super vlan的设计

华为交换机VLAN聚合（超级vlan）配置示例1、组网需求图1 VLAN聚合组网图如图1所示，某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中。

现由于业务需要，不同部门间的用户需要互通。

VLAN2和VLAN3为不同部门，现需要实现不同VLAN间的用户可以互相访问。

可以在Switch上部署VLAN聚合，实现VLAN2和VLAN3二层隔离、三层互通，同时VLAN2和VLAN3采用同一个子网网段，节省了IP地址。

2、配置思路2.1、把Switch接口加入到相应的sub-VLAN中，实现不同sub-VLAN间的二层隔离。

2.2、把sub-VLAN聚合为super-VLAN。

2.3、配置VLANIF接口的IP地址。

2.4、配置super-VLAN的Proxy ARP，实现sub-VLAN间的三层互通。

3、操作步骤3.1、配置接口类型# 配置接口GE1/0/1为Access类型。

接口GE1/0/2、GE1/0/3、GE1/0/4的配置与GE1/0/1相同，不再赘述。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] quit#创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。

[Switch] vlan 2[Switch-vlan2] port gigabitethernet 1/0/1 1/0/2[Switch-vlan2] quit#创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。

[Switch] vlan 3[Switch-vlan3] port gigabitethernet 1/0/3 1/0/4[Switch-vlan3] quit3.2、配置VLAN4# 配置super-VLAN。

1Super VLAN 产生的背景在LanSwitch网络中，VLAN技术以其对广播域的灵活控制（可跨物理设备）、部署方便而得到了广泛的应用。

但是在一般的三层交换机中，通常是采用一个VLAN对应一个三层接口的方式来实现广播域之间的互通的，这在某些情况下导致了对IP地址的较大浪费。

我们来看下面这个例子，设备内VLAN划分如图1所示。

图1 普通VLAN网络示意图表1 普通VLAN主机地址划分示例VLAN IP Subnet GatewayAddressUsableHostsCustomerHostsNeededHosts21 1.1.1.0/28 1.1.1.1 14 13 1022 1.1.1.16/29 1.1.1.17 6 5 523 1.1.1.24/30 1.1.1.25 2 1 1表1列出了地址的划分情况。

VLAN 21预计未来要有10个主机，给其分配一个掩码长28的子网——1.1.1.0 /28。

网段内子网号1.1.1.0和子网定向广播地址1.1.1.15不能用作主机地址，1.1.1.1作为子网缺省网关地址也不可作为主机地址，剩下地址范围在1.1.1.2～1.1.1.14的主机地址可以被主机使用，这部分地址共有13个（）。

这样，尽管VLAN 21只需要10个地址就可以满足需求了，但是按照子网划分却要分给它13个地址。

依此类推，VLAN 22预计未来有5个主机地址需求，至少需要分配一个29位掩码的子网（1.1.1.16 /29）才能满足要求。

VLAN 23只有1个主机，则占用子网1.1.1.24 /30。

这三个VLAN总共需要10+5+1＝16个地址，按照普通VLAN的编址方式，即使最优化的方案也需要占用个地址，地址浪费了将近一半。

而且，如果VLAN 21后来并没有增长到10台主机，而只增长到了3台主机，本来分一个掩码长29的子网就够用了，但之前却分了一个子网掩码长28的子网给它，多出来的地址都因不能再被其他VLAN使用而被浪费掉了。

1 配置Super VLAN功能Super VLAN功能的配置包括三个必选步骤：(1)配置Sub VLAN，主要是创建Sub VLAN。

(2)配置Super VLAN，主要是创建Super VLAN，并将Super VLAN和Sub VLAN关联起来。

(3)配置Super VLAN对应的VLAN接口，该接口主要用于接入用户和Sub VLAN之间的通信。

1. 配置Sub VLAN表2-1 配置Sub VLANisolated-vlan enable命令的支持情况与设备的型号有关，请以设备的实际情况为准。

2. 配置Super VLAN表2-2 配置Super VLAN3. 配置Super VLAN对应的VLAN接口表2-3 配置Super VLAN对应的VLAN接口●以上步骤中配置的VLAN接口的IP地址就是对应的Super VLAN的IP地址。

●本地代理ARP功能的相关介绍请参见“三层技术-IP业务配置指导”中的“代理ARP”；local-proxy-arp enable命令的相关描述请参见“三层技术-IP业务命令参考”中的“代理ARP”。

●如果某个VLAN被指定为Super VLAN，则该VLAN不能被指定为某个端口的Guest VLAN；同样，如果某个VLAN被指定为某个端口的Guest VLAN，则该VLAN不能被指定为Super VLAN。

Guest VLAN的相关内容请参见“安全配置指导”中的“802.1X”。

●在Super VLAN下可以配置二层组播功能，但是该配置将不会生效。

●在Super VLAN对应的VLAN接口下可以配置DHCP、三层组播、动态路由、NAT等功能，但是只有DHCP的配置生效，其它配置将不会生效。

●在Super VLAN对应的VLAN接口下配置VRRP功能后，会对网络性能造成影响，建议不要这样配置。

VRRP的详细描述请参见“可靠性配置指导”中的“VRRP”。

●在Sub VLAN对应的VLAN接口下配置不能配置子接口。

西安邮电学院实验报告课题名称：IP网络基础实验实验名称：交换机PVLAN与SuperVLAN配置小组编号：第五组小组成员：实验地点： 1号实验楼123实验室实验日期： 2011年6月9日指导老师：1 实验目的1.本实验要求理解PVLAN的基本概念，了解PVLAN的应用环境，能熟练配置PVLAN。

2.本实验要求能够理解Supervlan的含义，掌握配置Supervlan的指令和步骤。

2 实验拓扑图1.交换机PVLAN实验fei_1/1PC1 vlan 2 fei_1/1192.168.1.101/24fei_1/1 vlan 2 PC3 192.168.1.103/24PC2 vlan 2192.168.1.102/242.交换机Supervlan配置Supervlan 10:192.168.1.1/24fei_1/19 fei_1/20vlan 3 vlan 4PC1 PC2IP:192.168.1.101/24 IP:192.168.1.112/24GW:192.168.1.1/24 GW:192.168.1.1/243.补充实验gei_0/2 192.168.1.9/30gei_0/1.1 vlan 10 192.168.1.1/30PC3gei_0/1.2 vlan 20 192.168.1.5/30IP:192.168.1.10/30Trunk vlan 10、20GW:192.168.1.9/30fei_1/16fei_1/10 fei_1/20vlan 10 vlan 20PC1PC2IP:192.168.1.2/30 IP:192.168.1.6/30GW:192.168.1.1/30 GW:192.168.1.5/303 实验主要步骤及内容1.交换机PVLAN实验:(1)如图所示连接好拓扑。

(2)划分VLAN，将fei_1/1, fei_1/2, fei_1/3均划分在VLAN2中。

Vlan间的通信详解之super-vlan VLAN聚合也称为Super-VLAN,在一个物理网络内用多个Sub-vlan隔离广播域，讲Sub-Vlan进行逻辑上捆绑成一个VLAN这个VLAN就是超级VLAN，Sub-VLAN使用相同的IP地址子网缺省网关，用于节约IP地址资源。

VLAN互通需要通过Super-VLAN三层VLANIF 接口实现Super-VLAN不会创建物理接口超级VLAN创建与Sub-Vlan捆绑关系# sw2上的配置：[sw2]sysname sw2#[sw2]vlan batch 2 to 3#将vlan4配置成super-vlan 并将vlan2和vlan3作为sub-vlan划分进super-vlan[sw2]vlan 4[sw2-vlan4]aggregate-vlan[sw2-vlan4]access-vlan 2 to 3#在sw2的vlan4上创建vlanif4接口，并配置接口地址，然后开启ARP代理功能[sw2]interface Vlanif4[sw2-Vlanif4]ip address 10.0.0.100 255.255.0.0[sw2-Vlanif4]arp-proxy inner-sub-vlan-proxy enable#[sw2]int g0/0/23[sw2-GigabitEthernet0/0/23]interface GigabitEthernet0/0/23[sw2-GigabitEthernet0/0/23]port link-type trunk[sw2-GigabitEthernet0/0/23] port trunk allow-pass vlan 2 to 3#[sw2-GigabitEthernet0/0/23]int g0/0/24[sw2-GigabitEthernet0/0/24] port link-type trunk[sw2-GigabitEthernet0/0/24] port trunk allow-pass vlan 2 to 3最后记得将所有终端电脑的网关修改为super-vlan的vlanif接口IP地址：10.0.0.100。

•
技术背景：传统VLAN 部署中，一个VLAN 对应一个网段和一个VLANIF 三层接口实现不同VLAN 间通信，但这样的部署很容易导致IP地址的浪费。

实现位于相同网段但不同VLAN间的用户通信。

•只需一个VLANIF 接口作为不同VLAN 的共同网关。

•引入了Super -VLAN和Sub -VLAN概念。

•
•Super VLAN：又称VLAN Aggregation，VLAN 聚合
Super VLAN
•
•
即最终是多个Sub-VLAN组成一个Super-VLAN。

只需Super-VLAN接口上配置IP 地址，所有Sub-VLAN共用一个IP网段，解决了IP •
地址资源浪费的问题。

不同Sub-VLAN下的主机默认不能互通，如果想要互通，需要在Super-VLAN的•
VLANIF接口上开启Proxy ARP。

•
Super VLAN通信规则：
•
•
•
•
•Super VLAN 配置：先创建和配置Sub VLAN ，再创建和配置Super VLAN
[SWA]int vlanif10
[SWA-Vlanif10]ip address10.0.0.1 24
[SWA-Vlanif10]arp-proxy inter-sub-vlan-proxy enable 配置VLANIF的IP地址开启代理ARP
display super-vlan验证Super VLAN。

《网络系统集成实训》指导书5-2-2 专有VLAN和Super VLAN【实训目的】1．了解专有VLAN和Super VLAN的概念及作用2．熟练专有VLAN和Super VLAN的配置【参考资料】1．高峡,陈智罡,袁宗福. 网络设备互连学习指南, 科学出版社,20092．高峡,钟啸剑,李永俊. 网络设备互连实验指南, 科学出版社,20093．VLAN学习指南4．锐捷S3550配置手册【实训内容】Private Vlan有三种模式：promisicuous isolate community1．设置专有VLAN模式Switch(config)#vlan vlan-idSwitch(config-vlan)#private-vlan {community | isolated | primary}参数：community: 设为团体VLAN，只能在同一VLAN中互相通信，不能与其它VLAN 的端口互相通信isolated: 设为隔离VLAN，其中端口在二层上不能互相通信primary: 设为主VLAN定义主VLAN：Switch(config-vlan)#private-vlan primary定义辅助VLAN：Switch(config-vlan)#private-vlan association ncapsulation dot1Q vlan-id 关联Primary VLAN与Second VLAN：Switch(config)#vlan vlan-id private-vlan association isolated-vlan, community-vlan 2．配置专有VLAN端口配置promiscuous(混杂)端口：Switch(config)#interface fastethernet 0/1Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan promiscuousSwitch(config-if)#switchport private-vlan mapping primary-vlan isolated-vlan, community-vlan配置isolated端口：Switch(config)#interface fastethernet 0/2Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan hostSwitch(config-if)#switchport private-vlan host-association primary-vlan isolated-vlan 配置community端口：Switch(config)#interface fastethernet 0/3Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan hostSwitch(config-if)#switchport private-vlan host-association primary-vlan community-vlan 3．打开Super VLANSwitch(config)#vlan vlan-idSwitch(config-vlan)#supervlan4．设置Sub VLAN的地址范围Switch(config-vlan)# subvlan-address-range start-ip end-ip【实训任务】1．下图是一个实际的网络结构图。

Super—vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有一个IP地址作为定向广播地址，如果VLAN中的主机不需要那么多IP地址，那此子网内的剩余IP地址，也不能分配给其它VLAN的主机使用，造成极大的浪费。

就算是使用VLSM分配IP地址，每个VLAN也至少浪费三个IP地址，如果有几十或上百个VLAN,那会浪费大量的IP地址。

在此这种情况下，为节约IP地址，提出Super VLAN的概念。

Super VLAN又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

sub-VLAN 则只包含物理端口，但不能建立三层VLAN虚接口.它的三层通信依靠super-vlan来实现。

与原来的VLAN间路由不通，原本的三层交换可以根据各自的网关进行，但是现在所有的sub-vlan都属于同一个网段，则就处于不同的sub-vlan通信时，会认在同一个网段，会做二层转发，而不会进行三层转发，但是二层转发是被VLAN隔离了，这就造成sub-vlan间不能通信。

解决方法就是代理ARP。

代理ARP的工作原理：源主机认为目标主机与自己在同一网段，广播发送ARP请求。