1         ISOLATE-USER-VLAN的引入

在实际应用中有这样一个需求，组网图如下

图1 SOLATE-USER-VLAN组网图

SwitchA下面级联了SwitchB和SwithC，要求SwitchB、SwitchC下的各个端口互相隔离，即给每个端口划分一个VLAN，与此同时，由于上层设备SwitchA的VLAN数有限，不允许下层设备SwitchB和SwitchC将VLAN透传上来，即SwitchB和SwitchC的上行端口要设为access方式。但是在SwitchB和SwitchC上一个access端口是不能属于多个VLAN的，我们如何才能让带有不同VLAN ID的数据报文发送到同一个access 端口呢？

这时候，我们就需要使用交换机的的ISOLATE-USER-VLAN功能。通过使用ISOLATE-USER-VLAN功能，我们就能够实现将SwitchB和SwitchC下的各个端口划在不同的VLAN内，同时又都能通过上行的Access 端口发送出去。

目前，华为3Com公司开发的2008/2016/2403H/2026/3026都支持ISOLATE-USER-VLAN功能。

2         ISOLATE-USER-VLAN配置步骤

配置ISOLATE-USER-VLAN的步骤如下：

1、创建VLAN，

命令如下：

[2016] vlan vlan-id

2、设置VLAN类型为isolate-user-vlan。

命令如下：

[2016-vlan100] isolate-user-vlan enable

3、向VLAN中添加端口（无论是isolate-user-vlan还是secondary vlan都一样）

命令如下：

[2016-vlan100] port ethernet port-list

4、设置isolate-user-vlan和secondary vlan之间的映射关系

命令如下：

[2016] isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]

3         ISOLATE-USER-VLAN配置举例

1、组网需求

Quidway S3526以太网交换机通过端口Ethernet 0/7和端口Ethernet 0/8下接两台Quidway S2008以太网交换机。S2008 A上VLAN5为isolate-user-vlan，包含上行端口Ethernet 0/9和两个secondary VLAN：VLAN1和VLAN2，VLAN1包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；S2008 B上VLAN6为isolate-user-vlan，包含上行端口Ethernet 0/9和两个secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。从S3526看，下接的两个S2008都只有一个VLAN，S2008 A的VLAN5，S2008 B的VLAN6。

2、组网图

    图   ISOLATE-USER-VLAN配置组网图

3、配置步骤

下面只列出S2008的配置过程。

配置S2008 A

！配置ISOLATE-USER-VLAN。

[S2008A]vlan 5

[S2008A-vlan5] isolate-user-vlan enable

[S2008A-vlan5] port ethernet0/9

！配置secondary VLAN。

Vlan1不允许进行端口增删的操作，其它端口属于相应vlan后，剩下的端口都属于vlan1

[S2008A]vlan 2

[S2008A-vlan2]port ethernet0/2

！配置ISOLATE-USER-VLAN和secondary VLAN间的映射关系

[S2008A] isolate-user-vlan 5 secondary 1 to 2

配置S2008 B。

！配置ISOLATE-USER-VLAN。

[S2008B] vlan 6

[S2008B-vlan6] isolate-user-vlan enable

[S2008B-vlan6] port ethernet0/9

！配置secondary VLAN。

[S2008B] vlan 3

[S2008B-vlan3] port ethernet0/3

[S2008B]vlan 4

[S2008B-vlan4]port ethernet0/4

！配置ISOLATE-USER-VLAN和secondary VLAN间的映射关系

[S2008B] isolate-user-vlan 6 secondary 3 to 4

4         ISOLATE-USER-VLAN使用注意事项

1、执行isolate-user-vlan和secondary vlan建立映射关系命令前，isolate-user-vlan和secondary vlan中必须已经包含了端口，执行该命令会完成isolate-user-vlan和secondary VLAN之间的映射关系，具体操作包括：将isolate-user-vlan中的上行端口加入到每个secondary VLAN中，同时把secondary VLAN中的端口加入到isolate-user-vlan中。

2、建立映射关系前：在设置ISOLATE-USER-VLAN中isolate-user-vlan和secondary VLAN的映射关系时，指定的VLAN不可以是不包含任何端口的VLAN。建立映射关系后，不可以向isolate-user-vlan VLAN和secondary VLAN执行添加和删除端口的操作，也不可以执行删除vlan的操作。只有在解除了映射关系后才可以执行。

3、目前isolate-user-vlan配置完成以后，是isolate-user-vlan和secondary vlan所包含的所有的端口属性都为hybrid。可以在端口视图下使用命令port hybrid vlan vlan_id_list { tagged | untagged }来进行vlan间的访问控制，具体使用方法可以参见相关文档。