锐捷Ruijie交换机super vlan配置命令

功能简介： 
Super vlan：Super VLAN是VLAN划分的一种方式。Super VLAN又称为VLAN聚合，是一种专门优化IP地址的管理技术。其原理是将一个网段的IP分给不同的子VLAN(Sub VLAN)，这些Sub VLAN同属于一个Super VLAN。而每一个Sub VLAN都是独立的广播域，不同Sub VLAN 之间二层相互隔离。当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN 的虚接口的IP 地址作为网关地址，这样多个VLAN 共享一个IP 地址段，从而节省了IP 地址资源。同时，为了实现不同Sub VLAN 间的三层互通及Sub VLAN 与其他网络的互通，需要利用ARP 代理功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。 
Sub VLAN的二层通信：如果Super VLAN没有配置SVI，Super VLAN内的各个Sub VLAN之间是二层隔离的，即Sub VLAN内的用户之间不能通信；如果Super VLAN配置了SVI，通过Super VLAN的网关作为ARP代理，同一Super VLAN内的Sub VLAN之间可以通信，因为这些Sub VLAN用户的IP是同一个网段，认为还是二层通信。 
Sub VLAN的三层通信：Sub VLAN内的用户要跨网段进行三层通信时，其所属的Super VLAN的网关作为ARP代理， 代替Sub VLAN回应ARP请求。 
缺省状态下，Super VLAN和Sub VLAN的ARP 代理功能是打开的。采用Super VLAN技术可以极大的节省IP地址，它只需对包含多个Sub VLAN的Super VLAN分配一个IP地址，既节省地址又方便网络管理。 

一、组网需求  
核心交换机A作为用户网关设备，通过Trunk口下联接入设备Switch B、Switch C、Switch D。要求接入用户通过划分VLAN实现二层隔离，所有VLAN用户共享一个IP网关，实现三层通信以及与外网通信。 

二、组网拓扑  

三、配置要点  
1）在接入设备（Switch B、Switch C、Switch D）上仅需按照普通VLAN （本例为VLAN 10、VLAN 20、VLAN 30）进行配置 
2）在用户网关设备上配置创建Super vlan，将接入设备上的VLAN10、20、30设置为Sub-VLAN。 
3）为Super VLAN设置SVI口，并且为各个Sub-VLAN分配IP地址范围 

四、配置步骤  
核心交换机配置 
1、创建VLAN 2、VLAN 10、VLAN 20、VLAN 30。 
Ruijie>en 
Ruijie#configure terminal 
Ruijie(config)#vlan 2 
Ruijie(config-vlan)#exit 
Ruijie(config)#vlan 10 
Ruijie(config-vlan)#exit 
Ruijie(config)#vlan 20 
Ruijie(config-vlan)#exit 
Ruijie(config)#vlan 30 
Ruijie(config-vlan)#exit 

2、设置VLAN 2为Super VLAN，对应的Sub-VLAN为VLAN 10、VLAN 20、VLAN 30。 
Ruijie(config)#vlan 2 
Ruijie(config-vlan)#supervlan ------>设置Vlan2为Super vlan  
Ruijie(config-vlan)#subvlan 10,20,30 ------>管理sub vlan 10、20、30  
Ruijie(config-vlan)#exit 
注：supervlan 广播报文会往所有subvlan进行复制，如果subvlan配置过多会导致性能问题，因此为了不影响转发性能，subvlan个数不宜配置过多。  

3、设置Super VLAN 2对应的三层虚拟接口，与Super VLAN 2关联的所有Sub-VLAN用户将通过该接口进行三层通信。 
Ruijie(config)#interface vlan 2 ------>配置Super vlan的SVI地址  
Ruijie(config-if-VLAN 2)#ip address 192.168.196.1 255.255.255.0 

4、设置Sub-VLAN 10的IP地址范围为192.168.196.10~192.168.196.50，Sub-VLAN 20的IP地址范围为192.168.196.60~192.168.196.100，Sub-VLAN 30的IP地址范围为192.168.196.110~192.168.196.150。  
Ruijie(config)#vlan 10 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.10 192.168.196.50 
Ruijie(config-vlan)#exit 
Ruijie(config)#vlan 20 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.60 192.168.196.100 
Ruijie(config-vlan)#exit 
Ruijie(config)#vlan 30 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.110 192.168.196.150 

5、设置端口Gi 0/1、Gi 0/5、Gi 0/9为Trunk口，用于连接Switch B、Switch C、Switch D。 
Ruijie(config)#interface range gigabitEthernet 0/1,0/5,0/9 
Ruijie(config-if-range)#switchport mode trunk 

6、保存配置 
Ruijie(config-if-range)#end  
Ruijie#write ------> 确认配置正确，保存配置 

重要说明：  
1、默认交换机Super vlan代理ARP功能是开启的，这样Sub vlan之间是可以互访的，如果要阻止Sub vlan之间的互访，需要关闭Super vlan的代理功能，命令如下： 
Ruijie(config)#vlan 2 ------>进入Super vlan配置模式  
Ruijie(config-vlan)#no proxy-arp ------>关闭Super vlan的代理功能  
Ruijie(config-vlan)#end 
Ruijie# 
2、（该点适用于非11.X软件平台）在Sub vlan比较多的情况下可能会导致CPU过高。主要进程是Tarptime及ef_res，例如： 
Ruijie#sh cpu 
======================================= 
CPU Using Rate Information 
CPU utilization in five seconds: 74% 
CPU utilization in one minute : 74% 
CPU utilization in five minutes: 75% 
NO 5Sec 1Min 5Min Process 
0 5% 4% 4% LISR INT 
1 3% 2% 2% HISR INT 
45 6% 5% 6% tnet 
47 14% 19% 20% Tarptime 
48 0% 0% 0% gra_arp 
49 0% 0% 0% Ttcptimer 
50 27% 23% 20% ef_res 
原因是当其他网段用户访问Super Vlan里面的某些用户，当这些用户又不存在的时候，由于SuperVLAN转发IP报文给用户需要先解析用户的ARP信息，由于没有查询到该用户的ARP表项，故交换机会往所有的Sub vlan发送ARP请求，如果Sub vlan比较多，那么就需要发送大量的ARP报文，这样需要消耗很大的CPU资源。导致CPU过高。 
如果确认是该问题导致，缓解办法可以适当调整ARP请求报文的发包频率，例如修改成每10秒一次，重传2次，命令如下： 
Ruijie(config)#arp retry times 2 
Ruijie(config)#arp retry interval 10 
默认缺省是每秒1次，重传5次。 
最终解决办法是适当减少Sub vlan的个数 
3、如果是DHCP 环境，那么是不需要指定Sub vlan地址范围的，也就是不需要配置如下命令： 
Ruijie(config)#vlan 10 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.10 192.168.196.50 
Ruijie(config-vlan)#vlan 20 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.60 192.168.196.100 
Ruijie(config-vlan)#vlan 30 
Ruijie(config-vlan)#subvlan-address-range 192.168.196.110 192.168.196.150 
这样同一个Sub vlan的地址就是随机的，根据接入交换机端口vlan的划分来确定PC属于哪个Sub vlan。 

4、接入交换机上联口关闭风暴抑制或调整放大 
当其他网段用户访问Super Vlan里面的某些用户，当这些用户又不存在的时候，由于SuperVLAN转发IP报文给用户需要先解析用户的ARP信息，由于没有查询到该用户的ARP表项，故交换机会往所有的Sub vlan发送ARP请求，如果Sub vlan比较多，那么就需要发送大量的ARP报文。 
包括DHCP环境下，大量广播报文在每个Subvlan中发送，如果subvlan较多，每个subvlan都会复制一份广播报文。 
此场景下，可能出现接入交换机上联口默认打开了广播风暴抑制而导致部分广播报文被丢弃的情况，导致DHCP报文或ARP报文被丢弃，建议将接入交换机上联口的风暴控制关闭，调整方法参考“基础配置--》端口配置--》广播风暴控制” 

5、另外Super vlan本身有如下限制
（1）Super VLAN不能包含任何成员口，只能包含Sub VLAN，由Sub VLAN包含实际的物理接口。 
（2）Super VLAN不能做为其它Super VLAN的Sub VLAN。 
（3）vlan 1不能作为SuperVLAN。 
（4）Sub VLAN不能配置为网络接口，不能配置IP地址 

五、功能验证 
查看Super vlan 
Ruijie#show supervlan