isolate-user vlan

一個isolate-user-vlan可以和多個secondary vlan對應。通過設定連線埠的hybrid屬性，可以使所有secondary vlan中包含的連線埠和交換機的上行連線埠都屬於isolate-user-vlan。同時在上行連線埠處設定在轉發所有secondary vlan的報文時都去掉vlan tag。

這樣對上層交換機來說，從下層設備收到的報文全部是不攜帶vlan tag的，所以不必關心下層的vlan配置，可以在本地重新規劃vlan結構，節約了vlan資源

l Isolate-user-vlan：上行設備感知的用戶VLAN，它並不是用戶的真正VLAN。

l Secondary VLAN：用戶真正屬於的VLAN。

l 上行連線埠：和上行設備相連的連線埠，負責和上行設備通信。上行連線埠的預設VLAN ID必須配置為isolate-user-vlan的VLAN ID，否則該連線埠無法轉發來自Secondary VLAN的報文。

l 下行連線埠：和用戶相連的連線埠，負責和終端通信。下行連線埠的預設VLAN ID必須配置為Secondary VLAN的VLAN ID，否則該連線埠無法轉發來自Isolate-user-vlan的報文

Isolate-user-vlan技術是如何禁止Secondary VLAN信息、節省VLAN資源的呢？實現這個功能，要求：

l來自不同Secondary VLAN的報文，能夠通過上行連線埠傳送給上行設備，而且不能攜帶Secondary VLAN信息。

l來自Isolate-user-vlan的報文，能夠通過下行連線埠傳送給用戶，而且不能攜帶Isolate-user-vlan信息。

我們知道，Isolate-user-vlan和Secondary VLAN採用不同的VLAN編號，各自包含了不同的連線埠，通常不同VLAN之間的報文是二層互相隔離的，要達到以上要求，需要兩方面的配合：

(1) 在本設備上需要進行配置同步和MAC地址同步處理。詳細介紹請參見2.2.1 和2.2.2 。

(2) 上行設備需要進行必須的配置：

l 創建VLAN：VLAN ID等於Isolate-user-vlan的VLAN ID。

l 配置入連線埠參數：將連線埠類型設定為Hybrid，將連線埠預設VLAN值設定為Isolate-user-vlan ID，配置連線埠允許預設VLAN的報文以untagged方式通過。

小區內有大量用戶且用戶支持不同的業務（如視頻、語音、數據等），為了保證用戶安全以及區分不同業務流，使用VLAN技術對用戶的二層報文進行隔離。但因為設備VLAN資源有限，因而可以在接入交換機上配置Isolate-user-vlan功能，以節省Device的VLAN資源。同時將多個連線埠配置為Isolate-user-vlan的上行連線埠，並結合ACL和QoS配置，以便讓不同的上行連線埠傳輸不同的業務，簡化網路管理。