SuperVLAN原理与配置

1Super VLAN 产生的背景在LanSwitch网络中，VLAN技术以其对广播域的灵活控制（可跨物理设备）、部署方便而得到了广泛的应用。

但是在一般的三层交换机中，通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的，这在某些情况下导致了对IP地址的较大浪费。

我们来看下面这个例子，设备内VLAN划分如图1所示。

图1 普通VLAN网络示意图表1 普通VLAN主机地址划分示例VLAN IP Subnet GatewayAddressUsableHostsCustomerHostsNeededHosts21 1.1.1.0/28 1.1.1.1 14 13 1022 1.1.1.16/29 1.1.1.17 6 5 523 1.1.1.24/30 1.1.1.25 2 1 1表1列出了地址的划分情况。

VLAN 21预计未来要有10个主机，给其分配一个掩码长28的子网——1.1.1.0 /28。

网段内子网号1.1.1.0和子网定向广播地址1.1.1.15不能用作主机地址，1.1.1.1作为子网缺省网关地址也不可作为主机地址，剩下地址范围在1.1.1.2～1.1.1.14的主机地址可以被主机使用，这部分地址共有13个（）。

这样，尽管VLAN 21只需要10个地址就可以满足需求了，但是按照子网划分却要分给它13个地址。

依此类推，VLAN 22预计未来有5个主机地址需求，至少需要分配一个29位掩码的子网（1.1.1.16 /29）才能满足要求。

VLAN 23只有1个主机，则占用子网1.1.1.24 /30。

这三个VLAN总共需要10+5+1＝16个地址，按照普通VLAN的编址方式，即使最优化的方案也需要占用个地址，地址浪费了将近一半。

而且，如果VLAN 21后来并没有增长到10台主机，而只增长到了3台主机，本来分一个掩码长29的子网就够用了，但之前却分了一个子网掩码长28的子网给它，多出来的地址都因不能再被其他VLAN使用而被浪费掉了。

1 配置Super VLAN功能Super VLAN功能的配置包括三个必选步骤：(1)配置Sub VLAN，主要是创建Sub VLAN。

(2)配置Super VLAN，主要是创建Super VLAN，并将Super VLAN和Sub VLAN关联起来。

(3)配置Super VLAN对应的VLAN接口，该接口主要用于接入用户和Sub VLAN之间的通信。

1. 配置Sub VLAN表2-1 配置Sub VLANisolated-vlan enable命令的支持情况与设备的型号有关，请以设备的实际情况为准。

2. 配置Super VLAN表2-2 配置Super VLAN3. 配置Super VLAN对应的VLAN接口表2-3 配置Super VLAN对应的VLAN接口●以上步骤中配置的VLAN接口的IP地址就是对应的Super VLAN的IP地址。

●本地代理ARP功能的相关介绍请参见“三层技术-IP业务配置指导”中的“代理ARP”；local-proxy-arp enable命令的相关描述请参见“三层技术-IP业务命令参考”中的“代理ARP”。

●如果某个VLAN被指定为Super VLAN，则该VLAN不能被指定为某个端口的Guest VLAN；同样，如果某个VLAN被指定为某个端口的Guest VLAN，则该VLAN不能被指定为Super VLAN。

Guest VLAN的相关内容请参见“安全配置指导”中的“802.1X”。

●在Super VLAN下可以配置二层组播功能，但是该配置将不会生效。

●在Super VLAN对应的VLAN接口下可以配置DHCP、三层组播、动态路由、NAT等功能，但是只有DHCP的配置生效，其它配置将不会生效。

●在Super VLAN对应的VLAN接口下配置VRRP功能后，会对网络性能造成影响，建议不要这样配置。

VRRP的详细描述请参见“可靠性配置指导”中的“VRRP”。

●在Sub VLAN对应的VLAN接口下配置不能配置子接口。

SUPERVLAN基本介绍一、SuperVlan的概念同一交换机上的不同vlan共用一个路由虚接口ip地址，这些vlan不再单独配置虚接口ip地址，它们包含在supervlan内，称作subvlan，而supervlan可以配置虚接口。

二、为什么要使用SuperVlan？主要目的是节省ip地址：使用了SuperVlan后，不需要再为每个vlan都配置路由虚接口，只要在它们SuperVlan上配置路由虚接口即可，这样也能实现vlan之间的三层互通．三、S upervlan与subvlan的特点：Supervlan对应一个网段Supervlan内不允许加入端口Subvlan不允许配置虚接口四、S upervlan与subvlan关系的建立将subvlan加入supervlan过程，通过函数L2INF_AddSubVlan2SuperVlan实现：如果supervlan配置了ip地址,则要为subvlan获取RDHandle(路由句柄)过程如下:获取subvlan端口,并将其加入supervlan获取subvlan的RDHandle,即取出一个空的RDHandle分配给subvlan获取RDHandle对应的虚接口的mac申请一新的路由接口结构pRoutIntf获取supervlan的虚接口对应的路由信息,如ip地址,掩码等,并把它们填入subvlan的pRoutIntf结构中,同时还要把subvlan的RDHandle写入其中.虽然subvlan不允许配置三层虚接口，但是在内部的实现上subvlan与它的supervlan有共同的三层虚接口结构，即supervlan的虚接口结构。

五、同一Supervlan的不同Subvlan之间是如何互通的？这个过程是通过ProxyArp实现的：ProxyArp处理arp报文的过程如下：1、如果接收到的是arp请求报文，查找现有的arp表，如果找到了目的ip并且已经解析，则构造应答报文，直接应答，应答报文中源ip =请求报文的目的ip，源mac=请求报文输入的subvlan接口mac，目的mac=请求报文的源mac，目的ip=请求报文的源ip；如果没有找到目的ip或找到了还没有解析成功，则向每个subvlan分别发送arp请求报文（在每个subvlan内广播arp请求报文），请求报文中源ip=supervlan的虚接口ip，源mac=subvlan的接口mac，目的ip=请求报文中的目的ip，目的mac=请求报文中的目的mac；2、如果接收到的是arp应答报文,向所有接收报文中源ip的请求者发送应答报文，应答报文源ip=接收报文源ip，源mac=arp请求报文输入的subvlan 接口mac，目的ip=arp请求报文发送者的ip，目的mac=arp请求报文发送者的mac；六、相关的配置命令行1、 VLAN模式下，配置VLAN类型为Supervlan[undo] supervlan例如将vlan2设为supervlan：[Quidway-vlan2]supervlan如果一个vlan内有端口存在，则不能将其配置成supervlan，supevlan内是不能包含端口的2、 VLAN模式下，Supervlan中加入Subvlan[undo] subvlan vlan-id [to vlan-id-end]例如将vlan3做为subvlan加入supervlan2：[Quidway-vlan2]subvlan 3subvlan不能配置三层虚接口只要supervlan启用了三层虚接口，它的ProxyArp就是默认打开的，不允许关闭。

•
技术背景：传统VLAN 部署中，一个VLAN 对应一个网段和一个VLANIF 三层接口实现不同VLAN 间通信，但这样的部署很容易导致IP地址的浪费。

实现位于相同网段但不同VLAN间的用户通信。

•只需一个VLANIF 接口作为不同VLAN 的共同网关。

•引入了Super -VLAN和Sub -VLAN概念。

•
•Super VLAN：又称VLAN Aggregation，VLAN 聚合
Super VLAN
•
•
即最终是多个Sub-VLAN组成一个Super-VLAN。

只需Super-VLAN接口上配置IP 地址，所有Sub-VLAN共用一个IP网段，解决了IP •
地址资源浪费的问题。

不同Sub-VLAN下的主机默认不能互通，如果想要互通，需要在Super-VLAN的•
VLANIF接口上开启Proxy ARP。

•
Super VLAN通信规则：
•
•
•
•
•Super VLAN 配置：先创建和配置Sub VLAN ，再创建和配置Super VLAN
[SWA]int vlanif10
[SWA-Vlanif10]ip address10.0.0.1 24
[SWA-Vlanif10]arp-proxy inter-sub-vlan-proxy enable 配置VLANIF的IP地址开启代理ARP
display super-vlan验证Super VLAN。

关于PVLAN和Super VLANPVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。

Sub VLAN主机的三层通信原理Sub VLAN主机的三层通信原理在此篇文章（/net/201207/143648.html ）中，笔者介绍了H3C交换机Spuer VLAN的聚合原理，本节接着要介绍Super VLAN中的Sub VLAN （从VLAN）间主机的三层通信原理。

20.3.2 Sub VLAN主机的三层通信原理我们在前面已说到，Super VLAN（也就是VLAN聚合）方案中，在实现不同Sub VLAN 间共用同一子网网段地址的同时也带来了Sub VLAN间的三层转发问题。

因为在普通VLAN中，VLAN间的主机可以通过各自不同的网关（也就是它们自己的VLAN 接口IP地址）进行三层转发来达到互通的目的。

但是在Super VLAN方案中下，各Sub VLAN是不允许配置VLAN接口IP地址的，同一个Super VLAN内的所有主机使用的是同一个网段的地址和共用同一个网关地址，即使是属于不同的Sub VLAN的主机。

由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。

而实际上不同的Sub VLAN的主机在二层又是相互隔离的（这是继承普通VLAN的属性），这就造成了Sub VLAN间无法通信（包括二层通信和三层通信）的问题。

解决这一问题的方法就是使用ARP代理。

下面具体进行介绍。

1. 不同Sub VLAN间的三层互通 例如，如图20-7所示的网络中，Super VLAN（VLAN 10）包含Sub VLAN（VLAN 2和VLAN 3）。

VLANIF10:1.1.1.1/24表示Super VLAN 10的VLAN接口IP地址为1.1.1.1/24。

VLAN 2内的主机A与VLAN 3内的主机B的通信过程如下：（假设主机A的ARP 表中没有主机B的对应ARP表项，并且在担当网关的交换机上启用了Sub VLAN 间的ARP代理功能）。

图20-7 通过ARP代理实现不同Sub VLAN间三层互通的示例（1）主机A将主机B的IP地址（1.1.1.3）和自己所在网段1.1.1.0/24进行比较，发现主机B和自己在同一个子网，但是主机A的ARP表中没有主机B的对应表项，于是主机A发送ARP广播，请求主机B的MAC地址。

SuperVlan技术方案现根据业务需求，需要在B8_55分配的一个IP段，且需要对广播域进行隔离，H3C可以采用Supervlan-Subvlan隔离广播域，客户的主机都在subvlan内，每台主机的子网掩码和网关IP与Supervlan定义的相同。

同时subvlan中的广播包和未知流量都局限在内部，保留各自独立的广播域，不会跨越subvlan边界，有效地隔离vlan间的流量，避免广播风暴的产生。

技术说明：Super VLAN在实现不同VLAN间共用同一子网网段地址的同时，也给sub-VLAN间的三层转发采用的是ARP代理。

原本在三层交换机上，VLAN间是可以通过走各自不同的上行网关进行三层转发的。

但是super-VLAN内的主机使用的是同一个网段的地址，共用同一个上行网关，即使是属于不同的sub-VLAN的主机，由于其地址同属一个子网，设备会认为它们是二层互通的，会做二层转发，而不会送网关进行三层转发。

而实际上sub-VLAN间在二层是相互隔离的，这就需要在super VLAN上设置ARP代理。

Super VLAN与trunk端口的相互影响：Super VLAN中是不存在物理端口的，这种限制是强制的，表现在：如果先配好了Super VLAN，在配置trunk端口时，trunk的VLAN allowed 项里就自动滤除了Super VLAN。

即使trunk允许所有VLAN通过，VLAN passing 项里也永远不会有Super VLAN。

如果先配好了trunk端口，并permit VLAN all，则在此设备上将无法配置Super VLAN。

本质原因是有物理端口的VLAN都不能被配置为Super VLAN。

而permit VLAN all的trunk端口是所有VLAN的tagged端口，当然任何VLAN都不能被配置为Super VLAN。

下图是H7-BGP_55与B8_55的组网拓扑图：拓扑说明：1）Supervlan：Vlan10，只提供逻辑端口，不包含成员端口，提供段内的网关和子网掩码；2）Subvlan：vlan2和vlan3，共同属于supervlan10，应用到端口，提供给客户服务器，subvlan之间可以相互通信；3）拓扑中通过互联地址（vlan 100），配置静态路由从H7-BGP_55将路由下放至B8_55，在B8_55配置Supervlan。

VLAN原理和配置特点产生原因交换机所连接网络规模越大广播泛滥越严重优点隔离广播域，抑制广播报文增强网络的安全性和健壮性减小移动和改变的代价802.1Q帧相比普通以太网帧增加了TAG字段(4B)TAGTPID=0x8100(16bit)固定在，表示802.1Q帧PRI：优先级(3bit)CFI：判断标准帧与非标准帧(1bit)VLANID：标识vlan的值(12bit0/4095保留1-4094使用1为所有交换机默认配置，不可被删除端口类型access收不带标签，加pvid带标签等于PVID：透传不等于PVID：丢弃发帧vlan lD与端口pvid相等，剥离转发帧vlan lD与端口pvid个相等，丢弃trunk收不带标签，加pvid带标签在允许列表，透传不在，丢弃发帧vlanlD与端口pvid相等，剥离转发帧vlanlD与端口pvid不相等在允许列表，透传不在，丢弃hybrid收不带标签，加pvid标签带标签在tagged列表，透传不在tagged列表，丢弃发帧vlan lD与在端口Untagged列表，剥离转发帧vlan lD在端口tagged列表：透传既不在tagged列表，也不在untagged列表，丢弃vlan的划分基于端口的划分最常用基于子网的划分基于协议的划分基于mac的划分基于策略的划分基本配置创建vlanvlan X //创建并进入vlan视图vlan batch 2 to 5 //创建vlan 2到5vlan batch 2 5//创建vlan 2和5配置access端口port link-type accessport default vlan x //把接口加入到vlan x配置trunk端口port link-type trunkport trunk pvid vlan x //配置端口的PVID为vlan xport trunk allow-pass vlan n (all) //允许vlan n(所有vlan)通过undo trunk allow-pass vlan 1//禁止vlan1通过端口hybridport link-type hybrid //huawei 设备默认port hybrid pvid vlan x //设定端口PVID值port hybrid tagged vlan n //端口允许通过透传vlan列表通常用来连接交换机port hybrid untagged vlan n //端口剥离相应的vlan标签发送列表通常用来连接终端voice vlan区分语音流量与业务流量，保证语音流量优先传输Voice VLAN 8021p remark : 6默认设置PRl数值为6。

1.在交换网络中，VLAN技术以其对广播域的灵活控制（可跨物理设备）、部署方便而得到了广泛的应用。

但是在一般的三层交换机中，通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的，这在某些情况下导致了对IP地址的较大浪费。

2.Super VLAN技术（也称为VLAN Aggregation ，即VLAN聚合）针对上述缺陷作了改进，它引入Super-VLAN和Sub-VLAN的概念。

一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。

Sub-VLAN不再占用一个独立的子网网段。

在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

3.通过Sub-VLAN间共用同一个三层接口，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址，消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费。

从而，在保证了各个Sub-VLAN作为一个独立广播域实现了广播隔离的同时，将从前使用普通VLAN浪费掉的IP地址节省下来。

4.在Super VLAN中，引入Super-VLAN和Sub-VLAN的概念。

这是两种与以往的VLAN不同的VLAN类型。

5.Super-VLAN和通常意义上的VLAN不同，它只建立三层接口，而不包含物理端口。

因此，可以把它看作一个逻辑的三层概念——若干Sub-VLAN的集合。

与一般没有物理端口的VLAN不同的是，它的三层虚接口的UP状态不依赖于其自身物理端口的UP，而是只要它所含Sub-VLAN中存在UP状态的物理端口。

6.Sub-VLAN则只包含物理端口，但不能建立三层VLAN虚接口。

它与外部的三层交换是靠Super-VLAN的三层虚接口来实现的。

7.每一个普通VLAN都有一个三层逻辑接口和若干物理端口。

而Super VLAN把这两部分剥离开来：Sub-VLAN只映射若干物理端口，负责保留各自独立的广播域；而用一个Super-VLAN来实现所有Sub-VLAN共享同一个三层接口的需求，使不同Sub-VLAN内的主机可以共用同一个Super-VLAN的网关，在Super-VLAN对应的子网里分配地址；然后再通过建立Super-VLAN和Sub-VLAN间的映射关系，把三层逻辑接口和物理端口这两部分有机地结合起来，并用ARP Proxy来实现Sub-VLAN间的三层互访，从而在实现普通VLAN的功能的同时，达到节省IP地址的目的。

华三supervlan原理
华三Super VLAN又称为VLAN聚合，其原理是将一个Super VLAN和多个Sub VLAN关联。

在Super VLAN中，只建立三层VLANif接口作为不
同VLAN的网关，不包含物理接口。

Sub VLAN只包含物理接口，无VLANif三层接口，隔离广播域。

Super VLAN的作用是作为一个三层网关，使得不同的Sub VLAN内的主机可以共用一个或多个网关。

在Super VLAN中，可以为不同的VLAN分配相同的网段和相同的VLANif 接口，只需一个VLANif接口作为不同VLAN的共同网关，从而节约IP地
址资源。

在Sub VLAN中，所有端口共用Super VLAN的VLAN接口IP地址作为默认网关。

不同Sub VLAN之间由于广播隔离，无法直接互通，此时需要在Super VLAN上开启ARP代理（Vlan间的ARP代理），实现不同VLAN间的通信。

以上信息仅供参考，如需了解更多信息，建议查阅华为官方网站或咨询网络技术人员。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。