SUPERVLAN+SUBVLAN的方式我想大家都用得已经得心应手了吧?的确在启用SUPERVLAN情况下，组网变的很灵活，端口(SUBVLAN)的隔离和IP地址的节约、路由条目的减少，都突出了SUPERVLAN的优点。

　　其实SUPERVLAN的原理比较简单，就是隔离了各个SUBVLAN之间的ARP请求，只能和SUPERVLAN交互ARP，这样就起到了隔离和路由的作用。如下图：

　　IP=192.168.0.2的主机放送请求IP=192.168.0.3的ARP广播是不能到达SUBVLAN SUB2的，所以个个SUBVLAN之间可以隔离;IP=192.168.0.2的主机请求SUPERVLAN的IP=192.168.0.1(即网关地址)则可以由交换机响应，所以可以路由出去。但是这里涉及到一个问题，如果是外网发送数据，需要交换机发起ARP请求的时候，交换机需要做什么呢?

　　传统的三层VLAN，虽然一个VLAN里有多个端口，但端口都属于同一个VLAN，如果需要交换机发起ARP请求，交换机的CPU只需要“制作”一个ARP REQUEST广播报文在这个VLAN广播一下就OK了!如下图所示：

　　但前面已经提到了，对于SUPERVLAN下接的SUBVLAN每个之间都是隔离广播的，而且交换机也不能判断出来需要的目的IP主机到底在那个SUBVLAN下面，因此需要交换机的CPU为每一个SUBVLAN“制作”一个ARP请求，在各个SUBVLAN里转发，正常情况下，交换机当然处理得过来，网络倒还相安无事。

　　但，网络中如果出现了网络的病毒呢?病毒的交换机的影响和作用，我就不在这里多说了。大量的ARP请求需要交换机去完成，而且每一次ARP的攻击，在SUPERVLAN的模式下，都会乘以SUBVLAN的个数，即SUBVLAN越多，需要交换机CPU做的ARP工作就越多，最后，交换机不得不停止ARP的学习和发送，网络马上就出现了异常。

　　近来一段时间，网上也频频出现类似的问题，针对这种问题，目前BH6808交换机对CPU的使用效能也做了诸多的优化，同时在网络配置上也可以做一些优化：对于ARP数目比较的设备可以将ARP的老化时间该大或是直接配置静态的ARP表项，请注意上行端口的ARP完全可以设置成静态ARP，避免了CPU繁忙时处理不过来ARP;把SUPERVLAN调整小一些，可以多设置一些SUPERLVAN，把SUBVLAN分流到不同的SUPERVLAN里，这样减少一个SUPERVLAN被扫描后，需要复制太多的ARP报文，甚至将SUPERVLAN去掉更好一些。

　　根据上述的情况，对于一个SUPERVLAN里有多少个SUBVLAN合适的问题，我个人认为需要根据实际的情况作出判断，在网络环境比较“干净”的情况下，或是必须要起用的情况下，可以多一些，当然交换机的CPU可能就要一直高一些!在网络环境不好的情况下，请尽量避免过多的SUBVLAN，请在您建设网络的时候就考虑到!

　　附：如果SUPERVLAN启用ARP代理的话，同一SUPERVLAN内之间的arp request是不会隔离的。但是普通的广播和多播是可以隔离的，但是请注意在ARP代理的情况下CPU会更高更高!