supervlan实现不同vlan相同子网的通信

如何实现同⼀路由器不同vlan之间的通信？vlan划分配置⽅法VLAN(Virtual Local Area Network)的中⽂名为"虚拟局域⽹"。

VLAN是⼀种将局域⽹设备从逻辑上划分成⼀个个⽹段，从⽽实现虚拟⼯作组的新兴数据交换技术。

本⽂是⼩编带来如何实现同⼀路由器不同vlan之间的通信，⼤家可以参考了解下！第⼀步，看拓扑图。

先把pc上的ip都配好。

开始设置switch0：>en>conf t>vlan 2>exit>int fa 0/1>switchport access vlan 2>exit>int fa 0/2>switchport access vlan 2>exit>int fa 0/3>switchport mode trunk>endswitch1:>en>conf t>vlan 3>exit>int fa 0/1>switchport access vlan 3>exit>int fa 0/2>switchport access vlan 3>exit>int fa 0/3>switchport mode trunk>endRouter0:>enable>configure terminal>interface fastEthernet 0/0>no ip adderss //清除ip>no shutsown>exit>interface fastEthernet 0/0.1 //⼦接⼝设置>encapsulation dot1Q 2 //封装协议连到vlan 2 >ip address 192.168.0.1 255.255.255.0>exit>interface fastEthernet 0/1>no ip adderss //清除ip>no shutsown>exit>interface fastEthernet 0/1.1 //⼦接⼝设置>encapsulation dot1Q 3 //封装协议连到vlan 3 >ip address 192.168.1.1 255.255.255.0>endpc0 CMD:ping PC1ping PC 3。

Super-vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置⼀个IP地址，作为此VLAN的⽹关，以实现三层路由;此⽅法中，每个VLAN都是⼀个⼦⽹，⼦⽹号不能为主机所⽤，此⼦⽹需要分配⼀个IP地址作为⽹关，还有⼀个IP地址作为定向⼴播地址，如果VLAN 中的主机不需要那么多IP地址，那此⼦⽹内的剩余IP地址，也不能分配给其它VLAN的主机使⽤，造成极⼤的浪费。

就算是使⽤VLSM分配IP地址，每个VLAN也⾄少浪费三个IP地址，如果有⼏⼗或上百个VLAN,那会浪费⼤量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN⼜称VLAN聚合，其原理是⼀个Super VLAN包含多个Sub VLAN，每个Sub VLAN是⼀个⼴播域，不同Sub VLAN之间⼆层相互隔离。

Super VLAN可以配置三层接⼝，Sub VLAN不能配置三层接⼝。

当Sub VLAN内的⽤户需要进⾏三层通信时，将使⽤Super VLAN三层接⼝的IP地址作为⽹关地址，通过ARP 代理可以进⾏ARP 请求和响应报⽂的转发与处理，从⽽实现了⼆层隔离端⼝间的三层互通。

这样多个Sub VLAN共⽤⼀个IP⽹段，从⽽节省了IP地址资源。

Super VLAN只建⽴三层接⼝，不包含物理端⼝，可以看到成是⼀个逻辑的三层接⼝，若⼲sub-VLAN的集合。

sub-VLAN 则只包含物理端⼝，但不能建⽴三层VLAN虚接⼝.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各⾃的⽹关进⾏，但是现在所有的sub-vlan都属于同⼀个⽹段，则就处于不同的sub-vlan通信时，会认在同⼀个⽹段，会做⼆层转发，⽽不会进⾏三层转发，但是⼆层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决⽅法就是代理ARP。

代理ARP的⼯作原理：源主机认为⽬标主机与⾃⼰在同⼀⽹段，⼴播发送ARP请求。

关于不同vlan之间的通信的说法
不同VLAN之间的通信可以通过以下几种方式实现：
1. 通过路由器：在网络中引入一个路由器，将不同的VLAN 连接在路由器的不同接口上，路由器负责在不同的VLAN之间进行数据包的转发和路由操作，实现不同VLAN之间的通信。

2. 通过三层交换机：三层交换机具备部分路由功能，可以配置多个VLAN，每个VLAN之间可以进行互通。

三层交换机会根据目的IP地址进行数据包的转发，实现不同VLAN之间的通信。

3. 通过虚拟局域网(VLAN)间的互通：在一些高级交换机中，可以配置特定的端口作为Trunk端口，将多个VLAN绑定到一个Trunk端口上，实现不同VLAN的互通。

这种方式可以通过802.1Q协议进行VLAN标记，使得数据包在传输过程中保留VLAN信息。

需要注意的是，不同VLAN之间的通信需要在网络设备上进行相关的配置和合规，确保数据包可以正确地在不同的VLAN间转发。

此外，为了保证网络安全，还可以在路由器或交换机上配置访问控制列表(ACL)、虚拟专用网络(VPN)等安全措施，限制不同VLAN之间的通信。

关于PVLAN和Super VLANPVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

Sub VLAN主机的三层通信原理Sub VLAN主机的三层通信原理在此篇文章（/net/201207/143648.html ）中，笔者介绍了H3C交换机Spuer VLAN的聚合原理，本节接着要介绍Super VLAN中的Sub VLAN （从VLAN）间主机的三层通信原理。

20.3.2 Sub VLAN主机的三层通信原理我们在前面已说到，Super VLAN（也就是VLAN聚合）方案中，在实现不同Sub VLAN 间共用同一子网网段地址的同时也带来了Sub VLAN间的三层转发问题。

因为在普通VLAN中，VLAN间的主机可以通过各自不同的网关（也就是它们自己的VLAN 接口IP地址）进行三层转发来达到互通的目的。

但是在Super VLAN方案中下，各Sub VLAN是不允许配置VLAN接口IP地址的，同一个Super VLAN内的所有主机使用的是同一个网段的地址和共用同一个网关地址，即使是属于不同的Sub VLAN的主机。

由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。

而实际上不同的Sub VLAN的主机在二层又是相互隔离的（这是继承普通VLAN的属性），这就造成了Sub VLAN间无法通信（包括二层通信和三层通信）的问题。

解决这一问题的方法就是使用ARP代理。

下面具体进行介绍。

1. 不同Sub VLAN间的三层互通 例如，如图20-7所示的网络中，Super VLAN（VLAN 10）包含Sub VLAN（VLAN 2和VLAN 3）。

VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址为1.1.1.1/24。

VLAN 2内的主机A与VLAN 3内的主机B的通信过程如下：（假设主机A的ARP 表中没有主机B的对应ARP表项，并且在担当网关的交换机上启用了Sub VLAN 间的ARP代理功能）。

图20-7 通过ARP代理实现不同Sub VLAN间三层互通的示例（1）主机A将主机B的IP地址（1.1.1.3）和自己所在网段1.1.1.0/24进行比较，发现主机B和自己在同一个子网，但是主机A的ARP表中没有主机B的对应表项，于是主机A发送ARP广播，请求主机B的MAC地址。

如何实现交换机不同VLAN、不同⽹段之间互访？⼀、同⼀个vlan中，不同⽹段的主机如何互通
同⼀个vlan，不同⽹段的主机如何互通，这个在⼩型⽹络中⽤的⽐较多，我们⼀起来看案例。

1、拓扑图
要求：实现拓扑图中，两个主机之间互访，他们同属于⼀个vlan
要求：
2、案例交换机配置(以华为交换机为例）
1）任意创建vlan，这⾥演⽰vlan100
2）进⼊vlan100配置IP，注意第⼆个IP后⾯加sub
3）配置PC所连的交换机接⼝为vlan100，实现通信
3、测试192.168.1.1 ping 192.168.2.1通信正常
⼆、不同vlan的主机之间互访
不同vlan之间的互访在很多的项⽬都有应⽤，我们⼀起来看下。

1、拓扑图
要求：实现拓扑图中两个不同vlan的主机，它们可以互访。

2、案例配置
1）交换机1（LSW1)划分vlan，加⼊端⼝。

2）交换机2(LSW2)划分vlan
3）LSW1配置hybrid接⼝，数据包出交换机的时候移除标签后再转发，当接收对端发送过来的数据包就打上默认PVID号。

4）LSW2同理
3、测试192.168.1.2 ping 192.168.1.1，通信正常。

不同VLAN之间相互通信的两种方式
VLAN （虚拟局域网）可以将网络拆分成不同的逻辑网络，从而提高网络的安全性和管理性。

然而，不同VLAN之间相互通信也是必须的，这种通信方式可以通过以下两种方式实现：
1. 路由器汇聚
路由器汇聚是一种将不同VLAN之间交换数据的方法。

在该配置下，路由器在连接不同VLAN的交换机之间，每个VLAN都有一个不同的网络地址和网络子网，所以路由器可以将它们连接起来。

这种方式可以提高安全性，避免不同VLAN之间的网络拓扑结构受到攻击，同时还可以高效地利用带宽资源。

2. 交换机层三功能
交换机层三功能是一种在交换机上开启IP路由功能的方法。

在该方法中，交换机可以在不同的VLAN之间转发数据。

该方法的优点之一是能够提高传输效率，因为数据不需要通过路由器转发，也不会在不同的子网之间反复跳转。

然而，这种方法可能会增加网络复杂性，并且可能会被黑客利用，从而威胁整个网络的安全。

总的来说，不同VLAN之间相互通信可以通过路由器汇聚和交换机层三功能两种方式实现。

虽然都有各自的优点和缺点，但根据实际情况选择最适合自己的方法是至关重要的。

关于PVLAN和Super VLANPVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。

SuperVlan技术方案现根据业务需求，需要在B8_55分配的一个IP段，且需要对广播域进行隔离，H3C可以采用Supervlan-Subvlan隔离广播域，客户的主机都在subvlan内，每台主机的子网掩码和网关IP与Supervlan定义的相同。

同时subvlan中的广播包和未知流量都局限在内部，保留各自独立的广播域，不会跨越subvlan边界，有效地隔离vlan间的流量，避免广播风暴的产生。

技术说明：Super VLAN在实现不同VLAN间共用同一子网网段地址的同时，也给sub-VLAN间的三层转发采用的是ARP代理。

原本在三层交换机上，VLAN间是可以通过走各自不同的上行网关进行三层转发的。

但是super-VLAN内的主机使用的是同一个网段的地址，共用同一个上行网关，即使是属于不同的sub-VLAN的主机，由于其地址同属一个子网，设备会认为它们是二层互通的，会做二层转发，而不会送网关进行三层转发。

而实际上sub-VLAN间在二层是相互隔离的，这就需要在super VLAN上设置ARP代理。

Super VLAN与trunk端口的相互影响：Super VLAN中是不存在物理端口的，这种限制是强制的，表现在：如果先配好了Super VLAN，在配置trunk端口时，trunk的VLAN allowed 项里就自动滤除了Super VLAN。

即使trunk允许所有VLAN通过，VLAN passing 项里也永远不会有Super VLAN。

如果先配好了trunk端口，并permit VLAN all，则在此设备上将无法配置Super VLAN。

本质原因是有物理端口的VLAN都不能被配置为Super VLAN。

而permit VLAN all的trunk端口是所有VLAN的tagged端口，当然任何VLAN都不能被配置为Super VLAN。

下图是H7-BGP_55与B8_55的组网拓扑图：拓扑说明：1）Supervlan：Vlan10，只提供逻辑端口，不包含成员端口，提供段内的网关和子网掩码；2）Subvlan：vlan2和vlan3，共同属于supervlan10，应用到端口，提供给客户服务器，subvlan之间可以相互通信；3）拓扑中通过互联地址（vlan 100），配置静态路由从H7-BGP_55将路由下放至B8_55，在B8_55配置Supervlan。

实现相同VLAN间通信和不同VLAN间通信原理1. 引言VLAN（Virtual Local Area Network）是一种在局域网中实现逻辑划分的技术，它能够将一个物理网络划分成多个逻辑上的独立网络，从而实现不同网络设备的管理和隔离。

在实际网络中，我们需要实现不同VLAN间的通信以及相同VLAN间的通信，接下来我们将深入探讨这两种通信的原理和实现方式。

2. 相同VLAN间通信的原理在同一个VLAN中的设备能够直接通信的原理主要是基于二层交换机的学习和转发功能。

当设备发送数据包时，源MAC位置区域和VLAN ID被交换机记录在其转发表中，当其他设备发送数据包到同一VLAN中的目的设备时，交换机会根据转发表将数据包直接转发给目的设备。

3. 实现相同VLAN间通信要实现相同VLAN间的通信，首先需要确保这些设备都已经配置在同一个VLAN下。

需要确保二层交换机已经学习并记录了这些设备的MAC位置区域。

只需简单地发送数据包，交换机会自动根据学习到的MAC位置区域进行转发，从而实现相同VLAN间的通信。

4. 不同VLAN间通信的原理在不同VLAN间通信的实现中，通常会用到交换机的路由功能，这是因为不同VLAN之间是隔离的，需要通过路由器进行通信。

路由器能够实现不同VLAN间的通信是因为路由器具有三层转发功能，它能够根据IP位置区域对数据包进行转发，而不是像二层交换机一样只能根据MAC位置区域进行转发。

5. 实现不同VLAN间通信要实现不同VLAN间的通信，首先需要在路由器上创建不同的子接口，并为每个子接口分配一个IP位置区域，这些IP位置区域分别属于不同的子网。

接着需要在交换机上配置端口的Trunk模式，以便将多个VLAN的数据包传输到路由器上。

需要在路由器上配置VLAN间的路由策略，使得不同VLAN之间的数据包可以互相转发。

这样就能够实现不同VLAN间的通信了。

6. 总结与回顾通过本文的讨论，我们了解了相同VLAN间通信和不同VLAN间通信的原理和实现方式。

SUPERVLAN基本介绍一、SuperVlan的概念同一交换机上的不同vlan共用一个路由虚接口ip地址，这些vlan不再单独配置虚接口ip地址，它们包含在supervlan内，称作subvlan，而supervlan可以配置虚接口。

二、为什么要使用SuperVlan？主要目的是节省ip地址：使用了SuperVlan后，不需要再为每个vlan都配置路由虚接口，只要在它们SuperVlan上配置路由虚接口即可，这样也能实现vlan之间的三层互通．三、S upervlan与subvlan的特点：Supervlan对应一个网段Supervlan内不允许加入端口Subvlan不允许配置虚接口四、S upervlan与subvlan关系的建立将subvlan加入supervlan过程，通过函数L2INF_AddSubVlan2SuperVlan实现：如果supervlan配置了ip地址,则要为subvlan获取RDHandle(路由句柄)过程如下:获取subvlan端口,并将其加入supervlan获取subvlan的RDHandle,即取出一个空的RDHandle分配给subvlan获取RDHandle对应的虚接口的mac申请一新的路由接口结构pRoutIntf获取supervlan的虚接口对应的路由信息,如ip地址,掩码等,并把它们填入subvlan的pRoutIntf结构中,同时还要把subvlan的RDHandle写入其中.虽然subvlan不允许配置三层虚接口，但是在内部的实现上subvlan与它的supervlan有共同的三层虚接口结构，即supervlan的虚接口结构。

五、同一Supervlan的不同Subvlan之间是如何互通的？这个过程是通过ProxyArp实现的：ProxyArp处理arp报文的过程如下：1、如果接收到的是arp请求报文，查找现有的arp表，如果找到了目的ip并且已经解析，则构造应答报文，直接应答，应答报文中源ip =请求报文的目的ip，源mac=请求报文输入的subvlan接口mac，目的mac=请求报文的源mac，目的ip=请求报文的源ip；如果没有找到目的ip或找到了还没有解析成功，则向每个subvlan分别发送arp请求报文（在每个subvlan内广播arp请求报文），请求报文中源ip=supervlan的虚接口ip，源mac=subvlan的接口mac，目的ip=请求报文中的目的ip，目的mac=请求报文中的目的mac；2、如果接收到的是arp应答报文,向所有接收报文中源ip的请求者发送应答报文，应答报文源ip=接收报文源ip，源mac=arp请求报文输入的subvlan 接口mac，目的ip=arp请求报文发送者的ip，目的mac=arp请求报文发送者的mac；六、相关的配置命令行1、 VLAN模式下，配置VLAN类型为Supervlan[undo] supervlan例如将vlan2设为supervlan：[Quidway-vlan2]supervlan如果一个vlan内有端口存在，则不能将其配置成supervlan，supevlan内是不能包含端口的2、 VLAN模式下，Supervlan中加入Subvlan[undo] subvlan vlan-id [to vlan-id-end]例如将vlan3做为subvlan加入supervlan2：[Quidway-vlan2]subvlan 3subvlan不能配置三层虚接口只要supervlan启用了三层虚接口，它的ProxyArp就是默认打开的，不允许关闭。

H3C交换机supervlan技术详解2009-11-14 16:36Super VLAN又称为VLAN聚合（VLAN Aggregation），是一种节省VLAN接口及IP地址的三层VLAN技术，其原理是一个Super VLAN包含多个SubVLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要在Super vlan 开启ARP代理功能。

通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

当设置vlan类型为super vlan 后，该vlan接口上的arp代理自动开启，无需配置，且不能关闭。

super vlan可以节省IP地址，让不同VLAN的网关使用同一个IP，在交换网络环境中引进Sub VLAN和Super VLAN，它们是一种可以实现IP地址划分的更加优化的途径。

它通常将多个不同的VLAN划分至同一IP子网，而不是每个VLAN单独占用一个子网，然后将整个IP子网指定为一个VLAN聚合（Super VLAN），它包含整个IP子网内的所有VLAN（Sub VLAN）。

而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的.super vlan 可以实现同一个VLAN 内的端口间的隔离,实质上不同的Sub VLAN仍保留各自独立的广播域，而一个或多个Sub VLAN同属于一个Super VLAN，并且都使用Super VLAN的接口地址为默认网关IP地址。

H3C交换机supervlan技术详解2009-11-14 16:36Super VLAN又称为VLAN聚合（VLAN Aggregation），是一种节省VLAN接口及IP地址的三层VLAN技术，其原理是一个Super VLAN包含多个SubVLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要在Super vlan 开启ARP代理功能。

通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

当设置vlan类型为super vlan后，该vlan接口上的arp代理自动开启，无需配置，且不能关闭。

super vlan可以节省IP地址，让不同VLAN的网关使用同一个IP，在交换网络环境中引进Sub VLAN和Super VLAN，它们是一种可以实现IP地址划分的更加优化的途径。

它通常将多个不同的VLAN划分至同一IP子网，而不是每个VLAN单独占用一个子网，然后将整个IP子网指定为一个VLAN聚合（Super VLAN），它包含整个IP子网内的所有VLAN（Sub VLAN）。

而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的.super vlan 可以实现同一个VLAN 内的端口间的隔离,实质上不同的Sub VLAN仍保留各自独立的广播域，而一个或多个Sub VLAN同属于一个Super VLAN，并且都使用Super VLAN 的接口地址为默认网关IP地址。

4 VLAN聚合配置关于本章通过配置VLAN聚合，可实现不同VLAN相同网段间的互通，进而节约IP地址资源。

4.1 VLAN聚合简介介绍VLAN聚合的定义、目的。

4.2 VLAN聚合原理描述介绍VLAN聚合的实现原理。

4.3 VLAN聚合应用场景4.4 VLAN聚合缺省配置介绍VLAN聚合参数的缺省配置。

4.5 VLAN聚合配置注意事项介绍VLAN聚合的配置注意事项。

4.6 配置VLAN聚合VLAN聚合解决了IP地址资源浪费问题，同时可实现不同VLAN间通信。

4.7 VLAN聚合配置举例介绍VLAN聚合的配置实例。

配置实例中包括组网需求、配置思路、操作步骤等。

4.1 VLAN聚合简介介绍VLAN聚合的定义、目的。

定义VLAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关。

目的交换网络中，VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。

但是在一般的路由器中，通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。

因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。

例如，如图4-1所示的VLAN规划中，VLAN2预计未来有10个主机地址的需求，但按编址方式，至少需要给其分配一个掩码长度是28的子网10.1.1.0/28，其中10.1.1.0为子网号，10.1.1.15为子网定向广播地址，10.1.1.1为子网缺省网关地址，这三个地址都不能用作主机地址，剩下范围在10.1.1.2～10.1.1.14的地址可以被主机使用，共13个。

不同VLAN相互通信配置方法教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时需要两台服务器相互通信，所在还需要在3550上配置VLAN间相互通信，下面一起看看!本实验需求：通过在cisco catalyst 3550来规划VLAN 100 和VLAN 200，并且配置DHCP 让VLAN100人事部计算机获得IP地址为192.168.0.0/24，让VLAN200市场部计算机获得IP地址为172.16.0.0/24。

因为市场部和人事部因为业务上的关系，需要两台服务器相互通信，所在还需要在3550上配置VLAN间相互通信。

实验拓扑：实验过程第一步配置Catalyst 3550基础配置复制代码代码如下:Switch>Switch>enableSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#host 35503550(config)#no ip do lo3550(config)#line con 03550(config-line)#no exec-t3550(config-line)#logg syn3550(config-line)#exit第二步在Catalyst 3550 划分VLAN 100和VLAN 200 //进入全局配置模式下，划分VLAN(请问catalyst 3500支持在全局模式下划分VLAN吗?)复制代码代码如下:3550(config)#vlan 100//给VLAN100命名3550(config-vlan)#name renshibo3550(config-vlan)#int f0/133550(config-if)#switchport mode access3550(config-if)#switchport access vlan 1003550(config-if)#spanning-tree portfast//请问什么时候需要在交换机接口下配置portfast?这里如果不配置可以吗?%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc... to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/13 but will onlyhave effect when the interface is in a non-trunking mode.3550(config-if)#vlan 2003550(config-vlan)#name shichangbo3550(config-vlan)#int f0/153550(config-if)#sw mo acc3550(config-if)#sw acc vlan 2003550(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc... to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/15 but will onlyhave effect when the interface is in a non-trunking mode.//验证VLAN的配置3550#show vlan briefVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/10, Fa0/11, Fa0/12Fa0/14, Fa0/16, Fa0/17, Fa0/18Fa0/23, Gi0/1, Gi0/2100 renshibo active Fa0/13200 shichangbo active Fa0/151002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsup第三步配置SVI(交换虚拟接口)复制代码代码如下:3550#conf tEnter configuration commands, one per line. End with CNTL/Z.//进入VLAN 100 虚拟接口下3550(config)#int vlan 100//增加接口描述，以便将来排错更加方便3550(config-if)#description Connection to renshibo//这里配置的IP地址就是人事部PC的默认网关地址，如果VLAN 接口不配置IP地址，后面的DHCP配置中，PC能否获得IP地址吗??3550(config-if)#ip add 192.168.0.1 255.255.255.03550(config-if)#no sh3550(config-if)#int vlan 20000:13:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up3550(config-if)#description Connection to shichangbo3550(config-if)#ip add 172.16.0.1 255.255.255.03550(config-if)#no sh3550(config-if)#3550#conf t//开启catalyst 3550三层交换路由功能(默认是关闭的)请问cisco catalyst那些型号交换机是三层交换机?3550(config)#ip routing3550(config)#exit3550#sh ip route//两条直连路由条目Codes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 1 subnetsC 172.16.0.0 is directly connected, Vlan200C 192.168.0.0/24 is directly connected, Vlan100Designated bridge has priority 32768, address ccd1.0a80.0000Designated port id is 129.65, designated path cost 0Timers: message age 0, forward delay 0, hold 0Number of transitions to forwarding state: 1BPDU: sent 993, received 92第四步在Catalyst 3550上配置DHCP，以便于VLAN100和VLAN200下客户端获得IP地址，掩码，网关，DNS等复制代码代码如下://全局下打开DHCP服务.默认是开启的吗?那为什么还要需要开启了?3550(config)#service dhcp//关闭dhcp 客户端IP冲突日志记录信息3550(config)#no ip dhcp conflict logging//配置地址池名称，地址池名称为任意字符(这里定义的名字VLAN的名称)3550(config)#ip dhcp pool renshibo//配置PC所获得网段地址范围，和掩码，(这里有几种命令语句格式)(network 192.168.0.0 255.255.255.0)3550(dhcp-config)#network 192.168.0.0 /24//配置网关地址3550(dhcp-config)#default-router 192.168.0.1//配置DNS(域名解析服务器)可选配置请问什么时候PC需要配置DNS地址?局域网通讯需要吗?3550(dhcp-config)#dns 218.30.19.40 61.134.1.4//配置域名3550(dhcp-config)#domain-name //配置地址租期为永久3550(dhcp-config)#lease infinite3550(dhcp-config)#exit//配置排除的IP地址范围，不从地址池内分配的地址，不配置排除地址可以吗?3550(config)#ip dhcp excluded-address 192.168.0.13550(config)#ip dhcp pool shichangbo3550(dhcp-config)#network 172.16.0.0 /243550(dhcp-config)#default-router 172.16.0.13550(dhcp-config)#dns 218.30.19.40 61.134.1.43550(dhcp-config)#domain-name 3550(dhcp-config)#lease infinite3550(dhcp-config)#exit3550(config)#ip dhcp excluded-address 172.16.0.1第五步在市场部PC上验证是否能从catalyst 3550获得IP地址, 如图：开始-运行-cmd-ipconfig /allimage第六步在Catalyst 3550查看PC获得的IP地址是否正确复制代码代码如下://查看DHCP绑定信息3550#sh ip dhcp bindingIP address Client-ID/ (MAC地址) Lease expiration TypeHardware address172.16.0.2 0100.16d3.249f.fd Infinite Automatic192.168.0.2 0100.1641.15e8.5c Infinite Automatic第七步在交换机测试是否可以ping通市场部和人事部PC复制代码代码如下:3550(config)#exit3550#00:26:41: %SYS-5-CONFIG_I: Configured from console by console3550#ping 172.16.0.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms3550#ping 192.168.0.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms第八步在市场部PC上用ping命令测试是否可以ping通VLAN100(人事部) 下PC 如图：测试结果如下，可以ping通，实验现象成功!补充：交换机常见故障解决通过观察初步定为故障，一般如果设备正常，而且线路连接也正常，则交换机指示灯会亮绿色并且一闪一闪的。

华三supervlan原理
华三Super VLAN又称为VLAN聚合，其原理是将一个Super VLAN和多个Sub VLAN关联。

在Super VLAN中，只建立三层VLANif接口作为不
同VLAN的网关，不包含物理接口。

Sub VLAN只包含物理接口，无VLANif三层接口，隔离广播域。

Super VLAN的作用是作为一个三层网关，使得不同的Sub VLAN内的主机可以共用一个或多个网关。

在Super VLAN中，可以为不同的VLAN分配相同的网段和相同的VLANif 接口，只需一个VLANif接口作为不同VLAN的共同网关，从而节约IP地
址资源。

在Sub VLAN中，所有端口共用Super VLAN的VLAN接口IP地址作为默认网关。

不同Sub VLAN之间由于广播隔离，无法直接互通，此时需要在Super VLAN上开启ARP代理（Vlan间的ARP代理），实现不同VLAN间的通信。

以上信息仅供参考，如需了解更多信息，建议查阅华为官方网站或咨询网络技术人员。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。