isolate-user-vlan特性可实现网络中vlan资源的节约。isolate-user-vlan采用二层vlan结构，第一层为isolate-user-vlan,第二层为secondary vlan。

 

。一个isolate-user-vlan和多个secondary vlan对应，isolate-user-vlan包含所对应的所有secondary vlan中包含的端口和上行端口，这样对上层交换机来说，只需识别下层交换机中的isolate-user-vlan，而不必关心isolate-user-vlan中包含的secondary vlan，简化了网络配置，节省了VLAN资源。

 

。isolate-user-vlan可实现用户二层报文的隔离，即为每个用户分配一个secondary vlan，每个Secondary vlan中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个secondary vlan即可。

 

 

配置方法：

。配置isolate-user-vlan

。配置secondary vlan

。配置isolate-user-vlan和secondary vlan间的映射关系

 

 

配置isolate-user-vlan

system-view

vlan 5

isolate-user-vlan enable

  vlan 1不能设为isolate-user-vlan

port interface-list 

  isolate-user-vlan可以包含多个端口，包括与其它交换机相连的上行端口。不过只能包含access端口或者hybrid端口，不允许有trunk端口。

 

 

配置secondary vlan

system-view

vlan 5

port interface-list

  可以向每一个secondary vlan中添加多个端口(不能为上行端口)

 

 

注意：

。一个isolate-user-vlan最多可以和64个secondary vlan对应

。系统最多允许配置32个isolate-user-vlan

。系统最多允许配置的secondary vlan总数为1024

。isolate-user-vlan对应的secondary vlan中不能配置相同的MAC地址

。如果VLAN是isolate-user-vlan或secondary vlan，则不允许用户配置vlan-interface；配置了vlan-interface的vlan，不能被配置为isolate-user-vlan或secondary vlan。

 

 

配置isolate-user-vlan和secondary vlan间的映射关系

system-view

isolate-user-vlan isolate-user-vlan-num secondary secondary-vlan-numlist [to secondary-vlan-numlist]

 

 

 

 

1、如果isolate-user-vlan内包含端口

 

  hybrid端口，如果端口的缺省的VLAN ID与isolate-user-vlan一致，且端口以untagged方式属于isolate-user-vlan，则符合该条件的所的hybrid端口将同时以untagged方式加入secondary vlan，如不符合上述条个，则不做其他处理。

 

  access端口，系统将端口类型设为hybrid端口，设置端口缺省vlan id与isolate-user-vlan一致，且以untagged方式加入isolate-user-vlan和secondary vlan。

 

 

 

2、如果secondary vlan内包含端口

 

  hybrid端口，如果端口的缺省vlan id与secondary vlan一致，且端口以untagged方式属于hybrid vlan，则符合该条件的所有hybrid口将同时以untagged方式加入isolate-user-vlan，如不符合上述条件，则不做其他处理。

 

  access端口，系统将端口类型设为hybrid口，设置端口缺省的vlan id与secondary vlan一致，且以untagged方式加入isolate-user-vlan和secondary vlan。

 

 

建立isolate-user-vlan和secondary vlan映射关系后

。trunk端口和access端口不能加入isolate-user-vlan以及secondary vlan

。hybrid端口可以加入或者退出isolate-user-vlan以及secondary vlan

 

 

 

注意：

。不能直接将isolate-user-vlan/secondary vlan设置为除一般VLAN以外的其它类型的vlan，如组播vlan、super/sub vlan、guest vlan以及运行L2VPN业务的vlan等

 

。将一般vlan设为isolate-user-vlan/secondary vlan时，vlan内不能包含trunk

 

 

 

display isolate-user-vlan [isolate-user-vlan-num]

 

 

//// switch b ////

// 配置isolate-user-vlan

system-view

vlan 5

isolate-user-vlan enable

port ethernet 2/1/1    上行端口

 

// 配置secondary vlan

vlan 3

port ethernet 2/1/3

vlan 2

port ethernet 2/1/2

 

// 配置isolate-user-vlan和secondary vlan间的映射关系

isolate-user-vlan 5 secondary 2 to 3

 

 

//// switch c ////

// 配置isolate-user-vlan

system-view

vlan 6

isolate-user-vlan enable

port ethernet 2/1/1

 

// 配置secondary vlan

vlan 3

port ethernet 2/1/3

vlan 4

port ethernet 2/1/4

 

// 配置isolate-user-vlan和secondary vlan间的映射关系

isolate-user-vlan 6 secondary 3 to 4

 

 

 

PS：相对于super/sub vlan来说比较实用