交换机的高级特性

1.MUX-VLAN

步骤：

a.首先创建若干个vlan

b.选出一个主vlan 10

c.选出一个隔离子vlan  200

d.选出若干个互通型子vlan 300 400

达到的效果：

所有子vlan都可以和主vlan互通

隔离vlan和其他的子vlan不通，隔离vlan之间也不通

互通型vlan和其他子vlan不通，互通型vlan内部可以通信

配置：

[SW1]vlan batch 10 200 300 400
[SW1-vlan10]mux-vlan   //进入vlan10，开启mux-vlan功能，此时vlan10将作为主vlan
[SW1-vlan10]subordinate separate 200  //将vlan200配置为隔离性子vlan（隔离vlan有且只能存在一个）
[SW1-vlan10]subordinate group 300 400 //将vlan300 400配置为互通型

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 200
 port mux-vlan enable   //接口开启mux-vlan功能，其他接口以此类推

[SW1]display mux-vlan 
Principal Subordinate Type         Interface  
-----------------------------------------------------------------------------
10        -           principal    GigabitEthernet0/0/7
10        200         separate     GigabitEthernet0/0/1 GigabitEthernet0/0/2
10        300         group        GigabitEthernet0/0/3 GigabitEthernet0/0/4
10        400         group        GigabitEthernet0/0/5 GigabitEthernet0/0/6
-----------------------------------------------------------------------------

注意：如果流量经过的两个接口都启用了mux-vlan功能，那么会使用display mux-vlan表项作为控制选项
      如果流量经过的两个接口有一个没有启用mux-vlan功能，那么会使用display port vlan表项作为控制选项

2.端口隔离

批量配置添加接口到vlan10：

[SW1]port-group 1
[SW1-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4
[SW1-port-group-1]port lint-type access
[SW1-port-group-1]port defult vlan 10

端口隔离即二层隔离，配置相同隔离组的接口二层不通。

[SW1-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 port-isolate enable group 1  \\在接口模式下配置端口隔离。

这样pc1和pc2就不能互通。

3.ARP代理

3.1路由式arp代理

解决相同网段的终端被路由器隔离的场景

pc5 ping  pc6  首先判断相同网段地址，不需要路由功能。

那么帧头封装1.100的mac地址，查找arp缓存表找1.100的对应的IP-MAC的映射关系，发现没有。

这时候是ping不通的。因为没有1.100的mac地址，就需要arp请求。那么我们在路由器上开启arp代理。

interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 
 arp-proxy enable   \\ 开启arp代理
#

如果在AR1的G0/0/0接口开启ARP代理功能，那么结果如下：

•  当G0/0/0接口接收到ARP-request报文后，会通过该报文中的DIP去查找本地路由表
• 根据路由表的出接口，将重新封装该ARP-request报文，将报文中的SIP,SMAC替换为路由表出接口g0/0/1的IP地址和MAC地址。
•   PC6收到ARP-request后给回应reply报文，此时该reply报文的目的IP和MAC为AR1的G0/0/1接口的IP和MAC
• AR1收到reply报文后，将生成1.100的IP-MAC映射关系
• AR1会将该映射关系重新封装一个arp-reply报文返回给PC5，此时源IP-MAC映射关系为：1.100-G0/0/0接口MAC
• PC5收到该reply报文后，ARP缓存表中映射关系为：1.100--0B46

3.2 vlan内的arp代理

用于相同网段的终端被交换机二层隔离的场景

现在pc1和pc2都在一个网段但是被交换机二层隔离开，所以不能ping通。

我们用arp代理开启是可以ping通

4.super-vlan

也叫做聚合vlan。我们在做子网掩码变长的时候，划分子网往往导致很多ip地址的浪费。（例如：192.168.1.0/29  1.0~1.7掐头去尾  1.0不能用，1.7不能用）

为了控制这些浪费 我们可以使用super-vlan。

4.1 首先创建若干个VLAN   10 20 30

4.2 指定一个聚合VLAN（主VLAN） 30 （聚合vlan只能以vlanif存在，不能配置到二层接口）

4.3 指定若干个子VLAN     10 20   (子vlan不能存在vlanif接口)

目的：10和20之间默认是不能互访的，10和20都可以访问30

由于pc1和pc2网段相同，互访是时候走的是二层转发。但是由于vlan不同，所以不通。

这个可以用于vlan间的arp代理场景。即相同网段的终端在不同的vlan下的场景。

5.QinQ

QinQ（802.1Q-in-802.1Q），也叫做VLAN Stacking或Double VLAN，由IEEE 802.1ad标准定义，是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的目的。一般应用在骨干网中，通过将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网），扩充VLAN数量，实现对用户的精细化管理。