李金方 汪鸿伟 郭国平

1河海大学信息中心 江苏 210098

2中兴通讯公司 江苏 210029

0 引言

本文提出一种利用超级虚拟局域网，该方法只要将汇聚层的网络设备更新换代成支持Super VLAN技术能力的三层汇聚交换机，维持使用原接入层和核心层网络设备，尤其是接入层网络设备即使在新建网络时仍可使用功能简单、价格低廉的交换机。达到了既不改变传统的三层网络（接入层、汇聚层、核心层）组网模式，又可有效的解决了网络环路、ARP攻击、DHCP欺骗等严重影响网络运行的故障问题，特别是可以充分的保护前期的投资，极大的减少了网络新建或更新改造的投资费用。

1 基于Super VLAN技术的组网方法原理

1.1 Super VLAN概述

Super VLAN是VLAN划分的一种方式。Super VLAN又称为VLAN聚合，是一种专门优化IP地址的管理技术。传统的信息服务商（ISP）网络给每个用户分配一个IP子网，而分配一个子网，就有三个IP地址被占用，分别作为子网的网络号、广播地址和缺省网关。再有如果一些用户的子网中有大量未分配的IP地址，也无法给其他用户使用。因此这种方法会造成IP地址的浪费。Super VLAN有效的解决了这个问题，其原理是将一个网段的IP分给多个不同的VLAN（称为SubVLAN），这些SubVLAN同属于一个Super VLAN。而每个SubVLAN都是一个独立的广播域，不同SubVLAN之间二层相互隔离。这样只需为Super VLAN分配一个IP子网，并为每个用户建立一个SubVLAN，从而保证了不同用户之间的隔离。所有SubVLAN可以灵活使用Super VLAN子网中的IP地址，当SubVLAN内的用户需要进行三层通信时，将使用Super VLAN的虚接口的IP地址作为缺省网关。这样多个Sub VLAN 共享一个IP网关地址，从而节省了IP地址资源。同时，为了实现不同SubVLAN间的三层互通及SubVLAN与其他网络的互通，需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

1.2 Super VLAN的通信原理

在以Super VLAN技术组成的网络情况下，两个聚合的Sub-VLAN之间通信的过程，如图1所示。

Sub VLAN2和Sub VLAN4聚合成Super VLAN3，为Super VLAN3 分配一个IP子网，Sub VLAN2和Sub VLAN4都位于此子网。假设Sub VLAN2中的一台主机PC1要与子网中的另一台主机PC2通信，PC1发现对方与自己处于同一网段，则直接发出目的IP的ARP请求报文。那么三层设备收到该ARP请求报文后，将其在Sub VLAN2的范围内直接通过二层广播此报文，并送一份给设备本身的ARP模块，设备的ARP模块首先看ARP请求报文中的目的IP地址是不是在Sub VLAN2中，如果是就丢弃该报文，表明它和PC1在同一个广播域里面，那么目的主机将直接应答给PC1；如果不是就将Super VLAN3的MAC地址应答给PC1，完成ARP的代理工作。比如PC1和PC2的通信就需要通过ARP代理，由设备转发PC1发给PC2的数据包；而PC1和PC3的通信则直接进行无需通过设备转发。

由此可见采用Super VLAN技术的初衷是为了节省IP地址（它只需对包含多个Sub VLAN的Super VLAN分配一个IP地址）。而基于Super VLAN技术的网络组网方法不仅利用Super VLAN技术节省IP地址的特性，更重要的是利用每个SubVLAN都是一个独立的广播域，不同用户之间二层相互隔离的特性。在接入层交换机上为每个用户分配一个VLAN，每个VLAN只分配一个用户端口。这样将不同用户之间的影响降到最低，彻底解决了网络环路、网络ARP攻击、DHCP欺骗等用户之间相互影响的问题。

1.3 基于Super VLAN技术的组网方法实现

为了实现每个用户分配一个VLAN，每个VLAN只分配一个用户端口的目的，Super VLAN技术的组网技术方案通过以下步骤加以解决的。

基于Super VLAN技术的网络组网方法，其方法步骤如下：

步骤1：初始化，分别将接入层、汇聚层交换机进行物理安装并将接入层交换机分别与汇聚交换机以及核心交换机物理上下连接，然后检查交换机物理上下连接正确后，给交换机加电，启动。

步骤2：对接入层交换机进行配置：按照交换机Switchi i=1….m的端口数j，依次分别在交换机上创建j-1个VLANk K=I×（J-1）+（n-1）n=2..3..j，为了管理方便 VLAN的名与VLAN的标签号（VID）应保持相同。

步骤3：将交换机上的j个端口按照每个VLANk分配一个用户端口的原则依次将m台交换机配置完成，即一个用户一个端口一个VLAN。同时将交换机上连汇聚交换机的端口配置成支持中继能力的端口，即配置成Trunk port，达到可以传输多个VLAN的数据流的目地。

步骤4：对汇聚交换机的配置，首先在汇聚交换机上创建K+2个VLAN，其中K个VLAN的VID应与接入层交换机上的VID相同，然后进入第K+1的VLAN配置模式，设置该VLAN的IP地址以及该VLAN的DHCP Server服务或者DHCP代理服务功能，保证用户端的设备自动获得IP地址。

步骤5：继续设置该VLAN属于哪个Super VLAN并打开Super VLAN的功能，继续在这个VLAN模式下将K个VLAN设置成为Super VLAN的SubVLAN，同时将SubVLAN的代理地址解析协议（ARP）功能关闭，不允许各SubVLAN之间相互通信，达到网络二层相互隔离的作用。

步骤6：将汇聚交换机的各个下连端口和与核心交换机上连的端口均设置成Trunk port，达到可以传输多个VLAN的数据流的目地。

步骤7：进入第K+2的VLAN配置模式，设置该VLAN的IP地址。然后视Super VLAN所在的VLAN里的DHCP Server服务功能是否设置？若没有设置DHCP Server服务，则在本VLAN里配置DHCP代理服务。

步骤8：对核心交换机的配置，在本交换机将与汇聚交换机下连的端口设置成Trunk port。创建一个与汇聚交换机上第K+2的VLAN同名同VID的VLAN。

步骤9：进入该VLAN的配置模式，设置该VLAN的IP地址。然后视汇聚交换机的Super VLAN所在的VLAN里的DHCP Server服务功能是否设置？若没有设置DHCP Server服务，则在本VLAN里配置Super VLAN网段的DHCP Server服务。

步骤10：继续在本VLAN里配置本VLAN与Super VLAN之间互通的路由。

步骤11：保存各个交换机的系统配置，然后重新启动各个交换机。

2 基于Super VLAN技术的组网方法实验

实验环境由一幢学生宿舍楼构成，楼内有150个房间，每个房间有4个信息点，近600个信息点和1个3.3m×3.3m×3m的网络设备机房，机房里安置4个2m高的标准机柜，安装锐捷S2126S 24端口的交换机11台和H3C S1550 48端口的交换机7台作为用户接入交换机，中兴ZXR10 5900三层交换机作为汇聚交换机。19台24端口的交换机和48端口的交换机分别安装在4个机柜里，中兴ZXR10 5928汇聚交换机用多模光纤线向上与中兴ZXR10 8905核心交换机相连，各接入交换机的千M端口分别用双绞网线与中兴ZXR10 5928汇聚交换机千M相连，这样的拓扑结构充分保证了系统负载均衡的能力需求。下面分别将接入层交换机、汇聚交换机相关的配置内容显示如下：

（1）分别对用户接入交换机进行 VLAN划分和端口配置，其中一台锐捷S2126S交换机配置的相关内容显示如下：

Stu5_1（config）# sh run

!vlan config

config ipaddress 172.17.130.12 255.255.255.0 交换机管理地址

config vlan default tag 1

create vlan 1002 创建名字为1002的VLAN

config vlan 1002 tag 1002 设置vlan 1002的VID为1002

config vlan 1002 add port 1 tagged设置1号端口为可通行vlan 1002标识的数据包

config vlan 1002 add port 2 untagged设置2号端口为用户端口

create vlan 1003 创建名字为1003的VLAN

config vlan 1003 tag 1003 设置vlan 1003的VID为1003

config vlan 1003 add port 1 tagged设置1号端口为可通行vlan 1003标识的数据包

config vlan 1003 add port 3 untagged设置3号端口为用户端口

︰

︰

create vlan 1024 创建名字为1024的VLAN

config vlan 1024 tag 1024 设置vlan 1024的VID为1024

config vlan 1024 add port 1 tagged设置1号端口为可通行vlan 1024标识的数据包

config vlan 1024 add port 24 untagged设置24号端口为用户端口

config vlan 1002 inputport 2 设置2号端口进出vlan 1002的数据包不加标识

config vlan 1003 inputport 3 设置3号端口进出vlan 1003的数据包不加标识

︰

︰

config vlan 10024 inputport 24 设置24号端口进出vlan 1024的数据包不加标识

!

!iproute config

ip route 0.0.0.0 0.0.0.0 172.17.130.1

!

!end of config ------------------------

（2）对中兴ZXR10 5928汇聚交换机的配置，配置的相关内容显示如下：

ZXR10#sh run

vlan 1 缺省VLAN

vlan 1002 创建VID为1002的VLAN

vlan 1003

︰

vlan 1024 创建VID为1024的VLAN

vlan 1025

︰

vlan 1724

vlan 1725 创建VID为1725的第K个VLAN

vlan 5 创建VID为5的第K+2个VLAN

vlan 651 创建VID为651的第K+1个VLAN

Super VLAN 将VID为651的VLAN设为Super VLAN

subvlan 1002-1745 将VID为1002-1725的VLAN设为SubVLAN

no proxy-arp 关闭ARP代理功能

no service password-encryption

service dhcp

ip dhcp pool vlan 651 配置VLAN651的DHCP服务功能

network 10.1.0.0 255.255.252.0将10.1.0.0—10.1.3.254的IP地址分配给

dns-server 218.2.135.1 VLAN651 Super VLAN里的用户使用

default-router 10.1.3.254

interface GigabitEthernet 0/1 交换机端口1配置成Trunk port

switchport mode trunk

interface GigabitEthernet 0/2 交换机端口2配置成Trunk port

switchport mode trunk

︰

︰

interface GigabitEthernet 0/24 交换机端口24配置成Trunk port

switchport mode trunk

interface GigabitEthernet 1/1 交换机光模端口1/1配置成Trunk port

switchport mode trunk

interface VLAN 5 配置普通VLAN 5网络的IP地址（即缺省网关）

ip address 192.168.1.1 255.255.255.0

interface VLAN 651 配置超级VLAN 651网络的IP地址（即缺省网关）

no ip proxy-arp 关闭IP ARP代理功能

ip address 10.1.3.254 255.255.252.0

end

（3）对中兴ZXR10 8905核心交换机的配置，配置的相关内容显示如下：

ZXR10#sh run

Vlan 1

Vlan 5 创建VID为5的VLAN

interface GigabitEthernet3/2 交换机光模端口3/2设置成Trunk port

switchport mode trunk

interface VLAN 5 设置普通VLAN 5网络的IP地址（即缺省网关）

ip address 192.168.1.2 255.255.255.0

ip route 10.1.0.0 255.255.252.0 192.168.

1.1 设置VLAN 5网络与超级网络VLAN 651互联的路由

设置完成后，保存各个交换机的配置，重新启动交换机，实验完成。

从上述配置内容可见对接入交换机的性能要求较低，适合大量使用功能简单，价格低廉的交换机。对核心交换机的配置也不需作大的改动，关键的部分在汇聚交换机上的超级VLAN与核心交换机之间的网络互联，由于Super VLAN技术不支持802.1Q协议，因此必须在汇聚交换机上创建一个普通VLAN作为跳板，将超级VLAN与核心交换机进行桥接达到网络之间的互联。

交换机经配置重新启动后，经过检测接入层交换机的任意端口均可正常上网使用。然后再用一根网线连接到接入交换机任意两端口上，或者用一根网线连接到普通交换机的两端口上，再用一根网线上联到接入交换机某一端口上，构建产生网络环路的环境。登入接入交换机查看，可见形成环路的端口并没发生环路，同时检测交换机其他端口均可正常上网。另外在同一个VLAN里的两台计算机互Ping对方的IP地址均不通。实验表明Super VLAN技术产生了隔离作用，有效的防止网络环路的发生，抑制了ARP攻击、DHCP欺骗等问题造成的网络故障，保障了网络的正常运行。

3 结束语

基于Super VLAN技术的网络组网方法与传统的三层网络（接入层、汇聚层、核心层）组网方法或使用QinQ技术的组网模式的方法相比较有以下有益效果：

（1）有效的解决了网络环路、ARP攻击、DHCP欺骗等问题造成的网络故障，提升了网络运行的质量。

（2）不改变传统的三层网络（接入层、汇聚层、核心层）组网方法的组织结构，保持了传统网络运行的灵活性和应用的多样性的特点，增强了网络的可靠性。

（3）由于该方法仅在网络汇聚层的网络设备更新换代成支持Super VLAN技术能力的三层交换机，减轻了传统网络接入层网络设备的性能要求，（接入交换机只承担用户接入和二层数据转发的功能，只需要提供基本的VLAN划分功能），维持使用原接入层和核心层网络设备，尤其是接入层网络设备即使在新建网络时仍可使用功能简单、价格低廉的交换机。极大的减少了网络新建或更新改造的投资费用。