四、MUX VLAN（复合vlan）配置

实际中很少用，但在ISP 中用得多，二层隔离各专线用户，不然会消耗太大VLAN ID 。Mux vlan 只提供二层隔离，配置后不能加入vlanif接口，反之处于vlanif接口下则不能配置为MUX vlan。

    与端口隔离的区别

端口隔离只适用在同一台交换机上不同端口之间的隔离，且一个端口可以加入多个端口隔离组；

端口隔离要在系统视图和接口视图下配置；

端口隔离与vlan属性无关，同时可二层或三层隔离；

端口隔离可以隔离同一vlan内之间的端口；

复合vlan是实现vlan内部或同一IP子网中各成员间二层隔离的技术。传统vlan是vlan之间二层隔离。 

说明：

   1、principle vlan可以与subordinate vlan直接二层通信

   2、任何不同的subordinate vlan（包括separate vlan 和group vlan）之间不能直接二层通信

   3、group vlan 内部的用户可以直接二层通信，separate vlan 内部用户不能直接二层通信

   4、一个主vlan下只能配置一个隔离型从vlan

   5、同一MUX vlan下互通型从vlan与隔离型从vlan 的vlan ID不能一样（不能为同一个vlan）

   6、当指定vlan已经配置为主vlan、隔离从vlan 、互通从vlan后，则该vlan不能配置为VLANif、vlan mapping、

vlan stacking、super-vlan、sub-vlan，反之亦然。

   7、在MUX vlan中所有终端设备连接的交换机端口只能是access或untagged  hybrid类型，且只允许一个vlan通过，更不能配置接口安全功能

8、在接口上不能同时配置MUX vlan和接口安全功能（禁止或限制MAC地址学习等）

具体配置

1、创建主vlan

   [Huawei-vlan2]mux-vlan

2、配置隔离型从vlan（注意：需要在主vlan视图下配置）

   [Huawei-vlan2]subordinate separate 3

3、配置互通型从vlan（注意：需要在主vlan视图下配置）

   [Huawei-vlan2]subordinate group 4

5、使能端口MUX vlan功能（要在所有加入 MUX vlan的端口下都配置）

   [Huawei-GigabitEthernet0/0/2]port mux-vlan enable

五、管理vlan配置

一旦某个vlan被配置成管理vlan后，则不允许access类型和dot1Q-tunnel类型端口加入该vlan，带有*的vlan为管理vlan。

[Huawei-vlan10]management-vlan

六、配置VLAN内协议报文透传提高转发效率

VLAN内协议报文透传功能可实现交换机直接透明传输指定VLAN内的协议报文，不上送CPU处理，从而提高了转发效率。

如果设备只是某些VLAN的业务网关，或者只对某些VLAN部署了Snooping功能。那么对于其他VLAN中的协议报文，设备是不需要处理的，协议报文上送到CPU之后，CPU需要将其重新转发到其他设备进行处理。这种经过CPU处理的转发机制称为软转发，软转发增加了协议报文的处理环节，会对报文的转发速度和效率造成较大影响。

配置VLAN内协议报文透传功能后，此VLAN不能再配置为组播VLAN、控制VLAN等。

执行此命令前，需确保该VLAN的IGMP/MLD Snooping功能已去使能，否则配置失败。

具体配置

[Huawei-vlan11]protocol-transparent

七、配置接口丢弃入方向带VLAN Tag的报文

丢弃入方向带VLAN Tag的报文能够防止主机用户私自更改接口用途，接入其他交换设备。因为网络中主机用户发送的都为不带VLAN Tag的报文。当交换设备某接口规划用作接入主机用户时，接口只需要处理不带VLAN Tag的报文。为了防止主机用户私自更改接口用途，接入其他交换设备，可以配置接口丢弃入方向带VLAN Tag的报文。

适用于只接用户主机，不处理入方向带VLAN Tag报文的接口。

具体配置

[Huawei-GigabitEthernet0/0/2]port discard tagged-packet