目录

1. Super VLAN技术产生背景

2. Super VLAN概念

3. Super VLAN应用场景

4. Super VLAN工作原理

5. Super-VLAN主要配置命令

6. Super-VLAN主要配置步骤

7. 示例配置

7.1 示例场景

7.2 网络拓扑

7.3 配置代码

7.4 代码解析

7.5 测试验证

---

1. Super VLAN技术产生背景

        一般的三层交换机中，通常是采用一个VLAN对应一个vlanif接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而浪费掉。

        如下VLAN规划中，VLAN2预计未来有10个主机地址的需求，但按编址方式，至少需要给其分配一个掩码长度是28的子网10.1.1.0/28，其中10.1.1.0为子网号，10.1.1.15为子网定向广播地址，10.1.1.1为子网缺省网关地址，这三个地址都不能用作主机地址，剩下范围在10.1.1.2～10.1.1.14的地址可以被主机使用，共13个。VLAN2子网实际地址需求只有10个，剩余的3个也不能再被其他VLAN使用。网络中的VLAN越多，浪费的IP地址也就越多。

        为了解决上述问题，VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

        这样，多个Sub-VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在Super-VLAN对应子网段灵活的划分IP地址范围，从而保证了各个Sub-VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。

        Super-VLAN技术主要目的是减少IP地址浪费。

2. Super VLAN概念

        Super VLAN，也叫VLAN聚合（VLAN Aggregation）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN）。Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。所有Sub-VLAN共用一个IP网段，要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，使用同一个缺省网关，并且可以通过Super VLAN的VLANIF接口实现三层互通。

3. Super VLAN应用场景

        Super VLAN适用于用户多，VLAN多，大量VLAN的IP地址在同一个网段，但是又要实现不同VLAN之间二层隔离的场景。VLAN之间如果有互访的需求，可以对Super VLAN开启ARP代理。常见的场景有宾馆酒店，小区宽带接入等。一个房间或者一户人家一个VLAN，彼此隔离，但是IP地址有限，无法给数量庞大的VLAN每个分一个网段IP，只能共用一个IP地址段。例如，VLAN 10的IP地址段是10.10.10.0/24，一户人家可能就使用了1个或2个IP，剩余200多个IP地址浪费了。Super VLAN可以使VLAN11-100共享10.10.10.0/24网段，节约了IP地址。

        与MUX VLAN隔离功能相比，Super VLAN属于三层功能，需要三层交换机支持。MUX VLAN属于二层交换机功能。Super VLAN的配置较为简单，MUX VLAN配置较为复杂，但对用户间的访问控制灵活性不如MUX VLAN，Super VLAN内需要查询部分暂时离线的用户时，网关需要在每个子VLAN内广播发送报文，可能较大的消耗设备CPU资源。

4. Super VLAN工作原理

        通过建立Super--VLAN和Sub-VLAN间的映射关系，把三层逻辑接口和物理接口结合起来，实现普通VLAN功能的同时，也达到节省P地址的目的。

• 一个Super-VLAN可以包含一个或多个Sub-VLAN。
• Sub-VLAN要添加端口才能激活，只要有一个子VLAN是激活的,那么SUPER VLAN就是激活的。
• Sub-VLAN不占用一个独立的网段。
• 同一个Super-VLAN中，无论终端属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的网段内。

        Super-VLAN：

1. 只建立三层VlanIf接口（IP地址与网关对应），不包含物理接口。与普通VLAN不同的是，它的VlanIf接口的Up不依赖于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up；
2. 负责实现所有Sub-VLAN共享同一个三层接口的需求，使不同Sub-VLAN内的主机可以共用同一个网关。
3. VLAN 1不能配置为Super VLAN。

        Sub-VLAN：

1. 只包含物理接口，不建立三层VlanIf接口，隔离广播域（Sub-VLAN间相互隔离），每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的；
2. 不同Sub-VLAN下的终端默认不能互通，如果要通信，需要在Super-VLAN的VLANIF接口上开启Proxy ARP（代理ARP）。

5. Super-VLAN主要配置命令

[SW-vlan100]aggregate-vlan        //vlan100配置为Super-VLAN

[SW-vlan100]access-vlan 10 20 30         //将Sub-VLAN10 20 30加入Super-VLAN。

[SW-Vlanif100] arp-proxy inter-sub-vlan-proxy enable        // 开启代理ARP功能（IPv4环境）

display super-vlan        //查看Super-VLAN类型的VLAN表项信息

Sub-VLAN配置详见：华为--配置VLAN聚合节约IP地址

6. Super-VLAN主要配置步骤

1. 创建Sub VLAN；
2. 创建Super VLAN，关联Super VLAN和Sub VLAN；
3.  配置Super VLANIF接口。

7. 示例配置

7.1 示例场景

        某公司有多个部门且位于同一网段，将不同部门的用户划分到不同VLAN中，VLAN 10、VLAN 20、VLAN 30、VLAN 40和VLAN 50属于不同部门。各部门均有访问Internet需求，同时由于业务需要，部分部门间的用户需要互通。

7.2 网络拓扑

7.3 配置代码

system-view
sysname R
interface GigabitEthernet0/0/0
 ip address 192.168.3.253 255.255.255.0 
interface LoopBack40
 ip address 123.123.1.1 255.255.255.255
quit 
ip route-static 0.0.0.0 0.0.0.0 192.168.3.254

system-view
sysname SW
vlan batch 10 20 30 40 50 100
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 20 30
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 50
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 40
interface Vlanif40
 ip address 192.168.3.254 255.255.255.0
interface Vlanif50
 ip address 192.168.2.254 255.255.255.0
interface Vlanif100
 ip address 192.168.1.254 255.255.255.0
 arp-proxy inter-sub-vlan-proxy enable
 vlan 100
 aggregate-vlan
 access-vlan 10 20 30
quit
ip route-static 123.123.1.1 32 192.168.3.253

system-view
sysname SW1
vlan batch 10 20
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
interface Ethernet0/0/3
 port link-type access
 port default vlan 20
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
quit

system-view
sysname SW2
vlan batch 20 30
interface Ethernet0/0/1
 port link-type access
 port default vlan 20
interface Ethernet0/0/2
 port link-type access
 port default vlan 30
interface Ethernet0/0/3
 port link-type access
 port default vlan 30
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 30
quit

7.4 代码解析

<Huawei>system-view
[Huawei]sysname R
[R]interface GigabitEthernet0/0/0
[R-GigabitEthernet0/0/0]interface LoopBack40
[R-LoopBack40] ip address 123.123.1.1 255.255.255.255
[R-LoopBack40]quit 
[R]ip route-static 0.0.0.0 0.0.0.0 192.168.3.254

<Huawei>system-view
[Huawei]sysname SW
[SW]vlan batch 10 20 30 40 50 100
[SW]interface GigabitEthernet0/0/1
[SW-GigabitEthernet0/0/1] port link-type trunk
[SW-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[SW-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SW-GigabitEthernet0/0/2] port link-type trunk
[SW-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 30
[SW-GigabitEthernet0/0/2]interface GigabitEthernet0/0/23
[SW-GigabitEthernet0/0/23] port link-type access
[SW-GigabitEthernet0/0/23] port default vlan 50
[SW-GigabitEthernet0/0/23]interface GigabitEthernet0/0/24
[SW-GigabitEthernet0/0/24] port link-type access
[SW-GigabitEthernet0/0/24] port default vlan 40
[SW-GigabitEthernet0/0/24]interface Vlanif40
[SW-Vlanif40] ip address 192.168.3.254 255.255.255.0
[SW-Vlanif40]interface Vlanif50
[SW-Vlanif50] ip address 192.168.2.254 255.255.255.0
[SW-Vlanif50]interface Vlanif100
[SW-Vlanif100] ip address 192.168.1.254 255.255.255.0
[SW-Vlanif100] arp-proxy inter-sub-vlan-proxy enable        //在Vlanif100端口开启vlan间代理ARP
[SW-Vlanif100] vlan 100
[SW-vlan100] aggregate-vlan      //指定vlan100为Super-VLAN
[SW-vlan100] access-vlan 10 20 30         //vlan 10 20 30加入Super-VLAN。
[SW-vlan100]quit
[SW]ip route-static 123.123.1.1 32 192.168.3.253

<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1] port link-type access
[SW1-Ethernet0/0/1] port default vlan 10
[SW1-Ethernet0/0/1]interface Ethernet0/0/2
[SW1-Ethernet0/0/2] port link-type access
[SW1-Ethernet0/0/2] port default vlan 10
[SW1-Ethernet0/0/2]interface Ethernet0/0/3
[SW1-Ethernet0/0/3] port link-type access
[SW1-Ethernet0/0/3] port default vlan 20
[SW1-Ethernet0/0/3]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[SW1-GigabitEthernet0/0/1]quit
[SW1]

<Huawei>system-view
[Huawei]sysname SW2
[SW2]vlan batch 20 30
[SW2]interface Ethernet0/0/1
[SW2-Ethernet0/0/1] port link-type access
[SW2-Ethernet0/0/1] port default vlan 20
[SW2-Ethernet0/0/1]interface Ethernet0/0/2
[SW2-Ethernet0/0/2] port link-type access
[SW2-Ethernet0/0/2] port default vlan 30
[SW2-Ethernet0/0/2]interface Ethernet0/0/3
[SW2-Ethernet0/0/3] port link-type access
[SW2-Ethernet0/0/3] port default vlan 30
[SW2-Ethernet0/0/3]interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 30
[SW2-GigabitEthernet0/0/1]quit
[SW2]

7.5 测试验证

        在上述配置下，网络所有终端应该全部互通。

        如上图所示，网络所有终端互通正常。

        如果取消vlanif100端口代理ARP功能，Super VLAN下的所有子vlan间应该相互隔离。

        取消聚合vlan100的vlanif100端口代理ARP功能，Super VLAN下的所有子vlan间相互隔离，但和其他非Super VLAN通信正常。

参考资料：

华为--配置Super VLAN示例

硬核好文：什么是Super VLAN？-腾讯云开发者社区-腾讯云