Super-Vlan和MUX-Vlan的原理、配置、区别

Super-Vlan

原理

Super-Vlan也叫Aggregate-Vlan。

一般的三层交换机中，通常是采用一个VLAN对应一个vlanif接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而浪费掉。

 为了解决上述问题，VLAN聚合应运而生。它通过引入Super-Vlan和Sub-Vlan的概念，使每个Sub-Vlan对应一个广播域，并让多个Sub-Vlan和一个Super-Vlan关联，只给Super-Vlan分配一个IP子网，所有Sub-Vlan都使用Super-Vlan的IP子网和缺省网关进行三层通信。

不同Sub-Vlan下的终端默认不能互通，如果要通信，需要在Super-Vlan的VLANIF接口上开启Proxy ARP（代理ARP）。每个Sub-Vlan内的主机与外部的三层通信是靠Super-Vlan的三层VLANIF接口来实现的，Super-Vlan负责实现所有Sub-Vlan共享同一个三层接口的需求，使不同Sub-Vlan内的主机可以共用同一个网关。

Super-Vlan技术主要目的是减少IP地址浪费。

注意：

• Sub-Vlan不占用一个独立的网段。
• VLAN 1不能配置为Super Vlan。
• 一个Super-Vlan可以包含一个或多个Sub-Vlan。
• 同一个Super-Vlan中，无论终端属于哪一个Sub-Vlan，它的IP地址都在Super-Vlan对应的网段内。

配置

如图：

创建vlan2、3、10，vlan2和vlan3作为Sub-Vlan，vlan10作为Super-Vlan，vlan2和vlan3的三层通信通过Super-Vlan的三层接口VLANIF10来实现，如果vlan2和vlan3相互之间想要通信，需要在Super-Vlan的VLANIF10接口上启用代理ARP来实现。

SW1配置如下：

[SW1]vlan batch 2 3 10 //创建vlan    
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24 //配置网关地址
[SW1-Vlanif10]quit    
[SW1]vlan 10 //进入vlan10
[SW1-vlan10]aggregate-vlan     //把vlan10设置为Super-Vlan
[SW1-vlan10]access-vlan 2 3    //把vlan2和vlan3设置为Sub-Vlan
[SW1]interface GigabitEthernet 0/0/1    
[SW1-GigabitEthernet0/0/1]port link-type trunk //与SW2下联链路设置为trunk链路
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 //允许vlan2和vlan3通过

SW2配置如下：

[SW2]vlan batch 2 3
[SW2]interface GigabitEthernet 0/0/1        
[SW2-GigabitEthernet0/0/1]port link-type trunk //与SW1上联链路配置为trunk链路
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 //允许vlan2和vlan3通过
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface GigabitEthernet 0/0/2    
[SW2-GigabitEthernet0/0/2]port link-type access 
[SW2-GigabitEthernet0/0/2]port default vlan 2
[SW2-GigabitEthernet0/0/2]quit
[SW2]interface GigabitEthernet 0/0/3    
[SW2-GigabitEthernet0/0/3]port link-type access     
[SW2-GigabitEthernet0/0/3]port default vlan 3

配置完成后，通信情况如下：

vlan2和vlan3都可以与网关进行通信。虽然它们之间属于相同的网段，但是属于不同的vlan，所以相互之间无法进行通信，如果要进行通信，需要在Super-Vlan上配置代理ARP，命令如下：

[SW1]interface Vlanif 10 //进入三层接口
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable //开启vlan间代理ARP功能

配置完成后，处于相同的网段，不同的vlan，即Sub-Vlan之间就可以相互通信了：

MUX-Vlan

原理

MUX-Vlan（Multiplex VLAN）是一种通过VLAN进行网络资源控制的机制，它提供了二层流量隔离的功能，使得企业内部员工之间可以互相通信，而企业外来访客之间的互访是隔离的。这种机制不仅节省了VLAN资源，还简化了网络管理。

MUX VLAN主要分为三种类型的VLAN：

• 主VLAN（Principal VLAN）：主VLAN端口可以和所有VLAN通信。
• 隔离型VLAN（Separate VLAN）：隔离型VLAN只能和主VLAN通信，自己VLAN的成员也不可通信。
• 互通型VLAN（Group VLAN）：互通型VLAN可以和自己VLAN间成员通信和主VLAN通信，不同的互通型VLAN之间不能通信。

注意：

• 所有主机必须在同一子网
• 端口必须为access模式加入vlan
• 一个MUX-Vlan中可以有多个互通型vlan，但是有且只有一个隔离型vlan

配置

如图：

在一个二层广播域内，将VLAN100设置为主VALN，VLAN200设置为隔离型VLAN，VLAN300设置为互通型VLAN，测试通信结果。

SW1配置如下：

[SW1]vlan batch 100 200 300
[SW1]vlan 100
[SW1-vlan100]mux-vlan //将vlan100启用mux-vlan，并配置为主vlan    
[SW1-vlan100]subordinate separate 200 //将vlan200设置为隔离型vlan
[SW1-vlan100]subordinate group 300 //将vlan300设置为互通型vlan

[SW1]interface GigabitEthernet 0/0/1    
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 200
[SW1-GigabitEthernet0/0/1]port mux-vlan enable //接口下开启mux-vlan功能，否则无法实现隔离

[SW1]interface GigabitEthernet 0/0/2    
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 200
[SW1-GigabitEthernet0/0/2]port mux-vlan enable

[SW1]interface GigabitEthernet 0/0/3    
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 300
[SW1-GigabitEthernet0/0/3]port mux-vlan enable

[SW1]interface GigabitEthernet 0/0/4    
[SW1-GigabitEthernet0/0/4]port link-type access 
[SW1-GigabitEthernet0/0/4]port default vlan 300
[SW1-GigabitEthernet0/0/4]port mux-vlan enable

[SW1]interface GigabitEthernet 0/0/5    
[SW1-GigabitEthernet0/0/5]port link-type access 
[SW1-GigabitEthernet0/0/5]port default vlan 100
[SW1-GigabitEthernet0/0/5]port mux-vlan enable

[SW1]interface GigabitEthernet 0/0/6    
[SW1-GigabitEthernet0/0/6]port link-type access 
[SW1-GigabitEthernet0/0/6]port default vlan 100
[SW1-GigabitEthernet0/0/6]port mux-vlan enable

配置完成后，主机连通性如下：

PC1不能和PC2以及PC3、PC4通信，可以和PC5、PC6通信，PC3可以和PC4、PC5、PC6通信，不能和PC1、PC2通信，满足实验要求。

注意：

每个接口下都要开启mux-vlan功能

在有多个交换机的场景下，每台交换机上都要做如下配置：

[SW1]vlan 100

[SW1-vlan100]mux-vlan //将vlan100启用mux-vlan，并配置为主vlan    

[SW1-vlan100]subordinate separate 200 //将vlan200设置为隔离型vlan

[SW1-vlan100]subordinate group 300 //将vlan300设置为互通型vlan

Super-Vlan和MUX-Vlan的区别

Super-VLAN 和 MUX-VLAN 有以下区别：

功能作用

• Super-VLAN：主要用于解决 IP 地址浪费问题。通过将多个 Sub-VLAN 聚合成一个 Super-VLAN，多个 Sub-VLAN 共用一个 IP 网段和 Super-VLAN 的三层接口 IP 地址作为网关，实现不同 Sub-VLAN 间的三层互通。
• MUX-VLAN：用于实现同一 VLAN 内用户的不同访问控制需求。它将 VLAN 分为主 VLAN、互通型 VLAN 和隔离型 VLAN，主 VLAN 内的接口可以与所有接口通信，互通型 VLAN 内接口可互相通信且能与主 VLAN 通信，隔离型VLAN 内接口不能互相通信，但能与主 VLAN 通信。

所属层次

• Super-VLAN：属于三层功能，需要三层交换机支持，通过配置三层 VLANIF 接口实现 Sub-VLAN 间的三层通信。
• MUX-VLAN：属于二层交换机功能，在二层实现对 VLAN 内用户的访问控制。

配置复杂度

• Super-VLAN：配置相对简单，只需创建 Super-VLAN 和 Sub-VLAN，并将 Sub-VLAN 与 Super-VLAN 关联，配置 Super-VLAN 的三层接口 IP 地址即可。
• MUX-VLAN：配置较为复杂，需要先创建主 VLAN 和从 VLAN，然后将接口加入相应的 VLAN，并在接口上使能 MUX-VLAN 功能。

应用场景

• Super-VLAN：适用于企业或机构内部网络中，不同部门或区域需要隔离广播域，但又希望节省 IP 地址资源的场景。
• MUX-VLAN：适用于如酒店、小区、数据中心等场景，同一 VLAN 内的用户有不同的通信需求，部分用户需要互相隔离，部分用户需要互相通信，同时所有用户都需要访问外部网络。