一、VLAN Aggregation

VLAN Aggregation（VLAN聚合，也称Super VLAN）技术就是在一个物理网络内，用多个VLAN隔离广播域，使不同的VLAN 属于同一个子网。

Super-VLAN：和通常意义上的VLAN不同，它只建立三层接口，与该子网对应，而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。

Sub-VLAN：只包含物理端口，用于隔离广播域的VLAN，不能建立三层VLAN接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。

一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

拓扑描述

Super-VLAN（VLAN10）包含Sub-VLAN（VLAN2 和VLAN3）

上述拓扑假设S1已经开启了Sub-VLAN间的ARP Proxy功能，通信过程如下：

PC1将PC2的IP 地址（1.1.1.20）和自己所在网段1.1.1.0/24 进行比较，发现PC2和自己在同一个子网，但是PC1的ARP表中无PC2的对应表项。

PC1发送ARP广播，请求PC2的MAC 地址。

PC2并不在VLAN2的广播域内，无法接收到PC1的这个ARP请求。

由于网关上使能Sub-VLAN间的ARP Proxy，当网关收到PC1的ARP请求后，开始在路由表中查找，发现ARP请求中的PC2的IP地址（1.1.1.20）为直连接口路由，则网关向所有其他Sub-VLAN接口发送一个ARP广播，请求PC2的MAC地址。

PC2收到网关发送的ARP广播后，对此请求进行ARP应答。

网关收到PC2的应答后，就把自己的MAC地址当作PC2的MAC地址回应给PC1。

网关和PC1的ARP表项中都存在PC2的对应表项。

PC1之后要发给B的报文都先发送给网关，由网关做三层转发。

拓扑描述

从PC1侧Port1进入设备S1的帧会被打上VLAN2的Tag，在设备S1中这个Tag不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的Tag。该数据帧从Trunk类型的接口Port3出去时，依然是携带VLAN2的Tag。设备S1本身不会发出VLAN10的报文。就算其他设备有VLAN10的报文发送到该设备上，这些报文也会因为设备S1上没有VLAN10对应物理端口而被丢弃。

Super-VLAN中是不存在物理端口的，这种限制是强制的，表现在：

如果先配置了Super-VLAN，再配置Trunk接口时，Trunk的VLAN allowed表项里就自动滤除了Super VLAN。

如果先配好了Trunk端口，并允许所有VLAN通过，则在此设备上将无法配置Super-VLAN。本质原因是有物理端口的VLAN都不能被配置为Super VLAN。而允许所有VLAN通过的Trunk端口是所有VLAN的tagged端口，当然任何VLAN 都不能被配置为Super VLAN。

对于设备S1而言，有效的VLAN只有VLAN2和VLAN3，所有的数据帧都在这两个VLAN中转发的。

拓扑描述

S2上配置了Super-VLAN 4，Sub-VLAN 2和Sub-VLAN 3，并配置一个普通的VLAN10；Switch2上配置两个普通的VLAN 10和VLAN 20。假设Super-VLAN 4中的Sub-VLAN 2下的主机A 想访问与S1 相连的主机C，假设设S2上已配置了去往1.1.3.0/24网段的路由，Switch2上已配置了去往1.1.1.0/24网段的路由：

PC1将PC3的IP地址（1.1.3.2）和自己所在网段1.1.1.0/24进行比较，发现PC3和自己不在同一个子网。

PC1发送ARP请求给自己的网关，请求网关的MAC地址。

S2收到该ARP请求后，查找Sub-VLAN和Super-VLAN的对应关系，从Sub-VLAN 2发送ARP应答给PC1。ARP应答报文中的源MAC地址为Super-VLAN 4对应的VLANIF4的MAC地址。

PC1学习到网关的MAC地址。

PC1向网关发送目的MAC为Super-VLAN 4对应的VLANIF4的MAC、目的IP为1.1.3.2的报文。

S2收到该报文后进行三层转发，下一跳地址为1.1.2.2，出接口为VLANIF10，把报文发送给S1。

S1收到该报文后进行三层转发，通过直连出接口VLANIF20，把报文发送给PC3。

PC3的回应报文，在Switch2上进行三层转发到达Switch1。

Switch1收到该报文后进行三层转发，通过super-VLAN，把报文发送给PC1。

打赏