前面两节分别创建了Isolate-user-VLAN和Secondary VLAN,但还没有把它们关联起来,当然就不能实现Isolate-user-VLAN功能。要把Isolate-user-VLAN和Secondary VLAN关联起来,就是要把一个或多个Secondary VLAN映射到一个Isolate-user-VLAN,建立Isolate-user-VLAN和Secondary VLAN间的映射关系。就像将NAT中的多个内部IP地址映射到一个外部IP地址一样,对外以一个Isolate-user-VLAN呈现。
Isolate-user-VLAN和Secondary VLAN间的映射很简单,就是下面这一条系统视图命令:
isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]
下面介绍命令中的各个参数。
l isolate-user-vlan-id:指定要建立映射关系的Isolate-user-VLAN的VLAN ID,取值范围为1~4094,当然这要与服务商分配给你的VLAN ID一样。
l secondary secondary-vlan-id [ to secondary-vlan-id ]:指定要建立映射关系的Secondary VLAN的VLAN ID或VLAN ID范围,secondary-vlan-id表示Secondary VLAN的编号,取值范围为1~4094,是客户内部的VLAN,但VLAN ID不能与Isolate-user-VLAN有重复。
默认情况下,用户创建的Isolate-user-VLAN和Secondary VLAN没有任何映射关系,可以用undo isolate-user-vlan isolate-user-vlan-id [ secondary secondary-vlan-id [ to secondary-vlan-id ]命令取消Isolate-user-VLAN和Secondary VLAN间的映射关系。undo isolate-user-vlan命令如果不带参数secondary secondary-vlan-id,就解除所有Secondary VLAN和指定Isolate-user-VLAN的映射关系;如果带有该参数,就解除参数指定的Secondary VLAN和指定Isolate-user-VLAN的映射关系。
【注意】执行该命令时,Isolate-user-VLAN和Secondary VLAN中必须至少包含一个端口,否则这两类VLAN都是不会被激活的。而且这两个VLAN中的端口必须允许Isolate-user-VLAN(或Secondary VLAN)通过,其默认VLAN也必须是Isolate-user-VLAN(或Secondary VLAN),否则不能执行该命令。
建立映射关系后,系统将禁止向Isolate-user-VLAN和Secondary VLAN中添加/删除Access类型的端口(但可以添加/删除Hybrid类型的端口);禁止配置Secondary VLAN内各端口的二层隔离;禁止修改端口的Isolate-user-VLAN类型;禁止删除VLAN等操作,只有在解除了映射关系后才可以执行以上配置。
下面的示例是将Isolate-user-VLAN 2和Secondary VLAN 3、4关联。
[Sysname] vlan 2
[Sysname-vlan2] isolate-user-vlan enable
[Sysname-vlan2] port gigabitethernet 1/0/2
[Sysname-vlan2] vlan 3
[Sysname-vlan3] port gigabitethernet 1/0/3
[Sysname-vlan3] vlan 4
[Sysname-vlan4] port gigabitethernet 1/0/4
[Sysname-vlan4] quit
[Sysname] isolate-user-vlan 2 secondary 3 to 4
Isolate-user-VLAN和各Secondary VLAN映射完成后,就完成了整个Isolate-user-VLAN的配置,也就将发生在20.1.3节和20.1.4节介绍的配置同步和MAC地址同步了。