应用场景：

Super VLAN的主要功能就是能够实现节约IP地址，隔离广播风暴，病毒攻击，控制端口二层互访。特别适用于大二层结构的环境，用户多，vlan多，但是IP地址又是同一个网段，又要实现彼此之间二层隔离，个别VLAN之间又有互访的需求（需要对应的sub vlan开启ARP代理）。常见的场景有宾馆酒店，小区宽带接入，运营商与高校共建的校园网等，他们的特点是一个房间或者一户人家一个vlan，彼此隔离，但是IP地址有限，无法给数量庞大的vlan每个分一个网段IP，只能共用一个IP地址段，比如vlan 10的IP地址段10.10.10.0/24，这样一户人家可能就使用了1-2个IP，造成剩余200多个ip地址浪费。IP地址统一了，也便于网络维护人员管理。

 

Super方案适合于在中小型网络中，客户需求进行二层/三层隔离的场景。和Private VLAN隔离功能相比，Super VLAN属于三层功能，需要三层交换机支持，Private VLAN属于二层交换机支持的功能，Super VLAN的配置较为简单，Private VLAN配置较为复杂，但对用户间的访问控制灵活性不如Private VLAN，Super VLAN内需要查询部分暂时离线的用户时，网关需要在每个子VLAN内广播发送报文，可能较大的消耗设备CPU资源。

 

功能简介：

Super vlan：Super VLAN是VLAN划分的一种方式。Super VLAN又称为VLAN聚合，是一种专门优化IP地址的管理技术。其原理是将一个网段的IP分给不同的子VLAN(Sub VLAN)，这些Sub VLAN同属于一个Super VLAN。而每一个Sub VLAN都是独立的广播域，不同Sub VLAN 之间二层相互隔离。当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN 的虚接口的IP 地址作为网关地址，这样多个VLAN 共享一个IP 地址段，从而节省了IP 地址资源。同时，为了实现不同Sub VLAN 间的三层互通及Sub VLAN 与其他网络的互通，需要利用ARP 代理功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

Sub VLAN的二层通信：如果Super VLAN没有配置SVI，Super VLAN内的各个Sub VLAN之间是二层隔离的，即Sub VLAN内的用户之间不能通信；如果Super VLAN配置了SVI，通过Super VLAN的网关作为ARP代理，同一Super VLAN内的Sub VLAN之间可以通信，因为这些Sub VLAN用户的IP是同一个网段，认为还是二层通信。

Sub VLAN的三层通信：Sub VLAN内的用户要跨网段进行三层通信时，其所属的Super VLAN的网关作为ARP代理， 代替Sub VLAN回应ARP请求。

缺省状态下，Super VLAN和Sub VLAN的ARP 代理功能是打开的。采用Super VLAN技术可以极大的节省IP地址，它只需对包含多个Sub VLAN的Super VLAN分配一个IP地址，既节省地址又方便网络管理。

 

 

一、组网需求

核心交换机A作为用户网关设备，通过Trunk口下联接入设备Switch B、Switch C、Switch D。要求接入用户通过划分VLAN实现二层隔离，所有VLAN用户共享一个IP网关，实现三层通信以及与外网通信。

 

 

二、组网拓扑

三、配置要点

1）在接入设备（Switch B、Switch C、Switch D）上仅需按照普通VLAN （本例为VLAN 10、VLAN 20、VLAN 30）进行配置

2）在用户网关设备上配置创建Super vlan，将接入设备上的VLAN10、20、30设置为Sub-VLAN。

3）为Super VLAN设置SVI口，并且为各个Sub-VLAN分配IP地址范围

 

四、配置步骤  

核心交换机配置

1、创建VLAN 2、VLAN 10、VLAN 20、VLAN 30。

Ruijie>en

Ruijie#configure terminal

Ruijie(config)#vlan 2

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 10

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 20

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 30

Ruijie(config-vlan)#exit

 

2、设置VLAN 2为Super VLAN，对应的Sub-VLAN为VLAN 10、VLAN 20、VLAN 30。

Ruijie(config)#vlan 2

Ruijie(config-vlan)#supervlan    ------>设置Vlan2为Super vlan

Ruijie(config-vlan)#subvlan 10,20,30    ------>管理sub vlan 10、20、30

Ruijie(config-vlan)#exit

注：supervlan 广播报文会往所有subvlan进行复制，如果subvlan配置过多会导致性能问题，因此为了不影响转发性能，subvlan个数不宜配置过多。

 

3、设置Super VLAN 2对应的三层虚拟接口，与Super VLAN 2关联的所有Sub-VLAN用户将通过该接口进行三层通信。

Ruijie(config)#interface vlan 2    ------>配置Super vlan的SVI地址

Ruijie(config-if-VLAN 2)#ip address 192.168.196.1 255.255.255.0

 

4、设置Sub-VLAN 10的IP地址范围为192.168.196.10~192.168.196.50，Sub-VLAN 20的IP地址范围为192.168.196.60~192.168.196.100，Sub-VLAN 30的IP地址范围为192.168.196.110~192.168.196.150。

Ruijie(config)#vlan 10

Ruijie(config-vlan)#subvlan-address-range 192.168.196.10 192.168.196.50

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 20

Ruijie(config-vlan)#subvlan-address-range 192.168.196.60 192.168.196.100

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 30

Ruijie(config-vlan)#subvlan-address-range 192.168.196.110 192.168.196.150

 

5、设置端口Gi 0/1、Gi 0/5、Gi 0/9为Trunk口，用于连接Switch B、Switch C、Switch D。

Ruijie(config)#interface range gigabitEthernet 0/1,0/5,0/9

Ruijie(config-if-range)#switchport mode trunk

 

6、保存配置

Ruijie(config-if-range)#end

Ruijie#write   ------> 确认配置正确，保存配置

 

重要说明：

1、默认交换机Super vlan代理ARP功能是开启的，这样Sub vlan之间是可以互访的，如果要阻止Sub vlan之间的互访，需要关闭Super vlan的代理功能，命令如下：

Ruijie(config)#vlan 2                     ------>进入Super vlan配置模式

Ruijie(config-vlan)#no proxy-arp   ------>关闭Super vlan的代理功能

Ruijie(config-vlan)#end

Ruijie#

2、（该点适用于非11.X软件平台）在Sub vlan比较多的情况下可能会导致CPU过高。主要进程是Tarptime及ef_res，例如：

Ruijie#sh cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds: 74%

CPU utilization in one minute  : 74%

CPU utilization in five minutes: 75%

  NO   5Sec   1Min   5Min   Process

  0     5%     4%     4%    LISR INT

  1     3%     2%     2%    HISR INT

 45     6%     5%     6%    tnet

 47    14%    19%    20%    Tarptime

 48     0%     0%     0%    gra_arp

 49     0%     0%     0%    Ttcptimer

 50    27%    23%    20%    ef_res

原因是当其他网段用户访问Super Vlan里面的某些用户，当这些用户又不存在的时候，由于SuperVLAN转发IP报文给用户需要先解析用户的ARP信息，由于没有查询到该用户的ARP表项，故交换机会往所有的Sub vlan发送ARP请求，如果Sub vlan比较多，那么就需要发送大量的ARP报文，这样需要消耗很大的CPU资源。导致CPU过高。

如果确认是该问题导致，缓解办法可以适当调整ARP请求报文的发包频率，例如修改成每10秒一次，重传2次，命令如下：

Ruijie(config)#arp retry times 2

Ruijie(config)#arp retry interval 10

默认缺省是每秒1次，重传5次。

最终解决办法是适当减少Sub vlan的个数

3、如果是DHCP 环境，那么是不需要指定Sub vlan地址范围的，也就是不需要配置如下命令：

Ruijie(config)#vlan 10

Ruijie(config-vlan)#subvlan-address-range 192.168.196.10 192.168.196.50

Ruijie(config-vlan)#vlan 20

Ruijie(config-vlan)#subvlan-address-range 192.168.196.60 192.168.196.100

Ruijie(config-vlan)#vlan 30

Ruijie(config-vlan)#subvlan-address-range 192.168.196.110 192.168.196.150

这样同一个Sub vlan的地址就是随机的，根据接入交换机端口vlan的划分来确定PC属于哪个Sub vlan。

 

4、接入交换机上联口关闭风暴抑制或调整放大

当其他网段用户访问Super Vlan里面的某些用户，当这些用户又不存在的时候，由于SuperVLAN转发IP报文给用户需要先解析用户的ARP信息，由于没有查询到该用户的ARP表项，故交换机会往所有的Sub vlan发送ARP请求，如果Sub vlan比较多，那么就需要发送大量的ARP报文。

包括DHCP环境下，大量广播报文在每个Subvlan中发送，如果subvlan较多，每个subvlan都会复制一份广播报文。

此场景下，可能出现接入交换机上联口默认打开了广播风暴抑制而导致部分广播报文被丢弃的情况，导致DHCP报文或ARP报文被丢弃，建议将接入交换机上联口的风暴控制关闭，调整方法参考“基础配置--》端口配置--》广播风暴控制”

 

5、另外Super vlan本身有如下限制
（1）Super VLAN不能包含任何成员口，只能包含Sub VLAN，由Sub VLAN包含实际的物理接口。

（2）Super VLAN不能做为其它Super VLAN的Sub VLAN。

（3）vlan 1不能作为SuperVLAN。

（4）Sub VLAN不能配置为网络接口，不能配置IP地址

 

五、功能验证

查看Super vlan

Ruijie#show supervlan

supervlan id   supervlan  arp-proxy  subvlan id  subvlan   arp-proxy       subvlan ip range

------------  -----------  ----------  -----------  -------    ----------  -----------------------------

       2                               ON             10                          ON         192.168.196.10 - 192.168.196.50

                                                            20                         ON         192.168.196.60 - 192.168.196.100

                                                            30                         ON         192.168.196.110 - 192.168.196.150