VLAN聚合簡(jiǎn)介：

VLAN聚合（VLAN Aggregation，也稱(chēng)Super VLAN）指在一個(gè)物理網(wǎng)絡(luò)內(nèi)，用多個(gè)VLAN（稱(chēng)為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個(gè)邏輯的VLAN（稱(chēng)為Super-VLAN），這些Sub-VLAN使用同一個(gè)IP子網(wǎng)和缺省網(wǎng)關(guān)。

通過(guò)引入Super-VLAN和Sub-VLAN的概念，使每個(gè)Sub-VLAN對(duì)應(yīng)一個(gè)廣播域，并讓多個(gè)Sub-VLAN和一個(gè)Super-VLAN關(guān)聯(lián)，只給Super-VLAN分配一個(gè)IP子網(wǎng)，所有Sub-VLAN都使用Super-VLAN的IP子網(wǎng)和缺省網(wǎng)關(guān)進(jìn)行三層通信。

這樣，多個(gè)Sub-VLAN共享一個(gè)網(wǎng)關(guān)地址，節(jié)約了子網(wǎng)號(hào)、子網(wǎng)定向廣播地址、子網(wǎng)缺省網(wǎng)關(guān)地址，且各Sub-VLAN間的界線(xiàn)也不再是從前的子網(wǎng)界線(xiàn)了，它們可以根據(jù)各自主機(jī)的需求數(shù)目在Super-VLAN對(duì)應(yīng)子網(wǎng)內(nèi)靈活的劃分地址范圍，從而即保證了各個(gè)Sub-VLAN作為一個(gè)獨(dú)立廣播域?qū)崿F(xiàn)廣播隔離，又節(jié)省了IP地址資源，提高了編址的靈活性。

原理描述：

VLAN聚合通過(guò)定義Super-VLAN和Sub-VLAN，使Sub-VLAN只包含物理接口，負(fù)責(zé)保留各自獨(dú)立的廣播域；Super-VLAN不包含物理接口，只用來(lái)建立三層VLANIF接口。然后再通過(guò)建立Super-VLAN和Sub-VLAN間的映射關(guān)系，把三層VLANIF接口和物理接口兩部分有機(jī)的結(jié)合起來(lái)，實(shí)現(xiàn)所有Sub-VLAN共用一個(gè)網(wǎng)關(guān)與外部網(wǎng)絡(luò)通信，并用ARP Proxy實(shí)現(xiàn)Sub-VLAN間的三層通信，從而在實(shí)現(xiàn)普通VLAN的隔離廣播域的同時(shí)，達(dá)到節(jié)省IP地址的目的。

Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個(gè)Sub-VLAN內(nèi)的主機(jī)與外部的三層通信是靠Super-VLAN的三層VLANIF接口來(lái)實(shí)現(xiàn)的。

Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網(wǎng)網(wǎng)關(guān)對(duì)應(yīng)。與普通VLAN不同的是，它的VLANIF接口的Up不依賴(lài)于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

一個(gè)Super-VLAN可以包含一個(gè)或多個(gè)Sub-VLAN。Sub-VLAN不再占用一個(gè)獨(dú)立的子網(wǎng)網(wǎng)段。在同一個(gè)Super-VLAN中，無(wú)論主機(jī)屬于哪一個(gè)Sub-VLAN，它的IP地址都在Super-VLAN對(duì)應(yīng)的子網(wǎng)網(wǎng)段內(nèi)。

這樣，Sub-VLAN間共用同一個(gè)網(wǎng)關(guān)，既減少了一部分子網(wǎng)號(hào)、子網(wǎng)缺省網(wǎng)關(guān)地址和子網(wǎng)定向廣播地址的消耗，又實(shí)現(xiàn)了不同廣播域使用同一子網(wǎng)網(wǎng)段地址的目的，消除了子網(wǎng)差異，增加了編址的靈活性，減少了閑置地址浪費(fèi)。

Sub-VLAN之間的通信：

VLAN聚合在實(shí)現(xiàn)不同VLAN共用同一子網(wǎng)網(wǎng)段地址的同時(shí)，也給Sub-VLAN間的三層轉(zhuǎn)發(fā)帶來(lái)了問(wèn)題。普通VLAN中，不同VLAN內(nèi)的主機(jī)可以通過(guò)各自不同的網(wǎng)關(guān)進(jìn)行三層互通。但是Super-VLAN中，所有Sub-VLAN內(nèi)的主機(jī)使用的是同一個(gè)網(wǎng)段的地址，共用同一個(gè)網(wǎng)關(guān)地址，主機(jī)只會(huì)做二層轉(zhuǎn)發(fā)，而不會(huì)送網(wǎng)關(guān)進(jìn)行三層轉(zhuǎn)發(fā)。即實(shí)際上，不同Sub-VLAN的主機(jī)在二層是相互隔離的，這就造成了Sub-VLAN間無(wú)法通信的問(wèn)題。

解決這一問(wèn)題的方法就是使用Proxy ARP。

示列：

如下圖所示，假設(shè)Sub-VLAN2內(nèi)的主機(jī)Host_1與Sub-VLAN3內(nèi)的主機(jī)Host_2要通信，在Super-VLAN10的VLANIF接口上啟用Proxy
ARP。

圖：Proxy ARP實(shí)現(xiàn)不同Sub-VLAN間的三層通信組網(wǎng)圖

Host_1與Host_2的通信過(guò)程如下（假設(shè)Host_1的ARP表中無(wú)Host_2的對(duì)應(yīng)表項(xiàng)）：

Host_1將Host_2的IP地址（10.1.1.12）和自己所在網(wǎng)段10.1.1.0/24進(jìn)行比較，發(fā)現(xiàn)Host_2和自己在同一個(gè)子網(wǎng)，但是Host_1的ARP表中無(wú)Host_2的對(duì)應(yīng)表項(xiàng)。

Host_1發(fā)送ARP廣播報(bào)文，請(qǐng)求Host_2的MAC地址，目的IP為10.1.1.12。

網(wǎng)關(guān)Router收到Host_1的ARP請(qǐng)求，由于網(wǎng)關(guān)上使能Sub-VLAN間的Proxy ARP，開(kāi)始使用報(bào)文中的目的IP地址在路由表中查找，發(fā)現(xiàn)匹配了一條路由，下一跳為直連網(wǎng)段（VLANIF10的10.1.1.0/24），VLANIF10對(duì)應(yīng)Super-VLAN10，則向Super-VLAN10的所有Sub-VLAN接口發(fā)送一個(gè)ARP廣播，請(qǐng)求Host_2的MAC地址。

Host_2收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對(duì)此請(qǐng)求進(jìn)行ARP應(yīng)答。

網(wǎng)關(guān)收到Host_2的應(yīng)答后，就把自己的MAC地址回應(yīng)給Host_1。

Host_1之后要發(fā)給Host_2的報(bào)文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。

Host_2發(fā)送報(bào)文給Host_1的過(guò)程和上述的Host_1發(fā)送報(bào)文給Host_2的過(guò)程類(lèi)似，不再贅述。

Sub_VLAN與其他網(wǎng)絡(luò)的三層通信：

以所示組網(wǎng)為例，介紹Sub-VLAN內(nèi)主機(jī)與其他網(wǎng)絡(luò)內(nèi)的主機(jī)間通信過(guò)程。

如下圖，用戶(hù)主機(jī)與服務(wù)器處于不同的網(wǎng)段中，Router_1上配置了Sub-VLAN2、Sub-VLAN3、Super-VLAN4和VLAN10，Router_2上配置了VLAN10和VLAN20。

圖：Sub-VLAN與其他網(wǎng)絡(luò)的三層通信組網(wǎng)圖

假設(shè)Sub-VLAN2下的主機(jī)Host_1想訪(fǎng)問(wèn)與Router_2相連的Server，報(bào)文轉(zhuǎn)發(fā)流程如下（假設(shè)Router_1上已配置了去往10.1.2.0/24網(wǎng)段的路由，Router_2上已配置了去往10.1.1.0/24網(wǎng)段的路由，但兩設(shè)備沒(méi)有任何三層轉(zhuǎn)發(fā)表項(xiàng)）：

Host_1將Server的IP地址（10.1.2.2）和自己所在網(wǎng)段10.1.1.0/24進(jìn)行比較，發(fā)現(xiàn)和自己不在同一個(gè)子網(wǎng)，發(fā)送ARP請(qǐng)求給自己的網(wǎng)關(guān)，請(qǐng)求網(wǎng)關(guān)的MAC地址，目的MAC為全F，目的IP為10.1.1.1。

Router_1收到該請(qǐng)求報(bào)文后，查找Sub-VLAN和Super-VLAN的對(duì)應(yīng)關(guān)系，知道應(yīng)該回應(yīng)Super-VLAN4對(duì)應(yīng)的VLANIF4的MAC地址，并知道從Sub-VLAN2的接口回應(yīng)給Host_1。

Host_1學(xué)習(xí)到網(wǎng)關(guān)的MAC地址后，開(kāi)始發(fā)送目的MAC為Super-VLAN4對(duì)應(yīng)的VLANIF4的MAC地址、目的IP為10.1.2.2的報(bào)文。

Router_1收到該報(bào)文后，根據(jù)Sub-VLAN和Super-VLAN的對(duì)應(yīng)關(guān)系以及目的MAC判斷進(jìn)行三層轉(zhuǎn)發(fā)，查三層轉(zhuǎn)發(fā)表項(xiàng)沒(méi)有找到匹配項(xiàng)，上送CPU查找路由表，得到下一跳地址為10.1.10.2，出接口為VLANIF10，并通過(guò)ARP表項(xiàng)和MAC表項(xiàng)確定出接口，把報(bào)文發(fā)送給Router_2。

Router_2根據(jù)正常的三層轉(zhuǎn)發(fā)流程把報(bào)文發(fā)送給Server。

Server收到Host_1的報(bào)文后給Host_1回應(yīng)，回應(yīng)報(bào)文的目的IP為10.1.1.2，目的MAC為Router_2上VLANIF20接口的MAC地址，回應(yīng)報(bào)文的轉(zhuǎn)發(fā)流程如下：

Server給Host_1的回應(yīng)報(bào)文按照正常的三層轉(zhuǎn)發(fā)流程到達(dá)Router_1。到達(dá)Router_1時(shí)，報(bào)文的目的MAC地址為Router_1上VLANIF10接口的MAC地址。

Router_1收到該報(bào)文后根據(jù)目的MAC地址判斷進(jìn)行三層轉(zhuǎn)發(fā)，查三層轉(zhuǎn)發(fā)表項(xiàng)沒(méi)有找到匹配項(xiàng)，上送CPU，CPU查路由表，發(fā)現(xiàn)目的IP為10.1.1.2對(duì)應(yīng)的出接口為VLANIF4，查找Sub-VLAN和Super-VLAN的對(duì)應(yīng)關(guān)系，并通過(guò)ARP表項(xiàng)和MAC表項(xiàng)，知道報(bào)文應(yīng)該從Sub-VLAN2的接口發(fā)送給Host_1。

回應(yīng)報(bào)文到達(dá)Host_1。

Sub-VLAN與其他設(shè)備的二層通信：

如下圖所示組網(wǎng)為例，介紹Sub-VLAN內(nèi)主機(jī)與其他設(shè)備的二層通信情況。Router_1上配置了Sub-VLAN2、Sub-VLAN3和Super-VLAN4，_Router_1的_IF_1和IF_2配置為Access接口，IF_3接口配置為T(mén)runk接口，并允許VLAN2和VLAN3通過(guò)；Router_2連接Router_1的接口配置為T(mén)runk接口，并允許VLAN2和VLAN3通過(guò)。

圖：Sub-VLAN與其他設(shè)備的二層通信組網(wǎng)圖

從Host_1進(jìn)入Router_1的報(bào)文會(huì)被打上VLAN2的Tag。在Router_1中這個(gè)Tag不會(huì)因?yàn)閂LAN2是VLAN4的Sub-VLAN而變?yōu)閂LAN4的Tag。該報(bào)文從Router_1的Trunk接口IF_3出去時(shí)，依然是攜帶VLAN2的Tag。

也就是說(shuō)，Router_1本身不會(huì)發(fā)出VLAN4的報(bào)文。就算其他設(shè)備有VLAN4的報(bào)文發(fā)送到該設(shè)備上，這些報(bào)文也會(huì)因?yàn)镽outer_1上沒(méi)有VLAN4對(duì)應(yīng)的物理接口而被丟棄。因?yàn)镽outer_1的IF_3接口上根本就不允許Super-VLAN4通過(guò)。對(duì)于其他設(shè)備而言，有效的VLAN只有Sub-VLAN2和Sub-VLAN3，所有的報(bào)文都是在這些VLAN中交互的。

這樣，Router_1上雖然配置了VLAN聚合，但與其他設(shè)備的二層通信，不會(huì)涉及到Super-VLAN，與正常的二層通信流程一樣。

配置Super-VALN:

配置注意事項(xiàng)：

VLAN1不能配置為Super-VLAN。

配置某VLAN為Super-VLAN后，該VLAN類(lèi)型改變?yōu)?strong>super，不允許任何物理接口加入該VLAN。

流策略只有在Super-vlan的所有Sub-vlan下配置才能生效，在Super-vlan下配置不生效。

配置某個(gè)VLAN為子接口的終結(jié)VLAN后，該VLAN不能再配置為Super-VLAN或Sub-VLAN。

Super-VLAN對(duì)應(yīng)的VLANIF接口配置IP地址后Proxy ARP才能生效。

配置聚合VLAN：

拓?fù)洌?/p>

PC1,2 屬于VLAN10 ，PC3,4屬于VLAN20，通過(guò)聚合VLAN100，實(shí)現(xiàn)共用網(wǎng)關(guān)IP地址，開(kāi)啟VLAN間ARP代理，實(shí)現(xiàn)VLAN間通信。

圖：VLAN聚合配置拓?fù)?/p>

配置參數(shù)：

[SW]discurrent-configuration
#
sysnameSW
#
vlanbatch1020100
//批量創(chuàng)建VLAN
#
vlan100
aggregate-vlan//創(chuàng)建聚合VLAN
access-vlan1020//將valn1020添加進(jìn)聚合和VLAN
#
interfaceVlanif100
ipaddress10.0.100.254255.255.255.0
arp-proxyinter-sub-vlan-proxyenable
//開(kāi)啟VLAN間ARP代理，實(shí)現(xiàn)VLAN間通信
#
interfaceGigabitEthernet0/0/1
portlink-typeaccess
portdefaultvlan10
#
interfaceGigabitEthernet0/0/2
portlink-typeaccess
portdefaultvlan10
#
interfaceGigabitEthernet0/0/3
portlink-typeaccess
portdefaultvlan20
#
interfaceGigabitEthernet0/0/4
portlink-typeaccess
portdefaultvlan20
#

審核編輯：劉清