一、MVRP协议：

A、概述：

MRP（Multiple Registration Protocol，多属性注册协议）作为一个属性注册协议的载体，可以用来传递属性信息。MVRP（Multiple VLAN Registration Protocol，多VLAN注册协议）是MRP的一种应用，用于在设备间发布并学习VLAN配置信息。通过MVRP，局域网中的设备可以自动同步VLAN信息，极大地减少了网络管理员的VLAN配置工作。MVRP 协议是基于 IEEE 802.1Q 标准的 VLAN 管理协议，它提供了一种自动化的方式来管理 VLAN 信息。

1、MRP实现机制：

设备上每一个参与协议的端口都可以视为一个应用实体。当MRP应用（如MVRP）在端口上启动之后，该端口就可视为一个MRP应用实体（以下简称MRP实体，同样的，MVRP应用实体简称MVRP实体）。

如图1-1所示，MRP实体通过发送声明类或回收声明类消息（以下简称声明和回收声明），来通知其他MRP实体注册或注销自己的属性信息，并根据其他MRP实体发来的声明或回收声明来注册或注销对方的属性信息。通过MRP机制，一个MRP实体上的配置信息会迅速传遍整个局域网。

以通过MVRP实现VLAN注册和注销为例，MRP的属性注册和注销过程如下：

• 当端口收到一个VLAN的声明时，该端口将注册该声明中的VLAN（该端口将加入到该VLAN中）。

• 当端口收到一个VLAN的回收声明时，该端口将注销该声明中的VLAN（该端口将退出该VLAN）。

MRP支持在MSTI（Multiple Spanning Tree Instance，多生成树实例）的基础上，协助同一局域网内各成员之间传递属性信息。图1-1可以看作是MRP协议在某个MSTI上的实现机制，属于比较简单的一种情况，在实际应用的复杂组网情况下，可能存在多个MSTI，而属性的注册和注销只会在各自的MSTI上进行。有关MSTI的详细介绍，请参见“二层技术-以太网交换配置指导”中的“生成树”。

有四点注意事项：

• 只能用于传播vlan信息本身，无法传播端口的vlan信息

• 只有在创建某vlan的交换机上，才能对该vlan进行删除操作，无法对动态学习的vlan进行删除

• 需要手动配置放行TRUNK端口学习到的vlan

B、MRP 消息：

MRP应用实体之间的信息交换借助于传递各种消息来完成，主要包括Join消息、New消息、Leave消息和LeaveAll消息，它们通过互相配合来确保信息的注册或注销。由于MVRP基于MRP实现，因此，MVRP也是通过MRP消息进行信息交互的。

1、Join 消息：

当一个 MRP 实体配置了某些属性，需要对端实体来注册自己的属性信息时，它会向对端实体发送 Join消息。当一个 MRP实体收到来自对端实体的 Join消息时，它会注册该 Join消息中的属性，并向本设备的 其他实体传播该 Join消息，其他实体收到传播的 Join消息后，向其对端实体发送 Join消息。

MRP实体间发送的 Join消息又分为 JoinEmpty和 JoinIn两种（对于同一设备的实体间传播的 Join 消息则不做区分），二者的区别如下：

• JoinEmpty：用于声明 MRP实体的非注册属性，向对方注册一个还末注册的vlan。比如一个 MRP实体加入了某静态 VLAN（将本地手工创建的 VLAN称为静态 VLAN，通过 MRP消息学习并创建的 VLAN称为动态 VLAN），此时若该实体还没有通过MRP消息注册该VLAN，这时该实体向对端实体发送的Join 消息就为 JoinEmpty消息。

• JoinIn：用于声明 MRP实体的注册属性，向对方注册一个已经注册的vlan。比如 MRP实体加入了某静态 VLAN且通过 MRP消 息注册了该 VLAN，或该实体收到本设备其他实体传播的某 VLAN的 Join信息且通过 MRP 消息注册了该 VLAN，这时该实体向对端实体发送的 Join消息就为 JoinIn消息。

2、New 消息：

New消息的作用和Join消息比较类似，都是用于对属性的声明。不同的是，New消息主要用于MSTP（Multiple Spanning Tree Protocol，多生成树协议）拓扑变化（这里指检测到MSTP的TcDetected事件）的情况。

• 当MSTP拓扑变化时，MRP实体需要向对端实体发送New消息声明拓扑变化。

• 当一个MRP实体收到来自对端实体的New消息时，它会注册该New消息中的属性，并向本设备的其他实体传播该New消息，其他实体收到传播的New消息后，向其对端实体发送该New消息。

3、Leave 消息：

当一个MRP实体注销了某些属性，需要对端实体进行同步注销时，它会向对端实体发送Leave消息。

当一个MRP实体收到来自对端实体的Leave消息时，它会注销该Leave消息中的属性，并向本设备的其他实体传播该Leave消息，其他实体收到传播的Leave消息后，根据该Leave消息中的属性在本设备上的状态，决定是否向其对端实体发送该 Leave消息（比如该Leave消息中的属性为某VLAN，若该VLAN为动态VLAN，且本设备上无实体注册该VLAN，则在设备上删除该VLAN，并向对端实体发送该Leave消息；若该VLAN为静态VLAN，则不向对端实体发送该Leave消息）。

4、LeaveAll消息：

每个MRP实体启动时都会启动各自的LeaveAll定时器，当该定时器超时后，MRP实体就会向对端实体发送LeaveAll消息。

当一个MRP实体收发LeaveAll消息时，它会启动Leave定时器，同时根据自身的属性状态决定是否发送Join消息要求对端实体重新注册某属性。该实体在Leave定时器超时前，重新注册收到的来自对端实体的Join消息中的属性；在Leave定时器超时后，注销所有未重新注册的属性信息，从而周期性地清除网络中的垃圾属性。

C、MRP 定时器：

MRP定义了四种定时器，用于控制各种MRP消息的发送。

1、Periodic定时器：

每个MRP实体启动时都会启动各自的Periodic定时器，来控制MRP消息的周期发送，默认100厘秒。该定时器超时前，实体收集需要发送的MRP消息，在该定时器超时后，将所有待发送的MRP消息封装成尽可能少的报文发送出去，这样减少了报文发送数量。随后再重新启动Periodic定时器，开始新一轮的循环。

Periodic定时器允许用户通过命令行开启或关闭。如果关闭Periodic定时器，则MRP实体不再周期发送MRP消息，仅在LeaveAll定时器超时或收到来自对端实体的LeaveAll消息的情况下会发送MRP消息。

2、Join定时器：

Join定时器用来控制Join消息的发送，默认20厘秒。为了保证消息能够可靠地发送到对端实体，MRP实体在发送Join消息时，将启动Join定时器。如果在该定时器超时前收到了来自对端实体的JoinIn消息，且该JoinIn消息中的属性与发出的Join消息中的属性一致，便不再重发该Join消息，否则在该定时器超时后，当Periodic定时器也超时，它将重发一次该Join消息。

3、Leave定时器：

Leave定时器用来控制属性的注销，默认60厘秒。当MRP实体收到来自对端实体的Leave消息（或收发LeaveAll消息）时，将启动Leave定时器。如果在该定时器超时前，收到来自对端实体的Join消息，且该Join消息中的属性与收到的Leave消息中的属性一致（或与收发的LeaveAll消息中的某些属性一致），则这些属性不会在本实体被注销，其他属性则会在该定时器超时后被注销。

4、LeaveAll定时器：

每个MRP实体启动时都会启动各自的LeaveAll定时器，默认1000厘秒。当该定时器超时后，该实体就会向对端实体发送LeaveAll消息，随后再重新启动LeaveAll定时器，开始新一轮的循环，对端实体在收到LeaveAll消息后也重新启动LeaveAll定时器。

LeaveAll定时器具有抑制机制，即当某个MRP实体的LeaveAll定时器超时后，会向对端实体发送LeaveAll消息，对端实体在收到LeaveAll消息时，重启本实体的LeaveAll定时器，从而有效抑制网络中的LeaveAll消息数。为了防止每次都是同一实体的LeaveAll定时超时，每次LeaveAll定时器重启时，LeaveAll定时器的值都将在一定范围内随机变动。

4、正确取值范围间的依赖关系：

D、MRP协议报文封装格式：

MRP消息通过 MRP协议报文传递，MRP协议报文以特定组播 MAC地址为目的 MAC，如 MVRP 的目的 MAC 地址为 01-80-C2-00-00-21，Type 为 88F5。当设备在收到 MRP 应用实体的报文后， 会根据其目的 MAC地址分发给不同的 MRP应用进行处理。MRP协议报文采用 IEEE 802.3 Ethernet封装格式。协议报文封装格式如下：

E、MVRP的注册模式：

MVRP 传递的 VLAN 配置信息既包括本地手工配置的静态信息，也包括来自其他设备的动态信息。MVRP有三种注册模式，不同注册模式对动态 VLAN的处理方式有所不同。

• Normal模式：该模式下的 MVRP实体允许进行动态 VLAN的注册或注销。

• Fixed模式：该模式下的 MVRP实体禁止进行动态 VLAN的注销，收到的 MVRP报文会被丢 弃。也就是说，在该模式下，实体已经注册的动态 VLAN是不会被注销的，同时也不会注册 新的动态 VLAN。

• Forbidden模式：该模式下的 MVRP实体禁止进行动态 VLAN的注册，收到的 MVRP报文会 被丢弃。同时，将端口的 MVRP注册模式配置为 Forbidden模式时，该端口上除 VLAN1以外 所有已注册的动态 VLAN将被删除。

F、MVRP运行讲解：

参考该篇博文：https://cloud.tencent.com/developer/article/1646212

二、私有VLAN：

A、概述：

以太网的快速发展对传统VLAN网络提出了更高的要求，基于用户安全和管理计费等方面的考虑，一般要求接入用户二层互相隔离。VLAN是天然的隔离手段，很自然的想法是每个用户一个VLAN。如图1所示，Switch B和Switch C上分别接入三个用户，如果给每个用户划分一个VLAN，则需要占用Device A上的六个VLAN资源。

根据IEEE 802.1Q协议规定，设备最大可使用VLAN资源为4094个。对于核心层设备来说，如果每个用户一个VLAN，4094个VLAN远远不够，而且在一般的交换设备中，通常是采用一个VLAN对应一个VLAN接口的方式来实现VLAN之间的互通，这将耗费大量的IP地址、增加部署成本与日常维护管理。为了解决上述问题，PVLAN（Private VLAN，私有VLAN）技术应运而生。

PVLAN技术优点：

• 节省VLAN及IP资源：PVLAN采用两层VLAN隔离技术，即上行Primary VLAN和下行Secondary VLAN。对上行设备而言只可见Primary VLAN，而不必关心Private VLAN中的Secondary VLAN，Primary VLAN下面的Secondary VLAN对上行设备不可见，从而大大节省了上行设备的VLAN资源。

• PVLAN支持L3域功能，对下行不同的Secondary VLAN，均可使用Primary VLAN接口作为网关，并且支持不同Secondary VLAN之间的三层互通，有效地节省了紧缺的IP资源。

• 安全性：下行Secondary VLAN在配置为Isolated VLAN后，具备隔离功能，同一Secondary VLAN内各端口二层隔离，增强了安全性。

• 高性能：PVLAN转发采用MAC地址同步技术，同时PVLAN L3域的广播报文在Primary VLAN内通信时由芯片完成发送，具有较高的转发性能。

B、相关术语：

1、VLAN 组成：

Private VLAN：由一组VLAN集构成，包括1个Primary VLAN和其对应的Secondary VLAN。

Primary VLAN：上行设备感知的用户VLAN，它并不是用户的真正VLAN。即主VLAN，这是一个大 VLAN，包含所有的子 VLAN，并负责处理与外部网络的通信。所有 PVLAN 的配置和管理都基于主 VLAN。

Secondary VLAN：用户真正属于的VLAN。Secondary VLAN有两种类型：Community VLAN和Isolated VLAN。同一Community VLAN内的下行端口（又称为Community port）可以互通，同一Isolated VLAN内的下行端口（又称为Isolated port）相互隔离。缺省情况下，Secondary VLAN为Community VLAN。

• 社区 VLAN（Community VLAN）： 社区 VLAN 中的端口可以与同一社区 VLAN 中的其他端口通信，但不能与其他社区 VLAN 或隔离 VLAN 中的端口进行通信。

• 隔离 VLAN（Isolated VLAN）： 隔离 VLAN 中的端口只可以与主 VLAN 中的端口进行通信，而不能与同一隔离 VLAN 中的其他端口进行通信，也不能与社区 VLAN 中的端口通信。

MAC地址同步技术：

• 各Secondary vlan学习的MAC地址自动同步到Primary vlan

• primary vlan学习的Mac地址会自动同步到各Secondary vlan

2、三类端口：

私有VLAN主要有两种类型的端口：混杂端口（P-Port）和主机端口。主机端口进一步分为两种类型：隔离端口（I-Port）和公共端口（C-Port）。

• 混杂端口（P-Port）：交换机端口连接到路由器，防火墙或其他网关设备。该端口可以与连接到主VLAN或任何辅助VLAN的任何其他端口进行通信。换句话说，它是允许从VLAN中任何其他端口发送和接收数据帧的一种类型的端口。

• 主机端口：

  • 隔离端口：连接到隔离VLAN上的常规主机。此端口只能与P-Port通信。

  • 公共端口：连接到公共VLAN上的常规主机。该端口能与同一个私有VLAN上的P-Port和C-Port端口进行通信。

杂合PVLAN Trunk接口在发送数据帧时，将二级VLAN ID重写为主PVLAN ID。当收到数据帧时，交换机不执行标记操作。而且，也不对普通VLAN的数据帧执行标记操作；
隔离PVLAN Trunk接口在发送数据帧时，将主VLAN ID重写为隔离二级VLAN ID。当收到数据帧时，交换机不执行标记操作。而且，也不对普通VLAN的数据帧执行标记操作。

C、实现原理：

PVLAN提供了四种工作模式：Host工作模式、Trunk secondary工作模式、Promiscuous工作模式、Trunk promiscuous工作模式。其中，Promiscuous工作模式和Trunk promiscuous工作模式应用于上行端口；Host工作模式和Trunk secondary工作模式应用于下行端口，与Isolated VLAN一起应用时具有隔离功能。通过这四种工作模式，可以对PVLAN的应用进行灵活组网。

各工作模式端口间的互通关系如图所示（假设上行端口工作在Promiscuous模式，Trunk promiscuous模式的上行端口与此相同）：Community port与Promiscuous port之间可以互通，Community port之间可以互通；Isolated port与Promiscuous port之间可以互通，Isolated port之间不能互通

除了如图所示支持本设备内下行端口隔离之外，同样也支持Isolated VLAN的跨设备隔离。对于Isolated VLAN的跨设备隔离，要求报文可以携带Isolated VLAN Tag发送到其它设备上，借助Trunk口（或Hybrid口），可以完成跨设备的隔离。如图3所示，对于Device A到Device B的流量，Community port之间能够互通，Isolated port之间不能互通。

三、超级 VLAN：

A、为何需要：

1、缘由：

交换网络中，VLAN技术以其对广播域的灵活控制和部署方便而得到了广泛的应用。但是在一般的三层交换机中，通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通，这在某些情况下导致了IP地址的浪费。因为一个VLAN对应的子网中，子网号、子网定向广播地址、子网缺省网关地址不能用作VLAN内的主机IP地址，且子网中实际接入的主机可能少于编址数，多出来的IP地址也会因不能再被其他VLAN使用而被浪费掉。

如下图所示的VLAN规划中，VLAN2预计未来有10个主机地址的需求，但按编址方式，至少需要给其分配一个掩码长度是28的子网10.1.1.0/28，其中10.1.1.0为子网号，10.1.1.15为子网定向广播地址，10.1.1.1为子网缺省网关地址，这三个地址都不能用作主机地址，剩下范围在10.1.1.2～10.1.1.14的地址可以被主机使用，共13个。

这样，VLAN2子网至少浪费3个IP地址，三个VLAN子网一起至少浪费9个IP地址。同时，VLAN2子网实际地址需求只有10个，剩余的3个也不能再被其他VLAN使用。网络中的VLAN越多，浪费的IP地址也就越多。

为了解决上述问题，VLAN聚合应运而生。它通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

这样，多个Sub-VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，从而即保证了各个Sub-VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。

2、介绍：

Super VLAN：VLAN Aggregation，VLAN聚合

• 通过引入Super-VLAN和Sub-VLAN的概念

• Sub-VLAN隔离广播域，Super-VLAN聚合Sub-VLAN

最终是多个Sub-VLAN组成一个Super-VLAN。所有Sub-VLAN共用一个IP网段，解决了IP 地址资源浪费的问题。

3、应用场景：

如下图所示，某公司拥有多个部门，为了提升业务安全性，将不同部门划分到不同VLAN中。各部门均有访问Internet需求，且由于业务需要，部门1与部门2间需要互通，部门3与部门4间需要互通，但公司IP地址有限。

可通过部署VLAN聚合实现公司的需求，如右图所示。在Switch上部署Super VLAN 2和Super VLAN 3，将Sub VLAN 21和Sub VLAN 22聚合到Super VLAN 2中，将Sub VLAN 31和Sub VLAN 32聚合到Super VLAN 3中。这样，只需在Switch上为Super VLAN 2和Super VLAN 3分配IP地址，部门1和部门2的用户可通过Super VLAN 2的IP地址访问Internet，部门3和部门4的用户可通过Super VLAN 3的IP地址访问Internet，既实现了各部门访问Internet的需求，又节约了IP地址资源。

同时，分别在Switch的Super VLAN 2、Super VLAN 3上配置Proxy ARP，即可实现部门1和部门2间的互通、部门3和部门4间的互通。

B、工作原理：

相对每一个普通VLAN都有一个三层逻辑接口和若干物理接口，VLAN聚合定义的Super-VLAN和Sub-VLAN比较特殊：

• Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。

• Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同的是，它的VLANIF接口的Up不依赖于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

一个Super-VLAN可以包含一个或多个Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

这样，Sub-VLAN间共用同一个网关，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址的目的，消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费

如图所示，按照VLAN聚合的实现方式，令VLAN10为Super-VLAN，分配子网10.1.1.0/24，VLAN2～VLAN4作为Super-VLAN10的Sub-VLAN。

可以看出，Sub-VLAN2、Sub-VLAN3和Sub-VLAN4共用一个子网10.1.1.0/24，这样，该网络中就只有一个子网号10.1.1.0、一个子网缺省网关地址10.1.1.1和一个子网定向广播地址10.1.1.255共三个IP地址不能被主机使用，其余都可以被主机使用。而且，各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据其各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，比如Sub-VLAN2实际需要10个，就给它分配10.1.1.2～10.1.1.11的地址段。

C、VLAN之间通信：

1、Sub-VLAN之间的通信：

VLAN聚合在实现不同VLAN共用同一子网网段地址的同时，也给Sub-VLAN间的三层转发带来了问题。普通VLAN中，不同VLAN内的主机可以通过各自不同的网关进行三层互通。但是Super-VLAN中，所有Sub-VLAN内的主机使用的是同一个网段的地址，共用同一个网关地址，主机只会做二层转发，而不会送网关进行三层转发。即实际上，不同Sub-VLAN的主机在二层是相互隔离的，这就造成了Sub-VLAN间无法通信的问题。解决这一问题的方法就是使用Proxy ARP。

如下图所示，假设Sub-VLAN2内的主机Host_1与Sub-VLAN3内的主机Host_2要通信，在Super-VLAN10的VLANIF接口上启用Proxy ARP。

Proxy ARP实现不同Sub-VLAN间的三层通信组网图如右侧

Host_1与Host_2的通信过程如下（假设Host_1的ARP表中无Host_2的对应表项）：

1. Host_1将Host_2的IP地址（10.1.1.12）和自己所在网段10.1.1.0/24进行比较，发现Host_2和自己在同一个子网，但是Host_1的ARP表中无Host_2的对应表项。

2. Host_1发送ARP广播报文，请求Host_2的MAC地址，目的IP为10.1.1.12。

3. 网关L3 Switch收到Host_1的ARP请求，由于网关上使能Sub-VLAN间的Proxy ARP，开始使用报文中的目的IP地址在路由表中查找，发现匹配了一条路由，下一跳为直连网段（VLANIF10的10.1.1.0/24），VLANIF10对应Super-VLAN10，则向Super-VLAN10的所有Sub-VLAN接口发送一个ARP广播，请求Host_2的MAC地址。

4. Host_2收到网关发送的ARP广播后，对此请求进行ARP应答。

5. 网关收到Host_2的应答后，就把自己的MAC地址回应给Host_1。

6. Host_1之后要发给Host_2的报文都先发送给网关，由网关做三层转发。

Host_2发送报文给Host_1的过程和上述的Host_1发送报文给Host_2的过程类似，不再赘述。

2、Sub-VLAN与其他网络的三层通信：

如下图所示，用户主机与服务器处于不同的网段中，Switch_1上配置了Sub-VLAN2、Sub-VLAN3、Super-VLAN4和VLAN10，Switch_2上配置了VLAN10和VLAN20。

Sub-VLAN与其他网络的三层通信组网图如右侧

假设Sub-VLAN2下的主机Host_1想访问与Switch_2相连的Server，报文转发流程如下（假设Switch_1上已配置了去往10.1.2.0/24网段的路由，Switch_2上已配置了去往10.1.1.0/24网段的路由，但两交换机没有任何三层转发表项）：

1. Host_1将Server的IP地址（10.1.2.2）和自己所在网段10.1.1.0/24进行比较，发现和自己不在同一个子网，发送ARP请求给自己的网关，请求网关的MAC地址，目的MAC为全F，目的IP为10.1.1.1。

2. Switch_1收到该请求报文后，查找Sub-VLAN和Super-VLAN的对应关系，知道应该回应Super-VLAN4对应的VLANIF4的MAC地址，并知道从Sub-VLAN2的接口回应给Host_1。

3. Host_1学习到网关的MAC地址后，开始发送目的MAC为Super-VLAN4对应的VLANIF4的MAC地址、目的IP为10.1.2.2的报文。

4. Switch_1收到该报文后，根据Sub-VLAN和Super-VLAN的对应关系以及目的MAC判断进行三层转发，查三层转发表项没有找到匹配项，上送CPU查找路由表，得到下一跳地址为10.1.10.2，出接口为VLANIF10，并通过ARP表项和MAC表项确定出接口，把报文发送给Switch_2。

5. Switch_2根据正常的三层转发流程把报文发送给Server。

Server收到Host_1的报文后给Host_1回应，回应报文的目的IP为10.1.1.2，目的MAC为Switch_2上VLANIF20接口的MAC地址，回应报文的转发流程如下：

1. Server给Host_1的回应报文按照正常的三层转发流程到达Switch_1。到达Switch_1时，报文的目的MAC地址为Switch_1上VLANIF10接口的MAC地址。

2. Switch_1收到该报文后根据目的MAC地址判断进行三层转发，查三层转发表项没有找到匹配项，上送CPU，CPU查路由表，发现目的IP为10.1.1.2对应的出接口为VLANIF4，查找Sub-VLAN和Super-VLAN的对应关系，并通过ARP表项和MAC表项，知道报文应该从Sub-VLAN2的接口发送给Host_1。

3. 回应报文到达Host_1。

3、Sub-VLAN与其他设备的二层通信：

如下图所示，Switch_1上配置了Sub-VLAN2、Sub-VLAN3和Super-VLAN4，Switch_1的IF_1和IF_2配置为Access接口，IF_3接口配置为Trunk接口，并允许VLAN2和VLAN3通过；Switch_2连接Switch_1的接口配置为Trunk接口，并允许VLAN2和VLAN3通过

Sub-VLAN与其他设备的二层通信组网图如右侧

从Host_1进入Switch_1的报文会被打上VLAN2的Tag。在Switch_1中这个Tag不会因为VLAN2是VLAN4的Sub-VLAN而变为VLAN4的Tag。该报文从Switch_1的Trunk接口IF_3出去时，依然是携带VLAN2的Tag。

也就是说，Switch_1本身不会发出VLAN4的报文。就算其他设备有VLAN4的报文发送到该设备上，这些报文也会因为Switch_1上没有VLAN4对应的物理接口而被丢弃。因为Switch_1的IF_3接口上根本就不允许Super-VLAN4通过。对于其他设备而言，有效的VLAN只有Sub-VLAN2和Sub-VLAN3，所有的报文都是在这些VLAN中交互的。

这样，Switch_1上虽然配置了VLAN聚合，但与其他设备的二层通信，不会涉及到Super-VLAN，与正常的二层通信流程一样，此处不再赘述。

四、私有VLAN和 超级 VLAN对比：

10-MVRP配置-新华三集团-H3C

H3C S12500系列路由交换机 配置指导-R1828P04-6W182_二层技术-以太网交换配置指导_MVRP配置-新华三集团-H3C

MVRP（Multiple Registration Protocol，多属性注册协议）技术-腾讯云开发者社区-腾讯云

PVLAN技术白皮书-新华三集团-H3C

什么是Super VLAN? 为什么需要Super VLAN？ - 华为

juejin.cn