VLAN技术在园区网络中应用非常广泛，通常利用VLAN进行广播域的隔离，每个VLAN属于一个广播域。网络规划时需要为每个广播域分配一个网关，如果VLAN数量过多，会导致IP地址规划难度加大，甚至会出现大量IP地址的浪费。 本系列主要介绍几种VLAN的高级技术，包括VLAN聚合、MUX VLAN、QinQ，进一步加深对VLAN高级技术的理解与应用。

背景

在一般的三层交换机中，通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。 因为一个VLAN对应的子网中，子网号、子网广播地址、子网网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于可用IP地址数量，空闲的IP地址也会因不能再被其他VLAN使用而被浪费掉。

 

例如，上图所示的VLAN规划中，VLAN2预计未来有10个主机地址的需求，但按编址方式，至少需要给其分配一个掩码长度是28的子网10.1.1.0/28，其中10.1.1.0为子网号，10.1.1.15为子网定向广播地址，10.1.1.1为子网缺省网关地址，这三个地址都不能用作主机地址，剩下范围在10.1.1.2～10.1.1.14的地址可以被主机使用，共13个。

为了解决上述问题，VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

什么是VLAN聚合

VLAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，进而达到节约IP地址资源的目的。

 

工作原理

相对每一个普通VLAN都有一个三层逻辑接口和若干物理接口，VLAN聚合定义的Super-VLAN和Sub-VLAN比较特殊：

• Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
• Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同的是，它的VLANIF接口的Up不依赖于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

VLAN聚合实现示意图

按照VLAN聚合的实现方式，令VLAN10为Super-VLAN，分配子网10.1.1.0/24，VLAN2～VLAN4作为Super-VLAN10的Sub-VLAN。

相同Sub-VLAN内部通信

同一个Sub-VLAN之间属于同一个广播域，因此相同Sub-VLAN之间可以通过二层直接通信。

 

不同Sub-VLAN之间通信举例

不同Sub-VLAN之间进行通信，IP地址属于相同网段，因此主机会发送ARP请求，但是实际不同Sub-VLAN之间属于不同的广播域，因而ARP报文无法传递到其他Sub-VLAN，ARP请求得不到响应，设备无法学习到对端mac地址，从而无法完成Sub-VLAN之间通信。 要实现Sub-VLAN之间的通信，需要在Super-VLAN 的VLANIF中开启ARP代理功能。

 

Super-VLAN VLANIF100开启ARP代理之后PC1和PC2之间通信过程如下：

• PC1发现PC2与自己在同一网段，且自己ARP表无PC2对应表项，则直接发送ARP广播请求PC2的MAC地址。
• 作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求，由于网关上使能Sub-VLAN间的ARP代理功能，则向Super-VLAN 100的所有Sub-VLAN接口发送一个ARP广播，请求PC2的MAC地址。
• PC2收到网关发送的ARP广播后，对此请求进行ARP应答。
• 网关收到PC2的应答后，就把自己的MAC地址回应给PC1，PC1之后要发给PC2的报文都先发送给网关，由网关做三层转发。

Sub-VLAN与其他设备的二层通信

• 当Sub-VLAN与其他设备进行二层通信时，与普通的VLAN内二层通信无区别。
• 由于Super-VLAN不属于任何物理接口，即不会处理任何携带Super-VLAN标签的报文。

 

Sub-VLAN二层通信过程举例：

• 从PC1进入SW1的报文会被打上VLAN10的Tag。在SW1中这个Tag不会因为VLAN10是VLAN100的Sub-VLAN而变为VLAN100的Tag。
• 当报文从SW1的GE0/0/0出去时，依然携带VLAN10的Tag。也就是说，SW1本身不会发出VLAN100的报文。就算其他设备有VLAN100的报文发送到该设备上，这些报文也会因为SW1上没有VLAN100应的物理接口而被丢弃。
• 对于其他设备而言，有效的VLAN只有Sub-VLAN10，20和30，所有的报文都是在这些VLAN中交互的。因此，SW1上虽然配置了VLAN聚合，但与其他设备的二层通信，不会涉及到Super-VLAN，与正常的二层通信流程一样。
• 当Sub-VLAN内的PC需要与其他网络进行三层通信时，首先将数据发往默认网关，即Super-VLAN对应的VLANIF，再进行路由。

VLAN聚合应用场景

如下图，某公司拥有多个部门，为了提升业务安全性，将不同部门划分到不同VLAN中。各部门均有访问Inte.NET需求，且由于业务需要，部门1与部门2间需要互通，部门3与部门4间需要互通，但公司IP地址有限。

 

可通过部署VLAN聚合实现公司的需求，在Switch上部署Super VLAN 2和Super VLAN 3，将Sub VLAN 21和Sub VLAN 22聚合到Super VLAN 2中，将Sub VLAN 31和Sub VLAN 32聚合到Super VLAN 3中。

这样，只需在Switch上为Super VLAN 2和Super VLAN 3分配IP地址，部门1和部门2的用户可通过Super VLAN 2的IP地址访问Internet，部门3和部门4的用户可通过Super VLAN 3的IP地址访问Internet，既实现了各部门访问Internet的需求，又节约了IP地址资源。

同时，分别在Switch的Super VLAN 2、Super VLAN 3上配置Proxy ARP，即可实现部门1和部门2间的互通、部门3和部门4间的互通。

VLAN聚合关键配置命令

1. 创建Super-VLAN

[Huawei-vlan100] aggregate-vlan

Super-VLAN中不能包含任何物理接口，VLAN1不能配置为Super-VLAN。

Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID 必须使用不同的 VLAN ID。

2. 将Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

将Sub-VLAN加入到Super-VLAN中时，必须保证Sub-VLAN没有创建对应的VLANIF接口。

3. （可选）使能Super-VLAN对应的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable

使能Sub-VLAN间的Proxy ARP功能。

配置举例

配置VLAN聚合组网图

某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中，如上图所示，VLAN2和VLAN3属于不同部门。各部门均有访问Internet需求，同时由于业务需要，不同部门间的用户需要互通。

配置思路

可以在SwitchB上部署VLAN聚合，将不同部门的VLAN聚合到Super VLAN中，这样，不同部门的用户可通过Super VLAN访问Internet。同时，为使部门间用户互通，在Super VLAN上部署Proxy ARP功能。采用如下思路配置VLAN聚合：

1. 在SwitchA和SwitchB上配置VLAN和接口，将不同部门用户划分到不同VLAN中，并透传各VLAN到SwitchB。
2. 在SwitchB上配置Super-VLAN及其对应的VLANIF接口、上行路由，使不同部门的用户能够访问Internet。
3. 在SwitchB上启用Super-VLAN的Proxy ARP功能，使不同部门的用户间三层互通。

操作步骤

1. 基本配置，就不再赘述。给出的是关键配置
2. 在SwitchB上配置Super-VLAN 4，并将VLAN2、VLAN3加入到Super-VLAN 4，作为其Sub-VLAN。

[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit

3. 创建并配置VLANIF4，使不同部门的用户可通过Super-VLAN 4访问Internet。

[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit

4. 在SwitchB上配置一条到出口网关Router的缺省静态路由，使用户能够访问Internet。

[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2

5. 在SwitchB的Super-VLAN 4下配置Proxy ARP，使不同部门的用户间三层互通。

[SwitchB] interface vlanif 4 
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit