlan VLAN Name Status PortsVLAN Name Status Ports ---- -------- -------- --------------- ---- -------- -------- --------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, 课程议题SVISVISVISVI实现实现实现实现VLANVLANVLANVLAN间通信间通信间通信间通信划分VLAN的问题§ §划分划分VLANVLAN的问题的问题ØØ在交换机上划分在交换机上划分VLANVLAN后，带来了隔离广播、提高安全性、隔离故障的好后，带来了隔离广播、提高安全性、隔离故障的好处，但是，问题是不同处，但是，问题是不同VLANVLAN之间无法通过二层设备互相通信。

之间无法通过二层设备互相通信§ §解决办法解决办法ØØ通过三层设备实现通过三层设备实现VLANVLAN间路由F0/3F0/1F0/2SVI实现不同VLAN间相互通信§ §三层交换机上配置三层交换机上配置SVISVI接口地址接口地址§ §各各VLANVLAN中主机将三层交换机上相应中主机将三层交换机上相应VLANVLAN的的SVISVI接口地址作为本接口地址作为本VLANVLAN网关网关§ §数据到达三层交换机后利用路由功能转发到其他数据到达三层交换机后利用路由功能转发到其他VLANVLAN配置SVI§ §步骤步骤1 1 开启路由功能（默认）开启路由功能（默认）ØØ Switch(config)#Switch(config)#ip routingip routing§ §步骤步骤2 2 创建创建VLANVLANØØSwitch(config)#Switch(config)#vlanvlan vlan-idvlan-id§ §步骤步骤3 3 进入进入VLANVLAN的的SVISVI接口配置模式接口配置模式ØØSwitch(config)#Switch(config)#interface vlan interface vlan vlan-idvlan-id§ §步骤步骤4 4 给给SVISVI接口配置接口配置IPIP地址地址ØØSwitch(config-if)#Switch(config-if)#ip addressip address ip-address maskip-address mask 配置SVI示例§ §Switch#Switch#configure terminalconfigure terminal§ §Switch(config)#Switch(config)#vlan 10vlan 10§ §Switch(config-vlan)Switch(config-vlan)exitexit§ §Switch(config)#Switch(config)#vlan 20vlan 20§ §Switch(config-vlan)#Switch(config-vlan)#exitexit§ §Switch(config)#Switch(config)#interface vlan 10interface vlan 10§ §Switch(config-if)#Switch(config-if)#ip address 192.168.1.1 255.255.255.0ip address 192.168.1.1 255.255.255.0§ §Switch(config-if)#Switch(config-if)#no shutdownno shutdown§ §Switch(config)#Switch(config)#interface vlan 20interface vlan 20§ §Switch(config-if)#Switch(config-if)#ip address 192.168.2.1 255.255.255.0ip address 192.168.2.1 255.255.255.0§ §Switch(config-if)#Switch(config-if)#no shutdownno shutdown课程议题使用单臂路由使用单臂路由使用单臂路由使用单臂路由实现实现实现实现VLANVLANVLANVLAN间通信间通信间通信间通信路由器实现VLAN间路由§ §在路由器上为每个在路由器上为每个VLANVLAN划分一个子接口划分一个子接口§ §每个子接口配置每个子接口配置IPIP地址，作为相应地址，作为相应VLANVLAN的网关的网关§ §利用路由器的路由功能，实现不同子接口数据的转发利用路由器的路由功能，实现不同子接口数据的转发§ §缺点是：部署不灵活，形成网络瓶颈。

缺点是：部署不灵活，形成网络瓶颈单臂路由配置§ §步骤步骤1 1：创建以太网子接口：创建以太网子接口ØØRouter(config)Router(config)#interface#interface interfaceinterface. .sub-portsub-port§ §步骤步骤2 2：为子接口封装：为子接口封装802.1q802.1q协议，并指定接口所属的协议，并指定接口所属的VLANVLANØØRouter(config-subif)Router(config-subif)#encapsulation dot1q#encapsulation dot1q vlan-idvlan-id§ §步骤步骤3 3：为子接口配置：为子接口配置IPIP地址地址ØØRouter(config-subif)Router(config-subif)#ip address#ip address ip-addressip-address mask-addressmask-address§ §步骤步骤4 4：启用子接口：启用子接口ØØRouter(config-subif)Router(config-subif)#no shutdown#no shutdown单臂路由配置示例§ §Router(config)#Router(config)#interface fastEthernet 0/0.1interface fastEthernet 0/0.1§ §Router(config-subif)#Router(config-subif)#encapsulation dot1q 10encapsulation dot1q 10§ §Router(config-subif)#Router(config-subif)#ip address 192.168.1.1 255.255.255.0ip address 192.168.1.1 255.255.255.0§ §Router(config-subif)#Router(config-subif)#no shutdownno shutdown§ §Router(config-subif)#Router(config-subif)#exitexit§ §Router(config)#Router(config)#interface fastEthernet 0/0.2interface fastEthernet 0/0.2§ §Router(config-subif)#Router(config-subif)#encapsulation dot1q 20encapsulation dot1q 20§ §Router(config-subif)#Router(config-subif)#ip address 192.168.2.1 255.255.255.0ip address 192.168.2.1 255.255.255.0§ §Router(config-subif)#Router(config-subif)#no shutdownno shutdown§ §Router(config-subif)#Router(config-subif)#endend课程议题Private VLANPrivate VLANPrivate VLANPrivate VLAN划分VLAN的问题§ §可分配的可分配的VLANVLAN编号是编号是1-40941-4094，需要划分更多的，需要划分更多的VLANVLAN怎么办怎么办§ §每一个每一个VLANVLAN都划分一个子网，当划分多个都划分一个子网，当划分多个VLANVLAN时，导致地址的时，导致地址的浪费浪费F0/1F0/2F0/3Private VLAN§ §Private VLANPrivate VLAN（私有（私有VLANVLAN，，PVLANPVLAN））是能够为相同是能够为相同VLANVLAN内不同内不同端口提供隔离的端口提供隔离的VLANVLAN。

F0/1F0/2F0/3Pravite VLAN的组成§ §PVLANPVLAN可以将一个可以将一个VLANVLAN的二层广播域划分成多个子域，每个子域的二层广播域划分成多个子域，每个子域都由一对都由一对VLANVLAN组成：组成：Primary VLANPrimary VLAN（主（主VLANVLAN）和）和Secondary Secondary VLANVLAN（辅助（辅助VLANVLAN组成） Secondary VLANF0/2F0/1Secondary VLANPrimary VLANPravite VLAN的组成§ §主主主主VLANVLAN：：：： 主主VLANVLAN是是PVLANPVLAN的高级的高级VLANVLAN，每个，每个PVLANPVLAN中只有一中只有一个主个主VLANVLAN§ §辅助辅助辅助辅助VLANVLAN：：：： 辅助辅助VLANVLAN是是PVLANPVLAN中的子中的子VLANVLAN，并且映射到一个，并且映射到一个主主VLANVLAN每台接入设备都连接到辅助每台接入设备都连接到辅助VLANVLANØØ隔离隔离隔离隔离VLANVLAN（（（（Isolated VLANIsolated VLAN）：）：）：）：同一个隔离同一个隔离VLANVLAN中的端口互相不能进中的端口互相不能进行二层通信，一个私有行二层通信，一个私有VLANVLAN域中只有一个隔离域中只有一个隔离VLANVLAN。

ØØ团体团体团体团体VLANVLAN（（（（Community VLANCommunity VLAN）：）：）：）：同一个团体同一个团体VLANVLAN中的端口可以进行中的端口可以进行二层通信，但是不能与其他团体二层通信，但是不能与其他团体VLANVLAN中的端口进行二层通信，一个私有中的端口进行二层通信，一个私有VLANVLAN中可以有多个团体中可以有多个团体VLANVLAN Pravite VLAN的端口类型§ §混杂端口（混杂端口（Promiscuous PortPromiscuous Port）：混杂端口为主）：混杂端口为主VLANVLAN中的端口，中的端口，可以与任意端口通信，包括同一个可以与任意端口通信，包括同一个PVLANPVLAN中的隔离端口和团体端中的隔离端口和团体端口§ §隔离端口（隔离端口（Isolated PortIsolated Port）：隔离端口为隔离）：隔离端口为隔离VLANVLAN中的端口，隔中的端口，隔离端口只能与混杂端口进行通信离端口只能与混杂端口进行通信§ §团体端口（团体端口（Community PortCommunity Port）：团体端口为团体）：团体端口为团体VLANVLAN中的端口，中的端口，同一个团体同一个团体VLANVLAN中的团体端口之间可以互相通信，并且团体端口中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体可以与混杂端口通信，但是不能与其他团体VLANVLAN的端口进行通信。

的端口进行通信 Private VLAN的实现§ §主主VLANVLAN中的混杂端口用于连中的混杂端口用于连接到网关设备，可以和本接到网关设备，可以和本VLANVLAN中所有端口通信中所有端口通信§ §隔离隔离VLANVLAN中的各端口均为隔中的各端口均为隔离端口，互相不可通信，也离端口，互相不可通信，也不可与其他隔离不可与其他隔离VLANVLAN或团体或团体VLANVLAN通信通信§ §团体团体VLANVLAN中的端口均为团体中的端口均为团体端口，可与本团体端口通信，端口，可与本团体端口通信，不可与其他团体端口或隔离不可与其他团体端口或隔离端口通信端口通信配置Private VLAN§ §配置配置Private VLANPrivate VLAN主要包括以下几个步骤：主要包括以下几个步骤：ØØ配置主配置主VLANVLAN与辅助与辅助VLANVLANØØ关联辅助关联辅助VLANVLAN到主到主VLANVLANØØ将辅助将辅助VLANVLAN映射到主映射到主VLANVLAN的的3 3层接口层接口ØØ配置主机端口配置主机端口ØØ配置混杂端口配置混杂端口 配置Private VLAN§ §配置主配置主VLANVLAN与辅助与辅助VLANVLANØØ步骤步骤1 1：：进入配置模式进入配置模式ææSwitch#configure terminalSwitch#configure terminalØØ步骤步骤2 2：进入：进入VLANVLAN配置模式配置模式ææSwitch(config)#vlan Switch(config)#vlan vidvidØØ步骤步骤3 3：配置私有：配置私有VLANVLAN类型类型ææSwitch(config-vlan)#private-vlan { community | isolated | primary }Switch(config-vlan)#private-vlan { community | isolated | primary } § §在在802.1q VLAN802.1q VLAN中，有成员端口的中，有成员端口的VLANVLAN不能配置为私有不能配置为私有VLANVLAN。

VLAN 1VLAN 1不能配置为私有不能配置为私有VLANVLAN配置Private VLAN§ §关联辅助关联辅助VLANVLAN到主到主VLANVLAN ØØ步骤步骤步骤步骤1 1：进入主：进入主VLANVLAN的的VLANVLAN配置模式配置模式ææSwitch(config)#Switch(config)#vlanvlan p_vidp_vidØØ步骤步骤步骤步骤2 2：关联辅助：关联辅助VLANVLAN到主到主VLANVLANææSwitch(config-vlan)#Switch(config-vlan)#private-vlan associationprivate-vlan association [ [ addadd | | remove remove ] ] svlist svlist§ §将辅助将辅助VLANVLAN映射到主映射到主VLANVLAN的三层接口的三层接口ØØ步骤步骤步骤步骤1 1：进入主：进入主VLANVLAN的的VLANVLAN接口模式接口模式ææSwitch(config)#Switch(config)#interface vlaninterface vlan p_vidp_vidØØ步骤步骤步骤步骤2 2：映射辅助：映射辅助VLANVLAN到主到主VLANVLAN的三层接口的三层接口ææSwitch(config-if)#Switch(config-if)#private-vlan mapping private-vlan mapping [ [ addadd | | remove remove ] ] svlist svlist配置Private VLAN§ §配置主机端口配置主机端口ØØ步骤步骤步骤步骤1 1：：：：进入主机端口进入主机端口ææSwitch(config)#Switch(config)#interfaceinterface port-type portport-type portØØ步骤步骤步骤步骤2 2：配置端口为主机端口：配置端口为主机端口ææSwitch(config-if)#Switch(config-if)#switchport mode private-vlan hostswitchport mode private-vlan hostØØ步骤步骤步骤步骤3 3：关联主机端口到：关联主机端口到PVLANPVLANææSwitch(config-if)#Switch(config-if)#switchportswitchport private-vlanprivate-vlan host-associationhost-association p_vid s_vid p_vid s_vid§ §配置混杂端口配置混杂端口ØØ步骤步骤步骤步骤1 1：进入主机端口：进入主机端口ææSwitch(config)#Switch(config)#interfaceinterface interfaceinterfaceØØ步骤步骤步骤步骤2 2：配置端口为混杂端口：配置端口为混杂端口ææSwitch(config-if)#Switch(config-if)#switchport mode private-vlan promiscuousswitchport mode private-vlan promiscuousØØ步骤步骤步骤步骤3 3：配置混杂端口所在的主：配置混杂端口所在的主VLANVLAN以及关联的辅助以及关联的辅助VLANVLANææSwitch(config-if)#Switch(config-if)#switchport private-vlan mappingswitchport private-vlan mapping p_vid p_vid [ [ addadd | | remove remove ] ] svlistsvlist配置Private VLAN§ §配置配置Private VLANPrivate VLAN注意事项注意事项§ §一个一个Private VLANPrivate VLAN处于处于ActiveActive状态必须满足下列条件：状态必须满足下列条件：ØØ具有主具有主VLANVLANØØ具有辅助具有辅助VLANVLANØØ辅助辅助VLANVLAN和主和主VLANVLAN进行关联进行关联ØØ主主VLANVLAN内有混杂端口内有混杂端口配置Private VLAN示例配置Private VLAN示例§ §Swich#Swich#configure terminalconfigure terminal§ §Switch(config)#Switch(config)#vlan 10vlan 10§ §Switch(config-vlan)#Switch(config-vlan)#private-vlan primaryprivate-vlan primary§ §Switch(config-vlan)#Switch(config-vlan)#exitexit§ §Switch(config)#Switch(config)#vlan 20vlan 20§ §Switch(config-vlan)#Switch(config-vlan)#private-vlan communityprivate-vlan community§ §Switch(config-vlan)#Switch(config-vlan)#exitexit§ §Switch(config)#Switch(config)#vlan 30vlan 30§ §Switch(config-vlan)#Switch(config-vlan)#private-vlan isolatedprivate-vlan isolated§ §Switch(config-vlan)#Switch(config-vlan)#exitexit§ §Switch(config)#Switch(config)#vlan 10vlan 10§ §Switch(config-vlan)#Switch(config-vlan)#private-vlan association add 20,30private-vlan association add 20,30§ §Switch(config-vlan)#Switch(config-vlan)#exitexit配置Private VLAN示例§ §Switch(config)#Switch(config)#interface range fastEthernet 0/1-2interface range fastEthernet 0/1-2§ §Switch(config-if-range)#Switch(config-if-range)#switchport mode private-vlan hostswitchport mode private-vlan host§ §Switch(config-if-range)#Switch(config-if-range)#switchport private-vlan host-association 10 30switchport private-vlan host-association 10 30§ §Switch(config-if-range)#Switch(config-if-range)#exitexit§ §Switch(config-if)#Switch(config-if)#interface range fastEthernet 0/3-4interface range fastEthernet 0/3-4§ §Switch(config-if-range)#Switch(config-if-range)#switchport mode private-vlan hostswitchport mode private-vlan host§ §Switch(config-if-range)#Switch(config-if-range)#switchport private-vlan host-association 10 20switchport private-vlan host-association 10 20§ §Switch(config-if-range)#Switch(config-if-range)#exitexit§ §Switch(config)#Switch(config)#interface fastEthernet 0/5interface fastEthernet 0/5§ §Switch(config-if)#Switch(config-if)#switchport mode private-vlan promiscuousswitchport mode private-vlan promiscuous§ §Switch(config-if)#Switch(config-if)#switchport private-vlan mapping 10 add 20,30switchport private-vlan mapping 10 add 20,30§ §Switch(config-if)#Switch(config-if)#endend课程议题Super VLANSuper VLANSuper VLANSuper VLANSuper VLAN§ §Super VLANSuper VLAN又称为又称为VLANVLAN聚合聚合，，是一种专门优化是一种专门优化IPIP地址管理的技地址管理的技术术 § §可以将一个网段的可以将一个网段的IPIP分给不同的子分给不同的子VLANVLAN（（Sub VLANSub VLAN），这些），这些Sub VLANSub VLAN同属于一个同属于一个Super VLANSuper VLAN。

Sub VLANF0/2F0/1Sub VLANSuper VLANIP子网子网Super VLAN§ §Super VLANSuper VLAN特点特点ØØ每一个每一个Sub VLANSub VLAN都是独立的广播域都是独立的广播域 ØØ属于同一属于同一Super VLANSuper VLAN的的Sub VLANSub VLAN在同一子网中在同一子网中ØØSub VLANSub VLAN间的用户需要进行通信时，将使用间的用户需要进行通信时，将使用Super VLAN Super VLAN 的的VLANVLAN接口接口的的IP IP 地址作为网关地址地址作为网关地址 ØØ不同不同Sub VLAN Sub VLAN 间的互通及间的互通及Sub VLAN Sub VLAN 与其他网络的互通，需要利用与其他网络的互通，需要利用ARPARP代理（代理（Proxy ARPProxy ARP）功能）功能 Sub VLAN通信过程§ §同一同一Sub VLANSub VLAN中主机的通信可以直接进行中主机的通信可以直接进行§ §不同不同Super VLANSuper VLAN中的主机通信时，需要经过交换机进行中的主机通信时，需要经过交换机进行ARPARP代理代理Super VLAN注意事项§ §部署部署Sub VLANSub VLAN的注意事项：的注意事项：ØØSuper VLANSuper VLAN不能包含任何成员端口，只能包含不能包含任何成员端口，只能包含Sub VLANSub VLAN。

Sub VLANSub VLAN包包含物理端口含物理端口ØØSuper VLANSuper VLAN不能作为其他不能作为其他Super VLANSuper VLAN的的Sub VLANSub VLANØØPVLANPVLAN主要用于解决主要用于解决VLANVLAN数量受限制的问题，数量受限制的问题，Super VLANSuper VLAN主要用于节主要用于节省省IPIP地址ØØSuper VLANSuper VLAN不能当正常的不能当正常的802.1q VLAN802.1q VLAN来使用ØØVLAN 1VLAN 1不能作为不能作为Super VLANSuper VLANØØ针对针对Sub VLANSub VLAN不能创建不能创建VLANVLAN接口并分配接口并分配IPIP地址ØØSuper VLANSuper VLAN不能使用不能使用VRRPVRRP，不支持多播不支持多播ØØ基于基于Super VLANSuper VLAN接口的接口的ACLACL和和QoSQoS配置不对配置不对Sub VLANSub VLAN生效配置Super VLAN§ §配置配置Super VLANSuper VLAN主要分为以下几个步骤：主要分为以下几个步骤：ØØ定义定义Super VLANSuper VLANØØ配置配置Super VLANSuper VLAN的的Sub VLANSub VLANØØ设置设置Sub VLANSub VLAN的地址范围的地址范围ØØ配置配置Super VLANSuper VLAN的的SVISVI地址地址ØØ划分接口到划分接口到Sub VLANSub VLAN配置Super VLAN§ §定义定义Super VLAN Super VLAN ØØ步骤步骤步骤步骤1 1：进入：进入VLANVLAN配置模式配置模式ææSwitch(config)#Switch(config)#vlanvlan vlan-idvlan-idØØ步骤步骤步骤步骤2 2：配置：配置VLANVLAN为为Super VLANSuper VLANææSwitch(config-vlan)#Switch(config-vlan)#supervlansupervlan§ §配置配置Super VLANSuper VLAN的的Sub VLANSub VLAN ØØ步骤步骤步骤步骤1 1：进入：进入Super VLANSuper VLAN的配置模式的配置模式ææSwitch(config)#Switch(config)#vlan vlan vlan-idvlan-idØØ步骤步骤步骤步骤2 2：配置：配置Super VLANSuper VLAN的的Sub VLANSub VLAN列表列表ææSwitch(config-vlan)#Switch(config-vlan)#subvlansubvlan v vlan-id-listlan-id-list配置Super VLAN§ §配置配置Sub VLANSub VLAN的地址范围的地址范围ØØ步骤步骤步骤步骤1 1：进入：进入Sub VLANSub VLAN的配置模式的配置模式ææSwitch(config)#Switch(config)#vlan vlan vlan-idvlan-idØØ步骤步骤步骤步骤2 2：设置：设置Sub VLANSub VLAN的地址范围的地址范围ææSwitch(config)#Switch(config)#subvlan-address-rangesubvlan-address-range start-ip end-ipstart-ip end-ip§ §配置配置Super VLANSuper VLAN的虚接口的虚接口ØØ步骤步骤步骤步骤1 1：进入：进入Super VLANSuper VLAN的配置模式的配置模式ææSwitch(config)#Switch(config)#interface vlaninterface vlan vlan-idvlan-idØØ步骤步骤步骤步骤2 2：：：：配置配置Super VLANSuper VLAN的虚接口的虚接口ææSwitch(config-if)#Switch(config-if)#ip addressip address ip-address maskip-address mask配置Super VLAN§ §配置配置配置配置VLANVLAN的代理的代理的代理的代理ARPARP功能功能功能功能ØØ步骤步骤步骤步骤1 1：：：：进入进入VLANVLAN配置模式配置模式ææSwitch(config)#Switch(config)#vlanvlan v vlan-idlan-idØØ步骤步骤步骤步骤2 2：：：：打开打开VLANVLAN的的ARPARP代理功能代理功能ææSwitch(config-vlan)#Switch(config-vlan)#proxy-arpproxy-arp§ §查看查看查看查看Super Super VLANVLAN配置配置配置配置ØØSwitch#Switch#show supervlanshow supervlan 。