极简网络是面向下一代园区网络设计的解决方案，目的是帮助客户解决长期存在于传统网络中的诸多问题，例如运维管理工作复杂，终端用户体验保障不足，新业务部署进展缓慢等问题。极简网络通过部署核心认证网关设备，能够实现全网用户集中认证，用户间安全隔离，非核心层设备零维护，用户快速上线且稳定在线等诸多功能，解决传统园区网方案中的诸多不足。Super VLAN 是VLAN 划分的一种方式，能够配合极简网络方案构建VLAN隔离的组网模式，在保障运维简化的同时实现用户间的安全隔离。

Super VLAN 又称为VLAN 聚合，是一种专门优化IP 地址的管理技术。其原理是将一个网段的IP 分给不同的子VLAN(Sub VLAN) 的广播域，不同Sub VLAN 之间二层相互隔离。当Sub VLAN 内的用户需要进行三层通信时，将使用Super VLAN 的虚接口的IP 地址作为网关地址，这样多个VLAN 共享一个IP 地址，从而节省了IP 地址资源。同时，为了实现不同Sub VLAN 间的三层互通及Sub VLAN 与其他网络的互通，需要利用ARP 代理功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。缺省状态下，Super VLAN 和Sub VLAN 的ARP 代理功能是打开的。采用Super VLAN 技术可以节省IP 地址，它只需对包含多个Sub VLAN 的Super VLAN 分配一个IP 地址，既节省地址又方便网络管理。

图1：Super VLAN与Sub VLAN地址划分

下面描述一下VLAN 聚合情况下，两个聚合的Sub-VLAN 之间通信的过程，如上图1所示：

Sub VLAN2 和Sub VLAN4 聚合成Super VLAN3，为Super VLAN3 分配一个IP 子网， Sub VLAN2 和Sub VLAN4 都位于此子网。假设Sub VLAN2 中的一台主机PC1 要与子网中的另一台主机PC2 通信，PC1 发现对方与自己处于同一网段，则直接发出目的IP 的ARP 请求报文。那么三层设备收到该ARP 请求报文后，将其在Sub VLAN2 的范围内直接通过二层广播此报文，并送一份给设备本身的ARP 模块，设备的ARP 模块首先看ARP 请求报文中的目的IP 地址是不是在Sub-VLAN2 中，如果是就丢弃该报文，因为表明它和PC1 在同一个广播域里面，那么目的主机将直接应答给PC1；如果不是就将SuperVLAN3 的MAC 地址应答给，这些Sub VLAN 同属于一个Super VLAN。而每一个Sub VLAN 都是独立PC1，完成ARP 的代理工作。比如PC1 和PC2 的通信就需要通过ARP 代理，由设备转发PC1 发给PC2 的数据包； 而PC1 和PC3 的通信则直接进行无需通过设备转发。

因此，通过部署Super VLAN技术可以实现用户间的安全隔离，同时对非核心层设备的功能要求支持不高，更低成本的满足客户运维简化和用户隔离的需求。