vlan 虚拟局域网
作用：隔离广播域
一个vlan 一个广播域
一个vlan 一个子网
默认情况下，所有的接口都属于vlan 1，vlan 1是不能被删掉

交换机链路类型：
华为设备默认的接口类型为hybrid 混合端口
1.access 接入链路
一般用在用户主机和交换机之间相连的接口,通常情况下，主机发送和接收的帧都是untagged帧

access 收发原则：
收：
收到一个报文时候，首先判断是否有vlan tag信息，如果没有vlan tag信息，打上端口的PVID，并进行交换转发。 如果收到有vlan tag信息，交换机会检查vlan tag，如果和接口的vlan id相同，则接收，否则丢弃。

发：发送数据帧时候，将报文的vlan tag 信息剥离脱掉，然后直接发送。
Access端口发往对端设备的以太网帧永远是不带标签的帧。

vlan batch 10 20 999
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
验证
display vlan
Display port vlan active

PVID port vlan ID
表示端口所属的VLAN ID，缺省情况下，X7系列交换机的每个端口的PVID都是1
当交换机收到untagged 数据帧时，交换机会给它加上该接口缺省的vlan的VLAN Tag

2.trunk 干道链路
一般用在交换机和交换机之间相连的接口
通常情况下，在干道链路上传输的帧都是tagged帧

trunk链路两个作用：
1.中继作用：把vlan 报文透传到互联的交换机
2.干线作用：一条trunk链路可以传输多个vlan 的报文
trunk链路允许多个vlan通过

trunk 收发原则：
收：收到一个报文时候，首先判断是否有vlan tag信息，如果没有则打上端口的PVID，并进行交换转发。
如果收到报文有vlan tag信息，就会判断是否允许该vlan tag通过，如果允许则接收，否则丢弃。
发：首先比较端口的PVID，如果即将发送出去的报文vlan tag与自己的PVID相同，就会剥离该标签。
如果不同，就直接将报文转发出去。
native vlan 本征vlan
native vlan的帧在trunk链路上不带标记的，交换机收到不带标记的帧，将会发到native vlan

配置：
interface GigabitEthernet0/0/1
port link-type trunk //接口模式设置为trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 2 to 4094 //只允许vlan 2-4094通过

推荐做法：
1.把不常用的接口划到不用的vlan 999，把这些接口shutdown
2.trunk的链路只允许相对应的vlan通过，不要默认允许vlan1
3.trunk的链路pvid也要修改，修改为不用的vlan 999

3.hybrid
Hybrid端口收发数据帧的规则如下：
当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。
Hybrid端口发送数据帧时，将检查该接口是否允许该VLAN数据帧通过。如果允许通过，则可以通过命令配置发送时是否携带Tag。
配置port hybrid tagged vlan vlan-id命令后，接口发送该vlan-id的数据帧时，不剥离帧中的VLAN Tag，直接发送。该命令一般配置在连接交换机的端口上。
配置port hybrid untagged vlan vlan-id命令后，接口在发送vlan-id的数据帧时，会将帧中的VLAN Tag剥离掉再发送出去。该命令一般配置在连接主机的端口上。

4.QinQ
两层tag
1.外层 公网 tag
内层 私网tag

基本QinQ
基本QinQ是基于端口方式实现的。当端口上配置了基本QinQ功能后，不论从该端口收到报文是否带有VLAN Tag，设备都会为该报文打上本端口缺省VLAN的Tag。
如果收到的是带有VLAN Tag的报文，该报文就成为带双Tag的报文。
如果收到的是不带VLAN Tag的报文，该报文就成为带有本端口缺省VLAN Tag的报文。

场景1 ：
收到的是不带VLAN Tag的报文，该报文就成为带有本端口缺省VLAN Tag的报文。

interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/2
port link-type dot1q-tunnel //配置接口的链路类型为QinQ
port default vlan 10

场景2：收到的是带有VLAN Tag的报文，该报文就成为带双Tag的报文

interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 100

5、MUX vlan ----类似于cisco private vlan 私有vlan

主vlan Principal VLAN （Principal port）
从vlan
subordinate separate（Separate port） ----隔离型从vlan
subordinate group （ Group port） 互通型从vlan
通信原则：
主vlan 可以从vlan 通信
互通型从vlan 内的端口之间可以通信
隔离型从vlan 内的端口之间不能通信
不同的从vlan之间不能通信
mux vlan可以跨设备
[SW2]vlan 100
[SW2-vlan100]mux-vlan 主vlan
[SW2-vlan100]subordinate separate 20 隔离型从vlan
[SW2-vlan100]subordinate group 10 互通型从vlan
[SW2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 10
[SW2-GigabitEthernet0/0/3]port mux-vlan enable
验证
[SW2]dis mux-vlan

6、VLAN聚合
只在super-VLAN 接口上配置IP 地址，而不必为每个sub-VLAN分配IP 地址。所有sub-VLAN 共用IP 网段，解决了IP 地址资源浪费的问题。
vlan 10
aggregate-vlan —Super-VLAN 由多个Sub-VLAN 组成，不能加入物理端口，但可以创建VLANIF 接口并配置IP 地址
access-vlan 3 — 将多个Sub-VLAN 批量加入到Super-VLAN 中，必须保证这些Sub-VLAN 没有创建对应的VLANIF接口。
access-vlan 2
！
interface GigabitEthernet0/0/10
port link-type access
port default vlan 3

interface GigabitEthernet0/0/11
port link-type access
port default vlan 2

interface Vlanif10
ip address 10.1.1.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable—Super-VLAN 利用ARP Proxy 功能可以进行ARP 请求和响应报文的转发与处理，从而实现Sub-VLAN 之间的三层互通

7、VLAN Mapping概述
VLAN Mapping 也叫做VLAN translation，可以实现在用户VLAN ID（私有VLAN）和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。
interface gigabitethernet 2/0/1
port link-type trunk// 配置接口的类型
port trunk allow-pass vlan 100// 配置接口允许通过的VLAN ，为mapping 后的VLAN
qinq vlan-translation enable// 使能接口VLAN 转换功能
port vlan-mapping vlan 1 to 20 map-vlan 100// 配置接口2/0/1 上VLAN 1~20 的报文mapping 成VLAN100

8、端口隔离：
属于相同的组不能互通
未被隔离的端口可以和隔离的端口进行互通
不同的组可以互通

配置：
port-isolate mode all //二层 三层进行隔离
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 2 //加入隔离组2中，如果没有配置group，默认放在group 1中，属于相同组不能互通，未被隔离和隔离的端口可以互通，不同组可以互通
验证
[SW1]dis port-isolate group all

9、ARP Proxy ARP代理
ARP —知道对方IP --解析对方MAC
在华为设备上，默认接口是没有开启ARP代理功能
ARP（Address Resolution Protocol）用于将一个IP地址映射到正确的MAC地址。
一个物理网络的子网（Subnet）中的源主机向另一个物理网络的子网中的目的主机发ARP request，和源主机直连的网关用自己接口的MAC地址代替目的主机回ARP reply，这个过程称为ARP 代理。
Proxy ARP有以下特点：
所有处理在ARP子网网关（ARP Subnet Gateways）进行，所连网络中的主机不必做任何改动；
在主机端看不到子网，只是一个标准IP网络；
Proxy ARP只影响主机的ARP高速缓存，对网关的ARP高速缓存和路由表没有影响；
使用Proxy ARP后，主机应该减小ARP老化时间，以尽快使无效ARP项失效，减少发给路由器而路由器却不能转发的报文