网络之路25：VLAN进阶实验-Super VLAN

前面我们介绍了一些基础的VLAN配置（网络之路24：VLAN基础实验），基本可以满足一些简单的设备配置需求以及小型办公网络的使用需求，但如果为了应付考试，可能还要稍微多学一点点。

5.8、VLAN进阶实验

日常使用中存在这种场景，某办公室的终端都在同一个网段下面，共享一个网关，但是想实现这些终端在三层互通的同时，还要满足二层隔离的效果，此时就可以使用Super VLAN来实现。

先回顾一下，在一般的交换设备中，通常是采用一个VLAN对应一个VLAN虚接口的方式，通过网关来实现广播域之间的互通，某些情况下，这可能需要比较多的IP地址；虽然VLAN隔离了广播域，但是终端之间通过网关也互通了。而Super VLAN可以通过一个Super VLAN关联多个Sub VLAN的方式对VLAN进行聚合，聚合后，关联的Sub VLAN共用Super VLAN对应VLAN虚接口的IP地址作为三层通信网关。在减少VLAN虚接口的同时，还可以实现不同Sub VLAN之间二层相互隔离。

我们用HCL创建一个简易网络（网络之路11：认识网络设备模拟器HCL）。

图中，4台路由器模拟4个终端，路由器3、4、5属于同一个网段，预计效果为4和5可以互通，但是3不能和4、5互通。

首先创建VLAN 10,并配置为Super VLAN，配置VLAN 2和VLAN 3为Sub VLAN。

#
vlan 2 to 3
#
vlan 10
 supervlan
 subvlan 2 to 3
#
interface GigabitEthernet1/0/2
 port access vlan 2
#
interface GigabitEthernet1/0/3
 port access vlan 3
#
interface GigabitEthernet1/0/4
 port access vlan 3

按照说明，Sub VLAN可以加入物理端口，配置已经成功；而Super VLAN则不能加入物理接口，我们验证一下。

可以看到，两种添加方式都不能生效。

相应的，Sub VLAN不支持创建VLAN虚接口，而Super VLAN则支持创建VLAN虚接口，并配置接口IP地址。

然后我们为路由器3、4、5均配置IP地址，测试一下连通性。

可以看到，RT5可以ping通同VLAN下的RT4，不能ping通网关和RT3，但是能学习到网关的ARP信息，难道是因为跨VLAN的原因？可以结合我们前面配置过的本地代理ARP（网络之路20：ARP配置），在作为Super VLAN的VLAN 10的虚接口上开启本地代理ARP功能，看Super VLAN是否可以利用本地代理ARP功能，实现对Sub VLAN内用户发出的ARP请求和响应报文进行处理，从而实现Sub VLAN之间的三层互通。

#
interface Vlan-interface10
 ip address 10.1.1.1 255.255.255.0
 local-proxy-arp enable

然后再次测试连通性。

这次可以学到所有的ARP了，但是还是不通。

查看Super VLAN的相关信息，验证以上配置是否生效。

回显符合要求，但是测试不符合预期，那就应该是HCL模拟器的问题了。还是参考这个拓扑，我们换上MSR810试一下。

#
vlan 2 to 3
#
vlan 10
 supervlan
 subvlan 2 to 3
#
interface GigabitEthernet0/2
 port access vlan 2
#
interface GigabitEthernet0/3
 port access vlan 3
#
interface GigabitEthernet0/4
 port access vlan 3

测试一下终端访问VLAN 10的虚地址。

可以通，原来模拟器在第一步就出错了，然后再接一台电脑到VLAN 2的GE0/2接口，测试连通性。

虽然可以通，但是时延不稳定不对，应该是通过WLAN过去的，通过tracert查看一下路径。

果然，是通过WLAN互通的，然后取消无线网卡的网关。

再测试一下，现在就不通了。

而此时，VLAN 2下面的终端是可以访问到网关的，到这里，就实现了VLAN 3下面的两台终端可以互通，而不同Sub VLAN之间的终端是相互隔离的，不能互通。

如果我们想实现Sub VLAN之间的三层互通呢？可以在Super VLAN配置本地代理ARP，对Sub VLAN内用户发出的ARP请求和响应报文进行处理，实现互通。接下来，我们在VLAN 10的虚接口上开启本地代理ARP功能，然后再次测试连通性。

#
interface Vlan-interface10
 ip address 10.1.1.1 255.255.255.0
 local-proxy-arp enable

好了，现在可达性和路径都对了。但是这么用的人还是比较少的，还是做隔离使用的比较多一些。