VLAN技術(shù)在園區(qū)網(wǎng)絡(luò)中應(yīng)用非常廣泛，通常利用VLAN進(jìn)行廣播域的隔離，每個VLAN屬于一個廣播域。網(wǎng)絡(luò)規(guī)劃時需要為每個廣播域分配一個網(wǎng)關(guān)，如果VLAN數(shù)量過多，會導(dǎo)致IP地址規(guī)劃難度加大，甚至?xí)霈F(xiàn)大量IP地址的浪費(fèi)。 本系列主要介紹幾種VLAN的高級技術(shù)，包括VLAN聚合、MUX VLAN、QinQ，進(jìn)一步加深對VLAN高級技術(shù)的理解與應(yīng)用。

背景

在一般的三層交換機(jī)中，通常是采用一個VLAN對應(yīng)一個VLANIF接口的方式實現(xiàn)廣播域之間的互通，這在某些情況下導(dǎo)致了IP地址的浪費(fèi)。 因為一個VLAN對應(yīng)的子網(wǎng)中，子網(wǎng)號、子網(wǎng)廣播地址、子網(wǎng)網(wǎng)關(guān)地址不能用作VLAN內(nèi)的主機(jī)IP地址，且子網(wǎng)中實際接入的主機(jī)可能少于可用IP地址數(shù)量，空閑的IP地址也會因不能再被其他VLAN使用而被浪費(fèi)掉。

例如，上圖所示的VLAN規(guī)劃中，VLAN2預(yù)計未來有10個主機(jī)地址的需求，但按編址方式，至少需要給其分配一個掩碼長度是28的子網(wǎng)10.1.1.0/28，其中10.1.1.0為子網(wǎng)號，10.1.1.15為子網(wǎng)定向廣播地址，10.1.1.1為子網(wǎng)缺省網(wǎng)關(guān)地址，這三個地址都不能用作主機(jī)地址，剩下范圍在10.1.1.2～10.1.1.14的地址可以被主機(jī)使用，共13個。

為了解決上述問題，VLAN聚合應(yīng)運(yùn)而生。它通過引入Super-VLAN和Sub-VLAN的概念，使每個Sub-VLAN對應(yīng)一個廣播域，并讓多個Sub-VLAN和一個Super-VLAN關(guān)聯(lián)，只給Super-VLAN分配一個IP子網(wǎng)，所有Sub-VLAN都使用Super-VLAN的IP子網(wǎng)和缺省網(wǎng)關(guān)進(jìn)行三層通信。

什么是VLAN聚合

VLAN聚合（VLAN Aggregation，也稱Super VLAN）指在一個物理網(wǎng)絡(luò)內(nèi)，用多個VLAN（稱為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個邏輯的VLAN（稱為Super-VLAN），這些Sub-VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)，進(jìn)而達(dá)到節(jié)約IP地址資源的目的。

工作原理

相對每一個普通VLAN都有一個三層邏輯接口和若干物理接口，VLAN聚合定義的Super-VLAN和Sub-VLAN比較特殊：

• Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個Sub-VLAN內(nèi)的主機(jī)與外部的三層通信是靠Super-VLAN的三層VLANIF接口來實現(xiàn)的。
• Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網(wǎng)網(wǎng)關(guān)對應(yīng)。與普通VLAN不同的是，它的VLANIF接口的Up不依賴于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

VLAN聚合實現(xiàn)示意圖

按照VLAN聚合的實現(xiàn)方式，令VLAN10為Super-VLAN，分配子網(wǎng)10.1.1.0/24，VLAN2～VLAN4作為Super-VLAN10的Sub-VLAN。

1.相同Sub-VLAN內(nèi)部通信

同一個Sub-VLAN之間屬于同一個廣播域，因此相同Sub-VLAN之間可以通過二層直接通信。

2.不同Sub-VLAN之間通信舉例

不同Sub-VLAN之間進(jìn)行通信，IP地址屬于相同網(wǎng)段，因此主機(jī)會發(fā)送ARP請求，但是實際不同Sub-VLAN之間屬于不同的廣播域，因而ARP報文無法傳遞到其他Sub-VLAN，ARP請求得不到響應(yīng)，設(shè)備無法學(xué)習(xí)到對端MAC地址，從而無法完成Sub-VLAN之間通信。 要實現(xiàn)Sub-VLAN之間的通信，需要在Super-VLAN 的VLANIF中開啟ARP代理功能。

Super-VLAN VLANIF100開啟ARP代理之后PC1和PC2之間通信過程如下：

• PC1發(fā)現(xiàn)PC2與自己在同一網(wǎng)段，且自己ARP表無PC2對應(yīng)表項，則直接發(fā)送ARP廣播請求PC2的MAC地址。
• 作為網(wǎng)關(guān)的Super-VLAN對應(yīng)的VLANIF 100收到PC1的ARP請求，由于網(wǎng)關(guān)上使能Sub-VLAN間的ARP代理功能，則向Super-VLAN 100的所有Sub-VLAN接口發(fā)送一個ARP廣播，請求PC2的MAC地址。
• PC2收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對此請求進(jìn)行ARP應(yīng)答。
• 網(wǎng)關(guān)收到PC2的應(yīng)答后，就把自己的MAC地址回應(yīng)給PC1，PC1之后要發(fā)給PC2的報文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。

3.Sub-VLAN與其他設(shè)備的二層通信

當(dāng)Sub-VLAN與其他設(shè)備進(jìn)行二層通信時，與普通的VLAN內(nèi)二層通信無區(qū)別。

由于Super-VLAN不屬于任何物理接口，即不會處理任何攜帶Super-VLAN標(biāo)簽的報文。

Sub-VLAN二層通信過程舉例：

• 從PC1進(jìn)入SW1的報文會被打上VLAN10的Tag。在SW1中這個Tag不會因為VLAN10是VLAN100的Sub-VLAN而變?yōu)閂LAN100的Tag。
• 當(dāng)報文從SW1的GE0/0/0出去時，依然攜帶VLAN10的Tag。也就是說，SW1本身不會發(fā)出VLAN100的報文。就算其他設(shè)備有VLAN100的報文發(fā)送到該設(shè)備上，這些報文也會因為SW1上沒有VLAN100應(yīng)的物理接口而被丟棄。
• 對于其他設(shè)備而言，有效的VLAN只有Sub-VLAN10，20和30， 所有的報文都是在這些VLAN中交互的。因此，SW1上雖然配置了VLAN聚合，但與其他設(shè)備的二層通信，不會涉及到Super-VLAN，與正常的二層通信流程一樣。

當(dāng)Sub-VLAN內(nèi)的PC需要與其他網(wǎng)絡(luò)進(jìn)行三層通信時，首先將數(shù)據(jù)發(fā)往默認(rèn)網(wǎng)關(guān)，即Super-VLAN對應(yīng)的VLANIF，再進(jìn)行路由。

VLAN聚合應(yīng)用場景

如下圖，某公司擁有多個部門，為了提升業(yè)務(wù)安全性，將不同部門劃分到不同VLAN中。各部門均有訪問Internet需求，且由于業(yè)務(wù)需要，部門1與部門2間需要互通，部門3與部門4間需要互通，但公司IP地址有限。

可通過部署VLAN聚合實現(xiàn)公司的需求，在Switch上部署Super VLAN 2和Super VLAN 3，將Sub VLAN 21和Sub VLAN 22聚合到Super VLAN 2中，將Sub VLAN 31和Sub VLAN 32聚合到Super VLAN 3中。這樣，只需在Switch上為Super VLAN 2和Super VLAN 3分配IP地址，部門1和部門2的用戶可通過Super VLAN 2的IP地址訪問Internet，部門3和部門4的用戶可通過Super VLAN 3的IP地址訪問Internet，既實現(xiàn)了各部門訪問Internet的需求，又節(jié)約了IP地址資源。同時，分別在Switch的Super VLAN 2、Super VLAN 3上配置Proxy ARP，即可實現(xiàn)部門1和部門2間的互通、部門3和部門4間的互通。

VLAN聚合關(guān)鍵配置命令

(1) 創(chuàng)建Super-VLAN：

[Huawei-vlan100] aggregate-vlan

• Super-VLAN中不能包含任何物理接口，VLAN1不能配置為Super-VLAN。
• Super-VLAN中的VLAN ID與Sub-VLAN中的VLAN ID 必須使用不同的 VLAN ID。

(2) 將Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }

將Sub-VLAN加入到Super-VLAN中時，必須保證Sub-VLAN沒有創(chuàng)建對應(yīng)的VLANIF接口。

(3)（可選）使能Super-VLAN對應(yīng)的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable

使能Sub-VLAN間的Proxy ARP功能。

配置舉例

配置VLAN聚合組網(wǎng)圖

某公司擁有多個部門且位于同一網(wǎng)段，為了提升業(yè)務(wù)安全性，將不同部門的用戶劃分到不同VLAN中，如上圖所示，VLAN2和VLAN3屬于不同部門。各部門均有訪問Internet需求，同時由于業(yè)務(wù)需要，不同部門間的用戶需要互通。

1.配置思路

可以在SwitchB上部署VLAN聚合，將不同部門的VLAN聚合到Super VLAN中，這樣，不同部門的用戶可通過Super VLAN訪問Internet。同時，為使部門間用戶互通，在Super VLAN上部署Proxy ARP功能。采用如下思路配置VLAN聚合：

• 在SwitchA和SwitchB上配置VLAN和接口，將不同部門用戶劃分到不同VLAN中，并透傳各VLAN到SwitchB。
• 在SwitchB上配置Super-VLAN及其對應(yīng)的VLANIF接口、上行路由，使不同部門的用戶能夠訪問Internet。
• 在SwitchB上啟用Super-VLAN的Proxy ARP功能，使不同部門的用戶間三層互通。

2.操作步驟

(1) 基本配置，就不再贅述。給出的是關(guān)鍵配置

(2) 在SwitchB上配置Super-VLAN 4，并將VLAN2、VLAN3加入到Super-VLAN 4，作為其Sub-VLAN。

[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit

(3) 創(chuàng)建并配置VLANIF4，使不同部門的用戶可通過Super-VLAN 4訪問Internet。

[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit

(4) 在SwitchB上配置一條到出口網(wǎng)關(guān)Router的缺省靜態(tài)路由，使用戶能夠訪問Internet。

[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2

(5)在SwitchB的Super-VLAN 4下配置Proxy ARP，使不同部門的用戶間三層互通。

[SwitchB] interface vlanif 4 
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit