VLAN技術在園區網絡中應用非常廣泛，通常利用VLAN進行廣播域的隔離，每個VLAN屬于一個廣播域。網絡規劃時需要為每個廣播域分配一個網關，如果VLAN數量過多，會導致IP地址規劃難度加大，甚至會出現大量IP地址的浪費。 本系列主要介紹幾種VLAN的高級技術，包括VLAN聚合、MUX VLAN、QinQ，進一步加深對VLAN高級技術的理解與應用。

背景

在一般的三層交換機中，通常是采用一個VLAN對應一個VLANIF接口的方式實現廣播域之間的互通，這在某些情況下導致了IP地址的浪費。 因為一個VLAN對應的子網中，子網號、子網廣播地址、子網網關地址不能用作VLAN內的主機IP地址，且子網中實際接入的主機可能少于可用IP地址數量，空閑的IP地址也會因不能再被其他VLAN使用而被浪費掉。

例如，上圖所示的VLAN規劃中，VLAN2預計未來有10個主機地址的需求，但按編址方式，至少需要給其分配一個掩碼長度是28的子網10.1.1.0/28，其中10.1.1.0為子網號，10.1.1.15為子網定向廣播地址，10.1.1.1為子網缺省網關地址，這三個地址都不能用作主機地址，剩下范圍在10.1.1.2～10.1.1.14的地址可以被主機使用，共13個。

為了解決上述問題，VLAN聚合應運而生。它通過引入Super-VLAN和Sub-VLAN的概念，使每個Sub-VLAN對應一個廣播域，并讓多個Sub-VLAN和一個Super-VLAN關聯，只給Super-VLAN分配一個IP子網，所有Sub-VLAN都使用Super-VLAN的IP子網和缺省網關進行三層通信。

什么是VLAN聚合

VLAN聚合（VLAN Aggregation，也稱Super VLAN）指在一個物理網絡內，用多個VLAN（稱為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個邏輯的VLAN（稱為Super-VLAN），這些Sub-VLAN使用同一個IP子網和缺省網關，進而達到節約IP地址資源的目的。

工作原理

相對每一個普通VLAN都有一個三層邏輯接口和若干物理接口，VLAN聚合定義的Super-VLAN和Sub-VLAN比較特殊：

• Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個Sub-VLAN內的主機與外部的三層通信是靠Super-VLAN的三層VLANIF接口來實現的。
• Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網網關對應。與普通VLAN不同的是，它的VLANIF接口的Up不依賴于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

VLAN聚合實現示意圖

按照VLAN聚合的實現方式，令VLAN10為Super-VLAN，分配子網10.1.1.0/24，VLAN2～VLAN4作為Super-VLAN10的Sub-VLAN。

1.相同Sub-VLAN內部通信

同一個Sub-VLAN之間屬于同一個廣播域，因此相同Sub-VLAN之間可以通過二層直接通信。

2.不同Sub-VLAN之間通信舉例

不同Sub-VLAN之間進行通信，IP地址屬于相同網段，因此主機會發送ARP請求，但是實際不同Sub-VLAN之間屬于不同的廣播域，因而ARP報文無法傳遞到其他Sub-VLAN，ARP請求得不到響應，設備無法學習到對端MAC地址，從而無法完成Sub-VLAN之間通信。 要實現Sub-VLAN之間的通信，需要在Super-VLAN 的VLANIF中開啟ARP代理功能。

Super-VLAN VLANIF100開啟ARP代理之后PC1和PC2之間通信過程如下：

• PC1發現PC2與自己在同一網段，且自己ARP表無PC2對應表項，則直接發送ARP廣播請求PC2的MAC地址。
• 作為網關的Super-VLAN對應的VLANIF 100收到PC1的ARP請求，由于網關上使能Sub-VLAN間的ARP代理功能，則向Super-VLAN 100的所有Sub-VLAN接口發送一個ARP廣播，請求PC2的MAC地址。
• PC2收到網關發送的ARP廣播后，對此請求進行ARP應答。
• 網關收到PC2的應答后，就把自己的MAC地址回應給PC1，PC1之后要發給PC2的報文都先發送給網關，由網關做三層轉發。

3.Sub-VLAN與其他設備的二層通信

當Sub-VLAN與其他設備進行二層通信時，與普通的VLAN內二層通信無區別。

由于Super-VLAN不屬于任何物理接口，即不會處理任何攜帶Super-VLAN標簽的報文。

Sub-VLAN二層通信過程舉例：

• 從PC1進入SW1的報文會被打上VLAN10的Tag。在SW1中這個Tag不會因為VLAN10是VLAN100的Sub-VLAN而變為VLAN100的Tag。
• 當報文從SW1的GE0/0/0出去時，依然攜帶VLAN10的Tag。也就是說，SW1本身不會發出VLAN100的報文。就算其他設備有VLAN100的報文發送到該設備上，這些報文也會因為SW1上沒有VLAN100應的物理接口而被丟棄。
• 對于其他設備而言，有效的VLAN只有Sub-VLAN10，20和30， 所有的報文都是在這些VLAN中交互的。因此，SW1上雖然配置了VLAN聚合，但與其他設備的二層通信，不會涉及到Super-VLAN，與正常的二層通信流程一樣。

當Sub-VLAN內的PC需要與其他網絡進行三層通信時，首先將數據發往默認網關，即Super-VLAN對應的VLANIF，再進行路由。

VLAN聚合應用場景

如下圖，某公司擁有多個部門，為了提升業務安全性，將不同部門劃分到不同VLAN中。各部門均有訪問Internet需求，且由于業務需要，部門1與部門2間需要互通，部門3與部門4間需要互通，但公司IP地址有限。

可通過部署VLAN聚合實現公司的需求，在Switch上部署Super VLAN 2和Super VLAN 3，將Sub VLAN 21和Sub VLAN 22聚合到Super VLAN 2中，將Sub VLAN 31和Sub VLAN 32聚合到Super VLAN 3中。這樣，只需在Switch上為Super VLAN 2和Super VLAN 3分配IP地址，部門1和部門2的用戶可通過Super VLAN 2的IP地址訪問Internet，部門3和部門4的用戶可通過Super VLAN 3的IP地址訪問Internet，既實現了各部門訪問Internet的需求，又節約了IP地址資源。同時，分別在Switch的Super VLAN 2、Super VLAN 3上配置Proxy ARP，即可實現部門1和部門2間的互通、部門3和部門4間的互通。

VLAN聚合關鍵配置命令

(1) 創建Super-VLAN：

[Huawei-vlan100] aggregate-vlan

• Super-VLAN中不能包含任何物理接口，VLAN1不能配置為Super-VLAN。
• Super-VLAN中的VLAN ID與Sub-VLAN中的VLAN ID 必須使用不同的 VLAN ID。

(2) 將Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

將Sub-VLAN加入到Super-VLAN中時，必須保證Sub-VLAN沒有創建對應的VLANIF接口。

(3)（可選）使能Super-VLAN對應的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable

使能Sub-VLAN間的Proxy ARP功能。

配置舉例

配置VLAN聚合組網圖

某公司擁有多個部門且位于同一網段，為了提升業務安全性，將不同部門的用戶劃分到不同VLAN中，如上圖所示，VLAN2和VLAN3屬于不同部門。各部門均有訪問Internet需求，同時由于業務需要，不同部門間的用戶需要互通。

1.配置思路

可以在SwitchB上部署VLAN聚合，將不同部門的VLAN聚合到Super VLAN中，這樣，不同部門的用戶可通過Super VLAN訪問Internet。同時，為使部門間用戶互通，在Super VLAN上部署Proxy ARP功能。采用如下思路配置VLAN聚合：

• 在SwitchA和SwitchB上配置VLAN和接口，將不同部門用戶劃分到不同VLAN中，并透傳各VLAN到SwitchB。
• 在SwitchB上配置Super-VLAN及其對應的VLANIF接口、上行路由，使不同部門的用戶能夠訪問Internet。
• 在SwitchB上啟用Super-VLAN的Proxy ARP功能，使不同部門的用戶間三層互通。

2.操作步驟

(1) 基本配置，就不再贅述。給出的是關鍵配置

(2) 在SwitchB上配置Super-VLAN 4，并將VLAN2、VLAN3加入到Super-VLAN 4，作為其Sub-VLAN。

[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit

(3) 創建并配置VLANIF4，使不同部門的用戶可通過Super-VLAN 4訪問Internet。

[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit

(4) 在SwitchB上配置一條到出口網關Router的缺省靜態路由，使用戶能夠訪問Internet。

[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2

(5)在SwitchB的Super-VLAN 4下配置Proxy ARP，使不同部門的用戶間三層互通。

[SwitchB] interface vlanif 4 
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit