Super-vlan技术详解

Super-vlan技术详解
在传统的VLAN间路由中，我们需要每个VLAN配置⼀个IP地址，作为此VLAN的⽹关，以实现三层路由;此⽅法中，每个VLAN都是⼀个⼦⽹，⼦⽹号不能为主机所⽤，此⼦⽹需要分配⼀个IP地址作为⽹关，还有⼀个IP地址作为定向⼴播地址，如果VLAN 中的主机不需要那么多IP地址，那此⼦⽹内的剩余IP地址，也不能分配给其它VLAN的主机使⽤，造成极⼤的浪费。

就算是使⽤VLSM分配IP地址，每个VLAN也⾄少浪费三个IP地址，如果有⼏⼗或上百个VLAN,那会浪费⼤量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN⼜称VLAN聚合，其原理是⼀个Super VLAN包含多个Sub VLAN，每个Sub VLAN是⼀个⼴播域，不同Sub VLAN之间⼆层相互隔离。

Super VLAN可以配置三层接
⼝，Sub VLAN不能配置三层接⼝。

当Sub VLAN内的⽤户需要进⾏三层通信时，将使⽤Super VLAN三层接⼝的IP地址作为⽹关地址，通过ARP 代理可以进⾏ARP 请求和响应报⽂的转发与处理，从⽽实现了⼆层隔离端⼝间的三层互通。

这样多个Sub VLAN共⽤⼀个IP⽹段，从⽽节省了IP地址资源。

Super VLAN只建⽴三层接⼝，不包含物理端⼝，可以看到成是⼀个逻辑的三层接⼝，若⼲sub-VLAN的集合。

sub-VLAN 则只包含物理端⼝，但不能建⽴三层VLAN虚接⼝.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各⾃的⽹关进⾏，但是现在所有的sub-vlan都属于同⼀个⽹段，则就处于不同的sub-vlan通信时，会认在同⼀个⽹段，会做⼆层转发，⽽不会进⾏三层转发，但是⼆层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决⽅法就是代理ARP。

代理ARP的⼯作原理：
源主机认为⽬标主机与⾃⼰在同⼀⽹段，⼴播发送ARP请求。

与源主机⽹络相连的⽹关已经使能ARP PROXY功能，如果存在到达⽬的主机的正常路由，则代替⽬的主机REPLY⾃⼰接⼝的MAC地址；
源主机向⽬的主机发送的IP报⽂都发给了路由器；
路由器对报⽂做正常的IP路由转发；
发往⽬的主机的IP报⽂通过⽹络，最终到达⽬的主机。

三层通信原理
PC1:192.168.10.10 MAC=PC1MAC与PC2：192.168.10.20 MAC=PC2MAC的通信过程:
⾸先PC1与PC2通信，通过对⽅IP和⾃⼰的⼦⽹掩码进⾏与运算，发现在同⼀个⽹段，所以⼴播发送ARP请求(DMC=FFF:FFF:FFF，SMAC=PC1MAC,ARP字段中SMAC=PC1MAC,SIP=192.168.10.10 DMAC=000:000:000 DIP=192.168.10.20),SW2收到后学习SMAC（PC1MAC），同时向VLAN10 ⾥⼴播，SW3收到后也学习SMAC（PC1MAC），同时向VLAN10⾥⼴播，并抄送⼀份给接⼝板的ARP模块，经过接⼝板ARP的分析，发现它来⾃SubVLAN，就将此ARP请求报⽂交给主控板ARP模块处理。

主控板ARP⾸先在ARP表中查找ARP请求报⽂中的⽬的IP地址，假如找到对应项，看看⽬的IP地址是不是在SubVLAN10中，是就丢弃该报⽂，不是就将SuperVLAN5的MAC地址应答给PC1，完成代理⼯作
（DMC=PC1MAC，SMAC=VLAN5MAC,ARP字段
SMAC=VLAN5MAC,SIP=192.168.10.10,DMAC=PC1MAC,DIP=192.168.10.20）。

　假如在ARP表中没有找到对应项，主控板ARP就查VLAN聚合与VLAN的逻辑映射表，知道Sub-VLAN10属于Super-VLAN5，将此报⽂中的源MAC地址替换成SuperVLAN5的MAC地址，VLAN ID的值由10分别替换成属于SuperVLAN3的其它Sub-VLAN的值，之后逐个向属于此SuperVLAN的其它Sub-VLAN（本例中为Sub-VLAN20）⼴播，并同时将此请求报⽂中的信息学习加⼊动态ARP表中。

此后若收到
PC2的ARP应答报⽂（其⽬的MAC地址为Super-VLAN5的MAC地址），主控板ARP模块发现此ARP应答报⽂的VLAN ID是Sub-VLAN20，即PC2位于Sub-VLAN20中，主控板CPU根据应答报⽂中的信息，搜索ARP表中的各项，找到对应项后把SuperVLAN5对应的MAC地址通过ARP应答报⽂回给PC1（若PC2位于Sub-VLAN10，PC2响应的ARP应答报⽂直接通过⼆层转发回给PC1，交换机就不再应答）。

同时在接⼝板上将SubVLAN20中的响应报⽂信息记录在ARP表及FIB表中，以后再收到来⾃主机X的报⽂就可以通过查询FIB表进⾏三层转发了。

⼆层通信原理
因为super-vlan并不包含物理端⼝，是⼀个逻辑的三层接⼝，所以实际上不会有带有super-vlan的VLAN标记的报⽂。

就算是有super-vlan的VLAN标记的报⽂过来，但由于trunk上不允许super vlan的VLAN标记的报⽂通过。

所以⼆层通信与原来的通信是⼀样的。

与外部PC通信原理
PC1=192.168.1.10/24 MAC=PC1MAC PC3=1.1.1.10/24 MAC=PC3MAC
⾸先PC1与PC3通信，通过⽬标IP与PC1的⼦⽹掩码进⾏与运算，发现不在同⼀个⽹段，则应该将数据发送给⽹关，在ARP缓存表查询⽹关MAC（192.168.10.1的MAC）,若没有，则发送ARP请求，与前⾯⼀样。

得到⽹关MAC后，将数据发给⽹关，⽹关收到后，拆⼆层封装，以⽬标IP查询FIB表，发现应从e1/0/3发出，同时从该接⼝发送ARP请求请求PC3MAC,PC3收到后回复，数据包重新封装从该接⼝发出。

当PC3回复数据时，正常转发到e1/0/3，查询FIB表，发现⽬标主机PC1对应的出接⼝为super-vlan5,但是VLAN5中没有包含任何物理端⼝，那么就不能转发出去，但是尽管在FIB表中192.168.1.0/24出接⼝为super-VLAN5，但是在ARP表中IP地址192.168.1.10对应的出接⼝却为sub-VLAN 10，真正⽤来构建转发表时所⽤的出接⼝应该是ARP表中对应的sub-VLAN接⼝，这样就可以通过在sub-VLAN下查找⽬的MAC找到正确的出端⼝。

于是，PC3的回应报⽂就能正常到达主机PC1了。

H3C配置命令：
<h3c> system-view //进⼊系统视图[H3C] vlan 5 //进⼊VLAN视图[H3C-
vlan5] supervlan //配置当前VLAN为Super VLAN [H3C-vlan5] vlan 10 //创建Sub VLAN[H3C-vlan10] port ethernet1/0/1 //向Sub VLAN中添加以太⽹端⼝。

port 命令只适⽤于将access端⼝加⼊sub vlan。

如果需要将trunk端⼝和hybrid端⼝加⼊sub vlan，只能通过以太⽹端⼝视图下的port trunk permit vlan和port hybrid vlan命令实现
[H3C-vlan10] vlan 20[H3C-vlan20] port ethernet1/0/2
[H3C-vlan20] vlan 5 //进⼊Super VLAN的VLAN视图[H3C-vlan5] subvlan 10 20 //创建Super VLAN与Sub VLAN间的映射关系[H3C-vlan10] interface vlan 10 [H3C-Vlan-interface10]ip address 192.168.10.1 24
思科交换机VLAN配置
switch# configure //进⼊全局配置模式 switch(config)# vlan vlan-id //进⼊ VLAN 配置模式 switch(config-vlan)# supervlan //打开 SuperVLAN的功能
缺省情况下，Super VLAN功能是关闭的，使⽤ no supervlan 可以关闭已经打开
得 supervlan 的功能。

switch(config-vlan)# subvlan vlan-id-list //指定若⼲个 sub vlan 并把它们加⼊
super vlan 中。

switch(config-vlan)# exit //退出到全局模式
设置 Super VLAN 的虚拟接⼝
switch# configure //进⼊配置模式 switch(config)# interface vlan vlan-id //进
⼊ SVI 模式 switch(config-vlan)# ip address ip mask //设置虚拟接⼝的 IP 地
址 switch(config-vlan)# end //回到特权模式
打开ARP代理功能，默认是开启的switch# configure //进⼊配置模
式 switch(config)# vlan vlan-id //进⼊ VLAN模式 switch(config-vlan)# proxy-arp //打
开 VLAN的 ARP 代理功能
注意事项：
Trunk端⼝会过滤掉super-vlan。

Super VLAN不能做为其它Super VLAN的Sub VLAN。

Super VLAN不能当正常的1Q vlan来使⽤。

VLan 1不能作为SuperVLAN。

Sub VLAN不能配置为⽹络接⼝，不能配置IP地址。

SVLAN不能使⽤VRRP，不⽀持多播。

基于Super VLAN接⼝的ACL和QOS配置不对Sub VLAN⽣效。

每⼀个Super VLAN可以和127个Sub VLAN建⽴映射关系。

系统最多允许建⽴1024个Sub VLAN。