VLAN技术在园区网络中应用非常广泛，通常利用VLAN进行广播域的隔离，每个VLAN属于一个广播域。网络规划时需要为每个广播域分配一个网关，如果VLAN数量过多，会导致IP地址规划难度加大，甚至会出现大量IP地址的浪费。

VLAN聚合概述

VLAN聚合（VLAN Aggregation,也称Super-Vlan）

指在同一个物理网内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，进而达到节约IP地址资源的目的

Sub-VLAN

只包含物理接口，不能建立三层的VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部三层通信是靠Super-VLAN的三层VLANIF接口来实现的

Super-VLAN

只能建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同，Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态

VLAN聚合的原理

每个Sub-VLAN对应一个广播域，多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

VLAN聚合的应用

传统VLAN方式每一个VLAN需要划分不同的IP地址网段，在本例中需要耗费4个IP网段和产生4条路由条目；Super-VLAN方式只需要分配一个IP地址网段，下属二层VLAN共用同一个IP地址网段，共用同一个三层网关，同时VLAN之间保持二层隔离。

同Sub-VLAN内部通信

同一个Sub-VLAN之间属于同一个广播域，因此相同Sub-VLAN之间可以通过二层直接通信。

不同Sub-VLAN之间通信

Super-VLAN VLANIF100开启ARP代理之后PC1和PC2之间通信过程如下：

1.PC1发现PC2与自己在同一网段，且自己ARP表无PC2对应表项，则直
接发送ARP广播请求PC2的MAC地址。

2. 作为网关的Super-VLAN对应的VLANIF 100收到PC1的ARP请求，由于
网关上使能Sub-VLAN间的ARP代理功能，则向Super-VLAN 100的所有
Sub-VLAN接口发送一个ARP广播，请求PC2的MAC地址。

3. PC2收到网关发送的ARP广播后，对此请求进行ARP应答。

4. 网关收到PC2的应答后，就把自己的MAC地址回应给PC1，PC1之后
要发给PC2的报文都先发送给网关，由网关做三层转发。

Sub-VLAN与其他设备的二层通信

当Sub-VLAN与其他设备进行二层通信时，与普通的VLAN内二层通信无区别。

1.从PC1进入SW1的报文会被打上VLAN10的Tag。在SW1中这个Tag不会因为VLAN10是
VLAN100的Sub-VLAN而变为VLAN100的Tag。

2.当报文从SW1的GE0/0/0出去时，依然携带VLAN10的Tag。也就是说，SW1本身不会发
出VLAN100的报文。就算其他设备有VLAN100的报文发送到该设备上，这些报文也会
因为SW1上没有VLAN100应的物理接口而被丢弃。

3.对于其他设备而言，有效的VLAN只有Sub-VLAN10，20和30， 所有的报文都是在这些
VLAN中交互的。因此，SW1上虽然配置了VLAN聚合，但与其他设备的二层通信，不会
涉及到Super-VLAN，与正常的二层通信流程一样。

Sub-VLAN与其他设备的三层通信

当Sub-VLAN内的PC需要与其他网络进行三层通信时，首先将数据发往默认网关，即SuperVLAN对应的VLANIF，再进行路由。

VLAN聚合关键配置命令

1.创建Super-VLAN

[Huawei-vlan100] aggregate-vlan
//Super-VLAN中不能包含任何物理接口，VLAN1不能配置为Super-VLAN。
//Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID 必须使用不同的 VLAN ID。

2.将Sub-VLAN加入Super-VLAN

[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }
//将Sub-VLAN加入到Super-VLAN中时，必须保证Sub-VLAN没有创建对应的VLANIF接口。

3.（可选）使能Super-VLAN对应的VLANIF接口的Proxy ARP

[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable
//使能Sub-VLAN间的Proxy ARP功能。

MUX VLAN

在企业网络中，各个部门之间网络需要相互独立，通常用VLAN技术可以实现这一要求。如果企业规模很大，且拥有大量的合作伙伴，要求各个合作伙伴能够访问公司服务器，但是不能相互访问，这时如果使用传统的VLAN技术，不但需要耗费大量的VLAN ID，还增加了网络管理者的工作量同时也增加了维护量。

MUX VLAN基本概念

MUX VLAN分为Principal VLAN（主VLAN）和Subordinate VLAN（从VLAN），Subordinate VLAN又分为Separate VLAN（隔离型从VLAN）和Group VLAN（互通型从VLAN）。

MUX VLAN的应用

在交换机上，通过把部门A和部门B所在的VLAN分别设置为互
通型从VLAN，把访客区所属的VLAN设置为隔离型从VLAN，把
服务器所连接口所属VLAN设置为Principal VLAN，即主VLAN。
并且所有从VLAN都与主VLAN绑定。从而实现如下网络设计要
求：
▫ 部门A内的用户之间能够实现二层互通。
▫ 部门B内的用户之间能够实现二层互通。
▫ 部门A与部门B的用户之间二层隔离。
▫ 部门A和部门B的员工都能够通过二层访问服务器。
▫ 访客区内的任意PC除了能访问服务器之外，不能访问其他任
意设备，包括其他访客。

MUX VLAN配置命令

1. 配置MUX VLAN中的Principal VLAN

[Huawei-vlan100] mux-vlan

2. 配置Subordinate VLAN中的Group VLAN

[Huawei-vlan100] subordinate group { vlan-id1 [ to vlan-id2 ] } 

3. 配置Subordinate VLAN中的Separate VLAN

[Huawei-vlan100] subordinate separate vlan-id

4. 使能接口MUX VLAN功能

[Huawei-GigabitEthernet0/0/1] port mux-vlan enable vlan-id