以太网交换培训演示文稿

以太网交换培训演示文稿目前一页\总数四十七页\编于十七点2023/5/23以太网交换培训目前二页\总数四十七页\编于十七点学习完此课程，您将会：掌握MAC、帧和VLAN的基本概念二层交换和三层交换的基本原理VLAN的扩展特性链路聚合的概念和配置目标目前三页\总数四十七页\编于十七点第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合内容介绍目前四页\总数四十七页\编于十七点OSI二层-数据链路层ApplicationPresentationSessionTransportIPDatelinkPhysicalApplicationPresentationSessionTransportIPDatelinkPhysical目前五页\总数四十七页\编于十七点常见的以太网Frame格式最早的以太网格式的定义规范，由DigitalequipmentCorp，Intel，Xerox发展,后来被发展成IEEE标准，叫ethernet(DIX),也叫ethernetV2(ARPA).(交换机和路由器的常用格式）EthernetV2(ARPA)MACDE(6byte)MACSA(6byte)Type(2byte)Data（46－1500byte）FCS(4byte)802.3标准，IEEE标准组织在1980s年代发展802.3MACDE(6byte)MACSA(6byte)Length（2byte)Data（46－1500byte）FCS(4byte)其它的以太网Frame格式包括：802.3+802.2(LLC),802.3+802.2+SNAP802.3MACDE(6byte)MACSA(6byte)Length(2byte)DSAP(1byte)SSAP(1byte)CONTROL（1-2byte)OUI(3byte)TYPE(2byte)DataFCS(4byte)802.2SNAP目前六页\总数四十七页\编于十七点Frame参数-MAC地址MAC地址Mediaaccesscontrol，也叫硬件地址。为了控制在共享的介质的设备的访问，必须定义一个规则。MAC地址作用主要有在共享介质中唯一标识某台设备。控制设备的访问，当设备接受到一个Frame时，需要检查DEMAC，如果是自己的MAC地址，就接受该Frame。MAC地址表示方法MAC地址是由48bit(6byte)组成，前3byte表示组织的唯一标识，后三位由该组织分配给每台设备。00E0-FC79-405FHUAWEI设备标识Frame的种类：根据目的MAC的不同，可以分为三种帧，UnicastFrameBroadcast(全F，或者全0）multicastCisco设备的MAC地址（前3byte），常见的有：00000C,目前七页\总数四十七页\编于十七点Frame参数-TypeType

Type表示DATA里面封装的报文类型，常见的类型有：Protocol16进制位IP0800ARP0806802.30000-05DC为了识别是EthernetII和802.3的帧，EthernetII的type域从1536（16进制位为600）开始，在802.3中，数据的长度小于或者等于1500（05DC)。目前八页\总数四十七页\编于十七点桥和以太网交换机桥和HUB的区别随着网络的快速发展，特别是本地局域网络的发展，越来越多的设备需要互相访问，同时需要连接到更长的距离。而传统的以太网采用HUB进行连接，整个HUB就是一个冲突域，采用CSMA/CD机制来检测和侦听，所有的设备共享带宽，网络的带宽利用率低，效率低；并且有距离的限制。而桥建立桥接表（MAC），不象HUB总是将帧发送到所有的端口，桥根据MAC表来决定向那个端口进行转发。这样桥的每个端口为一个冲突域，每台设备将享用一个端口的带宽。HUBframeBridgeframe查看MAC表所有的设备共享整台HUB，共享带宽！！独占一个端口的带宽！！！目前九页\总数四十七页\编于十七点桥和交换机的区别桥和交换机都是一个广播域，每个端口都是一个collision域，并都形成MAC表来指导帧转发，不同点是：

1、交换机端口的数量多。

2、交换机上可以划分VLAN来将整个广播域分割为多个广播域。

目前十页\总数四十七页\编于十七点MAC表的建立每台交换机都需要建立MAC表，MAC表的建立过程是被动学习的过程：

1、每台交换机都有cache来保存MAC表，指导帧的转发，当交换机刚上电时，MAC表是空的。

2、交换机从端口接受一个帧的时候，将帧的原MAC和该端口记录在MAC表中。通过不停的学习到所有连接到交换机端口的设备的MAC和相应的端口，来建立一张完整的MAC表。3、当交换机转发一个帧的时候，需要查看MAC表，如果MAC表没有该帧的目的MAC，交换机将广播该帧到所有的端口（除了接受该帧的端口）。PC1PC2PC30/10/20/3MAC1MAC2MAC3MAC表：MAC地址PORTMAC10/1MAC20/2MAC30/3目前十一页\总数四十七页\编于十七点两种MAC表随着VLAN的应用，MAC表项有两种定义：SVL(SHAREVLAN)

这种定义意味着在MAC表中每个MAC地址只能对应一个VLAN.这样会导致MAC地址学习错误。PC10/1PC20/20/30/4VLAN2VLAN30/10/2如图：PC1访问PC2必须经过一台路由器进行转发，假设路由器在它的0/1端口将PC1的报文透传到0/2端口，这样交换机的0/4端口学习到PC1的MAC地址，由于交换机是SVL，此时交换机将替换掉（0/1，VLAN2）学习的表项为从（0/4，VLAN3）的表项。导致MAC表项出错，PC2响应时，router接受到PC2的响应报文，从0/1转发出去，此时交换机不能转发帧到0/1，PC1不能接受到PC2的响应报文。IVL（independentVLAN)

这种定义意味着在MAC表中，每个MAC可以对应多个不同的VLAN。如图：当ROUTER从0/2接受到PC2的响应报文之后，从0/1转发出去，交换机接受到这个帧之后，发现有（0/1,VLAN2）的表项，从0/1转发出去。

现在所有的交换机都采用IVL建立MAC表。目前十二页\总数四十七页\编于十七点MAC表结构1、动态MAC表交换机的MAC表通过被动学习VLAN端口的帧来动态建立，并为每个MAC地址设定一个计时器，如果在一定的时间内没有学习到MAC地址，该MAC将老化，重新学习。缺省的情况下，老化时间为300s。2、静态MAC表通过手工配置静态的MAC表项，静态MAC表项默认是永久存在交换机中，也可以设置老化的时间3、MAC表的结构MACADDVLANIDSTATEPORTINDEXAGETIMEMACADD:表示帧的sourceMAC。VLANID:端口所属的VLAN。STATE:有两个值：dynamicorstatic。PORTINDEX:接受帧的端口。AGETIME：表示MAC存活的时间。NOAGE:表示不老化。目前十三页\总数四十七页\编于十七点帧的封装过程PC1:MAC1ANDIP1PC2:MAC2ANDIP20/10/2Pc1访问PC2的帧的封装过程，交换机上的两个接口在同一个VLAN：1PC1发送ARP的请求报文，目的MAC是广播地址，目的地址为IP2。FF-FF-FF-FF-FF-FF(DEMAC)MAC10806DATA2交换机接受到该帧，将端口、MAC1、VLAN放到MAC表项中，并向所有的接口0/2广播。FF-FF-FF-FF-FF-FF(DEMAC)MAC10806DATA3PC2接受到这个ARP请求报文，发送ARP响应报文，目的MAC为MAC1，原MAC为MAC2。MAC1MAC20806DATA4交换机从0/2接受到ARP响应报文之后，将MAC2、0/2、VLAN添加到MAC表项中。并向端口0/1转发该帧。5PC1知道了PC2的MAC地址，下一个帧的目的地址为MAC2。MAC2MAC10800DATAMAC1MAC20806DATA目前十四页\总数四十七页\编于十七点交换机性能指标之一：MAC表容量交换机存储的MAC地址不是无限，它跟交换机的cache有密切的关系，不同类型的交换机有不同的MAC表项大小。MAC表项容量的大小也反映了该交换机的能力，是一个重要的性能指标。常见的交换机的MAC表的容量为：交换机类型MAC数量/VLAN/整机30264KS3026E8KS3026F16KS3526系列8KS3528G/P,S3552G/P/F12KS551516KS6503/S6506/S6506R32K/64K/64KS8505/S8508/S851264KNE40/NE8064KNE40E/NE80E64K目前十五页\总数四十七页\编于十七点交换机的安全：MAC表的安全1、MAC表项溢出由于交换机只是被动的学习原MAC，并且动态MAC地址老化时间为5分钟，如果一个交换机的MAC表满了，又不能达到老化的时间，交换机将不能学习到原MAC，导致交换机不能正常转发。接在交换机端口下的一台PC，通过发送原MAC不停变化的帧，当交换机接受到这些变化的帧之后，将添加到自己的MAC表中；一旦MAC表满，交换机将不能处理正常的帧，导致不能转发。同时产生大量广播报文，导致交换机CPU繁忙。

解决办法：如果发现MAC表中的一个端口下学习到大量MAC地址，表明交换机正在遭受攻击，可以配置该端口下学习到MAC地址的数量，超过配置的数量的MAC将停止转发。

mac-addressmax-mac-count[disalbe-forwarding]–端口模式下配置。2、原MAC欺骗黑客通过发送另外一台攻击的计算机的MAC地址为原地址的报文，路由器收到这个报文之后，将流量转发给黑客，黑客将获取到流向被攻击的计算机流量，进一步分析之后，可以获取到其它的重要信息（比如密码、帐号。。）解决办法：在路由器上作原MAC和IP的绑定，如果MAC和IP不一致，将丢弃该报文。目前十六页\总数四十七页\编于十七点交换机对帧的处理方式交换机对接受的帧有不同的处理方式：

1、storeandforwarding

这种模式在开始交换之前，检查整个帧，如果帧出现错误，将丢弃该帧。

2、cut-through当交换机检查到接受到该帧的目的MAC地址，进行转发。即使帧出现了错误，交换机也会转发，这样当达到目的地时，被目的设备丢弃，浪费了带宽。

3、Fragment－free

当交换机检查帧的64位帧时，开始转发。（64位帧即最小的帧）。目前十七页\总数四十七页\编于十七点问题帧的最小长度为多少？Hub、Bridge、交换机分别位于OSI中的哪层？在同一个VLAN中，如果MAC1学习到port1上，后来由于某种原因该MAC1学习到了PORT2，这时之前的mac表项还存在吗？如果是在不同的VLAN下，MAC表项是什么样的？目前十八页\总数四十七页\编于十七点第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合内容介绍目前十九页\总数四十七页\编于十七点VLAN的定义和划分1、VLAN的定义VLAN(virtuallocalareanetwork),虚拟本地局域网。默认的交换机是一个广播域，采用VLAN，可以将交换机逻辑上划分为多个逻辑广播域，各个VLAN之间不能访问。通过手动配置逻辑将端口放到不同的VLAN中。2、VLAN的划分基于端口的划分。交换机常见的划分方式，该方式灵活，不受终端物理位置的限制。基于MAC的划分。根据交换机学习到的MAC，进行划分；受物理位置的限制。基于协议的划分。根据端口学习的协议类型和封装格式来划分。可以用来划分的协议为：IP,IPX,APPLETALE,类型有：ethernetII,802.3,802.3+LLC,等。主要应用于网络中提供的服务类型 来划分，方便管理和维护。基于IP子网的划分。基于应用层的划分。

目前二十页\总数四十七页\编于十七点VLAN的帧格式VLAN基于IEEE802.1Q标准，标准对普通的帧进行了修改，在原MAC地址和类型字段插入了4字节的802.1QTAG标记。DEMACSRMACTAG(4byte)TYPEDATAFCSType(2byte)PRI(3bit)CFI（1bit）VID（12bit）Type：表示帧的类型，0x8100是表示802.1Qtag帧，不支持该类型帧的设备，将丢弃该帧PRI：表示优先级，取值范围为0～7。CFI：用于令牌环和FDDI。VID：表示帧所属的VLAN，取值为：0－4096。VRP中，VLAN0系统使用。实际可用的VID为1－4094。目前二十一页\总数四十七页\编于十七点VLAN端口的类型根据端口接入设备的类型，划分了VLAN的端口分为几种（默认的情况下所有的端口属于VLAN1：1、Access端口配置了Access类型的端口，端口只能属于一个VLAN。一般要来接入不能识别802.1Qtag的设备，比如主机。2、Trunk端口配置了Trunk类型的端口，该端口属于多个VLAN，能识别带Tag的帧,允许多个VLAN通过。一般接入识别802.1Qtag的设备。TrunkVLAN时，VLAN1默认被Trunk。3、Hybrid端口配置了Hybrid类型的端口，即能识别普通的帧（不带Tag），也能识别带Tag的帧。一般该端口即可接入交换机，也可以接入计算机。4、PVID(缺省VLAN)PVID：portVLANID.即端口的PVID。每个端口的类型都有PVID。Access：PVID和Access端口配置的VID一致。Trunk：Trunk端口本身的VID，可以配置，默认为1，和Trunk的VLAN没有关系。AccessTrunkHybrid目前二十二页\总数四十七页\编于十七点VLAN帧的处理过程VLAN对帧的处理过程分三部分：1、接受过程接受到的帧可以是带Tag的帧，也可以是不带Tag的帧。Access端口接受到普通帧的时候，打上Access端口的VID。当接受到Tag帧的时候，比较PVID，如果VID和PVID相同，则接受，如果不同，则丢弃。Trunk端口和Hybrid端口接受到普通帧的时候，打上该端口的默认的PVID。当接受到带Tag的帧时，查看端口允许的VID和该帧的VID，如果匹配，则接受；如果不匹配，查看VID和PVID是否相同，如果相同，则接受；否则，丢弃。2、查找转发过程根据端口接受的帧的目的MAC、VID来查找MAC表，从相应的端口转发。3、发送过程端口发送的出去帧可以是带Tag帧，也可以是不带Tag的帧。当从Access端口发送帧时，将去掉帧的Tag，成为普通的帧。当从Trunk端口发送帧时：如果帧的VID和Trunk端口的PVID相同，将去掉Tag，发送该帧；如果帧的VID跟PVID不同，查看是否Trunk该VID，如果匹配则发送，否则丢弃。当从Hybrid端口发送帧时：如果帧的VID和Hybrid端口的PVID相同，去掉Tag，发送该帧。如果帧的VID跟PVID不同，查看是否Trunk了该VID，并根据配置情况来决定该帧发送是带Tag还是不带Tag。（porthybridvlan{tagged/untagged}

目前二十三页\总数四十七页\编于十七点VLAN帧的处理过程续PVID处理：VLAN2PVID=VLAN2VLAN2PVID=VLAN3……VID=2………………12……VID=3……3TRUNKACCESSACCESS目前二十四页\总数四十七页\编于十七点问题PVID的作用是什么？Access端口的PVID是多少？Trunk端口下的PVID是多少？当一个Trunk端口接受一个普通帧时，交换机如何处理？如果为acess端口，又如何处理？两台交换机之间Trunk多个VLAN，如果修改了其中一台交换机的Trunk端口的PVID，会发生什么情况？目前二十五页\总数四十七页\编于十七点第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合内容介绍目前二十六页\总数四十七页\编于十七点提供VLAN间路由的设备默认情况下，不同的VLAN属于不同的广播域，不能相互访问。为了提供VLAN间的访问，必须提供不同VLAN来访问的设备。对于这样设备必须达到这样的目的

1、提供IP报文转发的功能。

2、提供让不同物理位置VLAN间访问的路径。

3、能够提供一些策略来控制访问。能够提供这些功能的设备有路由器和三层交换机。路由器路由器就是一种能够提供IP报文转发和控制，以及IP报文选路的设备，由专用的硬件和软件组成。属于三层功能的设备。三层交换机和路由器提供的功能一样，在二层交换机的基层上，增加了三层的功能。目前二十七页\总数四十七页\编于十七点三层交换机和路由器的区别路由器和三层交换机：1、三层接口。路由器：支持多种低速率接口（同异步接口、ADSL、ISDN、E1等）和高速端口（ATM、Pos、FE、GE等）。每个接口都是一个广播域，三层接口为物理接口，一个三层接口对应一个物理接口。三层交换机：不支持低速率的端口，只支持高速端口，在中、低端口交换机上支持FE、GE，高端的三层交换机能够支持ATM、POS。三层接口是逻辑的接口（VLANIF)，一个三层接口支持多个物理接口。2、硬件结构路由器：数据平面和控制平面都使用CPU。三层交换机：数据平面采用ASIC来转发，提供更高的性能和转发速率。3、报文转发处理路由器：基于逐包处理，接受到每个报文，都进行查找，再进行转发（低端的路由器）。三层交换机：对于到目的地址第一个包，在processor进行查找，，后续的报文直接从转发引擎中转发。随着技术的不断发展，现在高端的路由器和交换机的硬件结构非常相同。目前二十八页\总数四十七页\编于十七点三层交换机的架构三层交换机采用数据平面和控制平面分离的架构，来提高数据交换的能力。processorASICSwitchfabric架构示意图：控制平面和系统管理；

1、路由协议、STP,ARP,ICMP,IGMP,VRRP等2、系统的管理数据转发平面

1、二层和三层的转发。

2、ACL，Qos标记和策略、组播复制、端口镜像。

3、端口ASIC：队列调度、拥塞管理和避免，tagging，端口聚合，广播抑制。连接各个端口和模块SWITCHFABRICSLOT1SLOT2SLOT3SLOT4目前二十九页\总数四十七页\编于十七点交换结构共享式存储交换结构ForwardingengineerSwitchmoduleSwitchmoduleSwitchmoduleSharingmemory缓存发生在交换引擎中。报文存在在共享内存里。共享总线式的交换结构ForwardingengineerSwitchmoduleSwitchmoduleSwitchmodule缓存发生在交换模块中，不是在引擎里在一个给定的时间内，只有一个模块访问引擎。适合组播和广播流量最早的结构。目前三十页\总数四十七页\编于十七点交换结构(续)交换矩阵结构－集中式转发CrossbarForwardingengineerSwitchmoduleSwitchmoduleSwitchmodule模块之间存在多条路径非常高的带宽交换能力。信令和调度更加复杂。交换矩阵结构－分布式转发CrossbarPrimaryForwardingengineerSwitchModulewithForwardingEngineerSwitchModulewithForwardingEngineerSwitchModulewithForwardingEngineer目前三十一页\总数四十七页\编于十七点转发表结构RouterProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC精确路由查找IPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/1SIPDIP10.3.3.310.44.1.110.4.4.410.33.1.1010.5.5.510.2.2.21、基于流进行转发。2、第一个报文经过processor转发。3、后续的报文经过ASIC转发。4、查找基于原地址/目的地址的精确路由查找。目前三十二页\总数四十七页\编于十七点转发表结构（续）RouterProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC最长匹配IPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/11、Processor建立IPforwarding表。2、Processor将FIB表复制到ASIC上。3、FIB报文的查找基于最长匹配原则。4、报文都是经过硬件转发。5、控制平面不进行流量的转发，专注于协议进程。FIBIPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/1FIB目前三十三页\总数四十七页\编于十七点二层和三层交换机的识别华为交换机有中低端二层交换机和三层交换机，以及高端的三层交换机。从交换机的命令通常可以看出是二层交换机还是三层交换机。一般交换机都有一个几位数字（一般是4位）来表示交换机的型号，如果从左到右的第二个数字是“5”表示三层交换机，如果不是就表示二层交换机，第一个数字表示交换机的等级，等级越高，表明交换机的性能越好；后面的两位表示交换机的端口，端口一般是12、24的倍数，如果大于12或者是24，比如26，那么该交换机一般支持2个GE模块。这种规则适合大多数产家的设备。常见的交换机以及它们的架构为：交换机类型交换机类型交换结构3026二层交换机S3026E二层交换机S3026F二层交换机S3526系列三层交换机共享式存储S3528G/P,S3552G/P/F三层交换机共享式存储S5515三层交换机共享式存储S6503/S6506/S6506R三层交换机共享式总线S8505/S8508/S8512三层交换机crossbar分布式－分布转发目前三十四页\总数四十七页\编于十七点VLAN间路由VLAN2VLAN31、使用三层交换机IP1IP1-1IP2-1IP22、使用路由器MAC2MAC1IP1IP2MAC1MAC2MAC2MAC3MAC3MAC2IP1IP212由于路由器的每个物理端口都属于一个广播域，当多个VLAN要通过路由器来互通时，需要在路由上配置多个接口；可以通过在交换机互连路由器的端口配置Trunk，TrunkVLAN2和VLAN3,然后在路由的接口上封装802.1Q，将一个物理端口配置两个逻辑的子接口，分别封装VLAN2和VLAN3.经过三层交换时，帧中的原MAC和目的MAC在每段上都变化了。对于交换机的三层接口使用一个MAC。目前三十五页\总数四十七页\编于十七点问题不同的VLAN之间用户如何进行相互通信？从源到目的地址的报文头和帧头中，什么不会变化？什么发生变化？目前三十六页\总数四十七页\编于十七点第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合内容介绍目前三十七页\总数四十七页\编于十七点VLAN的扩展特性一：superVLANSuperVLAN：每个VLAN的用户如果需要访问外部，该VLAN中的用户必须配置网关地址，对应与该VLANIF接口，当大量的VLAN应用时，需要大量的IP地址，特别是对于公网地址，更是紧缺；为了节省IP地址，使用SuperVlan，对外访问提供一个IP地址。SuperVLAN中的用户VLAN为subVLAN。

为了实现subVLAN之间的访问，需要在subVLAN下配置ARPProxy来实现。SuperVLAN不能包含端口。VLAN1VLAN2VLAN3VLAN4SUPERVLAN5IP3/MAC3优点：节省IP地址缺点：由于开启了ARPProxy，VLAN之间可以访问，相当于所有的VLAN属于一个广播域。ARPProxy：

1、PC1访问PC2，发送ARP请求报文给网关（SuperVLAN)。

PC1MAC1PC2MAC2全FFMAC1IP1IP22、交换机接受PC1的ARP请求报文报文之后，将自己使用自己的MAC地址发送ARP响应报文给PC1。MAC1MAC3IP2IP1配置VLAN6和路由器互连，来实现和外面通讯！VLAN6目前三十八页\总数四十七页\编于十七点VLAN的扩展特性二：ISOLATE-USER-VLANIsolate-user-VLAN特性：

Isolate-user-VLAN采用二层VLAN的结构，在同一台设备上设置Isolate-user-VLAN和secondaryVLAN，一个Isolate-user-VLAN包括多个secondaryVLAN，对于上层设备只知道Isolate-user-VLAN，而不知道Isolate-user-VLAN里面的secondaryVLAN。应用场景：

1、上行设备支持的VLAN数量有限，下行设备存在多个VLAN。

2、IP地址数量有限。配置使用：

1、Isolate-user-VLAN只使用与上行设备连接的接口。

2、Isolate-user-VLAN不能和Trunk端口同时配置。

3、secondaryVLAN用于多个不同业务和用户。

4、一个Isolate-user-VLAN可以对应多个secondaryVLAN，最多30个secondaryVLAN。

5、Isolate-user-VLAN和secondaryVLAN建立映射关系之后，不能进行端口的添加和删除。目前三十九页\总数四十七页\编于十七点VLAN的扩展特性二：ISOLATE-USER-VLAN应用应用场景：多台S3026都下挂了大量的VLAN，上行连接到路由器来和外面通讯。如果按照正常的配置，路由器需要配置大量的子接口；性能和可靠性低，并且路由器支持的子接口数量也有限。多台S3026都下挂了大量的VLAN，上行使用三层交换机，下面的VLAN数量超过了三层交换机的支持的VLAN数量。解决的方案：使用Isolate-user-VLAN特性，将一个Isolate-user-VLAN对应多个VLAN(<30)；

Isolate-user-VLAN和secondaryVLAN在一个子网内。当secondaryVLAN的发送报文给Isolate-user-VLAN时，交换机内部维护一张映射表，将secondaryVLAN的VID替换成Isolate-user-VLAN的VID。报文返回时，交换机做同样的操作。LSW01LSW02LSW03LSW0N。。。。。。VLAN2VLAN3VLAN4VLAN5VLAN100VLAN101VLAN102VLAN103VLAN200VLAN201VLAN202VLAN203目前四十页\总数四十七页\编于十七点SuperVLAN和ISOLATE-USER-VLAN的比较相同点

1、对外均提供一个IP，可以大量节约IP地址。

2、superVLAN和subVLAN，ISOLATE-USER-VLAN和secondaryVLAN必须都在一个子网中。不同点

1、superVLAN使用ARPProxy实现subVLAN之间的访问。Isolate-user-vlan的secondaryVLAN之间如果需要访问，需要配置在一个VLAN中。

2、superVLAN不包含端口，所有的subVLAN的端口都属于superVLAN。Isolate-user-VLAN必须包括上行的端口。

3、对外访问时，superVLAN的上行接口需要另外配置VLAN来和上行设备互通，superVLAN使用ARPproxy实现访问。Isolate-user-VLAN维持primary-VLAN和secondary的映射表，进行VID的替换来实现primaryVLAN和secondaryVLAN的互通。

目前四十一页\总数四十七页\编于十七点VLAN配置1、配置VLAN[quidway]vlanid2、VLAN描述

[quidway-vlan]descriptionstring3、VLAN命名[quidway-vlan]namestring4、添加端口

[quidway-vlan]portinterface-list(端口添加之后，端口为access）5、创建VLAN接口

[quidway]interfacevlanid

6、配置Trunk端口、端口的PVID、Hybrid端口

[quidway-interfacenumber]portlink-typetrunk/hybrid

[quidway-interfacenumber]porttrunk/hybridpvidvlan-id[quidway-interfacenumber]porttrunkpermitvlan{vlan-id-list|all}[quidway-interfacenumber]porthybrid