一、作用

• 隔离广播风暴
• 防止病毒攻击
• 控制端口二层互访

二、用户需求

• 用户多
• vlan多
• IP地址是同一个网段，
• 实现彼此之间二层隔离
• 个别VLAN之间有互访的需求（需要用到对应的sub vlan开启ARP代理）

三、应用场景

比如酒店要求每个房间一个vlan，而本地交换机不支持super vlan功能。每个客户为一个vlan, 交换机配trunk口，在不配置子接口的情况下，可以使每个vlan的流量都由指定的某一个内网口进出。或者能将指定VID或VID段通过同一个lan口进出。具体拓扑如下：

还有下图的应用场景。

四、功能原理：

1. Super VLAN是VLAN划分的一种方式。Super VLAN又称为VLAN聚合，是一种专门优化IP地址的管理技术。
2. 其原理是将一个网段的IP分给不同的子VLAN(Sub VLAN)，这些Sub VLAN同属于一个Super VLAN。而每一个Sub VLAN都是独立的广播域，不同Sub VLAN 之间二层相互隔离。
3. 当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN 的虚拟接口（Vlanif）的IP 地址作为网关地址，这样多个VLAN 共享一个IP 地址，从而节省了IP 地址资源。
4. 同时，为了实现不同Sub VLAN 间的三层互通及Sub VLAN 与其他网络的互通，需要利用ARP 代理(Arp-Proxy)功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。
5. Super vlan和普通意义上的vlan不同，他不包含任何物理接口，仅仅是一个虚拟接口(Vlanif)，是一个逻辑的三层接口，是所有sub vlan的聚合，为sub vlan提供三层转发。
6. Sub vlan 只能包含物理接口，不能建立三层vlan接口，他与外部的三层通信依靠super vlan的接口实现。
7. 采用Super VLAN技术可以极大地节省IP地址，它只需对包含多个Sub VLAN的Super VLAN分配一个IP地址，既节省地址又方便网络管理。

五、实验

5.1、拓扑

5.2、配置思路

5.3、具体配置

5.3.1、Client

Client1:

IP:10.1.1.2/24

网关：10.1.1.254

Client2:

IP:10.1.1.3/24

网关：10.1.1.254

Client3:

IP:10.1.1.4/24

网关：10.1.1.254

Client4:

IP:10.1.1.5/24

网关：10.1.1.254

5.3.2、接入层SWA

基础配置

<Huawei>sys

[Huawei]sys SWA

[SWA]

配置端口及vlan

[SWA]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4

[SWA-port-group]port link-type access

[SWA]vlan 2

[SWA-vlan2]port GigabitEthernet 0/0/1 to 0/0/2

[SWA-vlan2]vlan 3

[SWA-vlan3]port GigabitEthernet 0/0/3 to 0/0/4

配置与核心交换机SWB相连的接口ge0/0/5

[SWA-vlan3]int g0/0/5

[SWA-GigabitEthernet0/0/5]port link-type trunk

[SWA-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

5.3.3核心层交换机SWB

5.3.3.1基础配置

<Huawei>sys

[Huawei]sys SWB

[SWB]

5.3.3.2创建vlan，分别是2,3,10,100

[SWB]vlan batch 2 3 10 100

配置与接入层交换机连接的ge0/0/5接口，允许vlan 2 3透传到SWB。

[SWB]int g0/0/5

[SWB-GigabitEthernet0/0/5]port link-type trunk

[SWB-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

5.3.3.3配置Super-VLAN及其对应的VLANIF接口

配置Super-VLAN 10，并将VLAN 2和VLAN 3加入到Super-VLAN 10，作为其Sub-VLAN。

[SWB]vlan 10

[SWB-vlan10]aggregate-vlan

[SWB-vlan10]access-vlan 2 to 3

创建并配置VLANIF 10，使各个房间的用户可通过Super-VLAN 10访问Internet。

[SWB]int vlanif 10

[SWB-Vlanif10]ip address 10.1.1.254 24

5.3.3.4配置上行路由

在SWB上配置上行接口GE0/0/1，透传SWB与出口网关AR1的互联VLAN

[SWB]int g0/0/1

[SWB-GigabitEthernet0/0/1]port link-type access

[SWB-GigabitEthernet0/0/1]port default vlan 100

有的小伙伴说这里可以配置为trunk模式，实现聚合，这样也可以实现互通，具体配置为

[SWB]int g0/0/1

[SWB-GigabitEthernet0/0/1]port link-type trunk

[SWB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[SWB-GigabitEthernet0/0/1] port trunk pvid vlan 100

5.3.3.5创建并配置VLANIF 100

指定vlanif的IP地址为SWB与出口网关AR1对接的IP地址。

[SWB]int vlanif 100

[SWB-Vlanif100]ip address 20.1.1.1 24

5.3.3.6配置默认路由

在SWB上配置一条到出口网关AR1的默认静态路径，使用户能够访问Internet。

[SWB]ip route-static 0.0.0.0 0.0.0.0 20.1.1.2

5.3.4配置出口路由器AR1

<Huawei>sys

[Huawei]sys AR1

[AR1]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip addr 20.1.1.2 24

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip addr 30.1.1.1 24

[AR1]ip route-static 10.1.1.0 24 20.1.1.1

5.3.5 配置外网服务器Server1

IP:

30.1.1.2/24

网关

30.1.1.1

验证：

Client1到Server1

由上图知悉，Client1可以ping通Server1。

Client1到Server1

由上图知悉，Client4可以ping通Server1。

Client1到Client4

由上图知悉Client1到Client4链路不通。

从上面实验知悉虽然Client1和Client4处于同一网段（10.1.1.0/24），但是不能互相通信，

Super vlan 实现二层隔离，三层互通的功能。

5.4、Arp-proxy(Arp代理)

现在如果想实现Vlan2内主机Cilent1和Vlan3 Client4的通信，需要用Arp-proxy的技术。

在核心层交换机SWA上面开启Arp-proxy功能

<SWB>sys

[SWB]int Vlanif 10

[SWB-Vlanif10]arp-proxy inter-sub-vlan-proxy enable

验证

Client1到Client4

由上图知悉Client1到Client4链路可以通信。

5.5、关于ARP

如果ARP请求（ARP request）是从一个网络的主机发往同一个网段却不在同一物理网络上的另一个主机，那么连接它们的具有代理ARP功能的设备(和源主机直连的网关)用自己接口的MAC地址代替目的的主机回答(ARP reply)该请求，这个过程就被称为代理ARP（Proxy ARP）。