vlan

1、基于接口划分vlan

2、基于mac地址划分vlan (接口最好设置为hybird，如果是access和trunk的话，当mac地址匹配到的vlan跟接口的pvid不一致时，不允许通过；而hybird口可以很好的支持多个vlan去除tag后直连设备)
    #在vlan视图执行以下命令：
    mac-vlan mac-address mac-address [ mac-address-mask | mac-address-mask-length ] [ priority priority ]
    #在运行基于mac划分vlan的接口视图上执行以下命令：
    mac-vlan enable   #使能基于MAC地址划分VLAN，默认是不支持的
    
    使用mac-vlanmac-address命令关联VLAN和MAC地址，若多条配置指定的mac-address相同，则MAC-VLAN按最长匹配规则生效，但是在S6735-S、S6720-EI和S6720S-EI设备上，
    只有当掩码低于等于47位时MAC-VLAN按最长匹配规则生效，48位掩码的MAC-VLAN优先级低于其他所有掩码的MAC-VLAN。

    参数mac-address格式是H-H-H。其中H为4位的十六进制数，可以输入1～4位，如00e0、fc01。当输入不足4位时，表示前面的几位为0，如：输入e0，等同于00e0。MAC地址不可设置为全F、全0或组播地址。

    若已经选择参数[ mac-address-mask | mac-address-mask-length ]配置了包含掩码（48位或全F掩码除外，此时等同于未配置掩码）的MAC VLAN项，则修改priority只能先通过命令undo mac-vlan mac-address将
    该MAC VLAN项删除，再重新使用命令mac-vlan mac-address配置。
    可选参数priority是MAC地址对应VLAN的802.1p优先级。取值范围是0～7，值越大优先级越高。缺省值是0。配置过程中，可以指定MAC地址对应VLAN的802.1p优先级，用于当交换机阻塞时，优先发送优先级高的数据包。
    
    配置以太网接口属性:
        执行命令interface interface-type interface-number，进入允许基于MAC地址的VLAN通过的接口视图。

        执行命令port link-type hybrid，配置当前接口类型是Hybrid。

        在Access口和Trunk口上，只有基于MAC划分的VLAN和PVID相同时，才可以正常使用。所以基于MAC地址划分VLAN推荐在Hybrid口上配置。

        执行命令port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，允许基于MAC地址划分的VLAN通过当前Hybrid接口。
        
    示例：
        [Switch1] vlan batch 10 20
        [Switch1] vlan 10
        [Switch1-vlan10] mac-vlan mac-address 11-11-11
        [Switch1-vlan10] mac-vlan mac-address 22-22-22
        [Switch1-vlan10] quit
        [Switch1] interface gigabitethernet 0/0/1
        [Switch1-GigabitEthernet0/0/1] mac-vlan enable
        [Switch1-GigabitEthernet0/0/1] port link-type hybrid
        [Switch1-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20
        [Switch1-GigabitEthernet0/0/1] quit
    
3、基于子网划分VLAN
    基于子网划分VLAN和基于协议划分VLAN统称为基于网络层划分VLAN，VLAN适用于对安全需求不高，原因是终端设备可以配置多个IP
    基于IP子网的VLAN只处理Untagged报文，对于Tagged报文处理方式和基于接口的VLAN一样。
    当设备接口接收到Untagged报文时，设备根据报文的源IP地址或指定网段来确定报文所属的VLAN，然后将报文自动划分到指定VLAN中传输。
    #在vlan视图执行以下命令：
    ip-subnet-vlan [ ip-subnet-index ] ip ip-address { mask | mask-length } [ priority priority ]
    
    配置以太网接口属性：
        执行命令interface interface-type interface-number，进入需要加入VLAN的以太网接口视图。

        执行命令port link-type hybrid，配置当前接口类型是Hybrid。

        在Access口和Trunk口上，只有基于IP子网划分的VLAN和PVID相同时，才可以正常使用。所以基于IP子网划分VLAN推荐在Hybrid口上配置。

        执行命令port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，
        允许基于子网划分的VLAN通过当前Hybrid接口。
        
        执行命令ip-subnet-vlan enable，使能基于IP子网划分VLAN的功能。
        
    示例：
        [Switch] interface gigabitethernet 0/0/1
        [Switch-GigabitEthernet0/0/1] port link-type hybrid
        [Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100 200 300
        [Switch-GigabitEthernet0/0/1] ip-subnet-vlan enable
        [Switch-GigabitEthernet0/0/1] quit
        [Switch] vlan 100
        [Switch-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2
        [Switch-vlan100] quit
    
4、基于协议划分VLAN
5、基于策略划分VLAN

交换机在以下情况下会将数据帧解析为数据包并传递给三层处理：
1.1 广播帧
    目的 MAC 地址为 FF:FF:FF:FF:FF:FF：当数据帧的目标 MAC 地址是广播地址时，交换机会将该帧转发到所有端口（除了接收端口），
并将其传递给三层处理。这通常用于 ARP 请求和其他广播协议。
    
1.2 目的 MAC 地址为交换机的管理口或 VLANIF 接口的 MAC 地址
    目的 MAC 地址为交换机的管理口或 VLANIF 接口的 MAC 地址：当数据帧的目标 MAC 地址是交换机自身的 MAC 地址时，交换机会将
该帧解析为数据包并传递给三层处理。这包括管理流量（如 SSH、Telnet、SNMP）和 ARP 请求。
    
1.3 端口隔离或 VLAN 隔离的情况
    端口隔离或 VLAN 隔离：在端口隔离的情况下，如果源 MAC 地址和目标 MAC 地址分别位于不同的隔离端口或 VLAN 中，交换机将不
会直接转发该单播帧，而是需要经过三层处理。此时，交换机会将数据帧传递给三层处理，以便进行路由。

1、相同vlan下的端口隔离（通常是相同网段）
    1.1 在端口视图单向开启二层隔离(只是开启的时候单向开通即可，网络数据方面是双向隔离的)
    [huawei]int g0/0/1
    [huawei-g0/0/1]am isolate g0/0/2  #开启跟G0/0/2口隔离
    
    1.2 端口视图下加入隔离组（跟上面的二选一）,加入隔离组需要双向操作，隔离组里面的端口相互隔离，跟其他未加入的端口不隔离
    [huawei]int g0/0/1
    [huawei-g0/0/1]port-isolate enable group 2 (group编号，随意取，相同隔离组相互隔离)
    
    此时如果需要三层互通，需要在vlanif 中开启arp代理
    [vlanif10]arp-proxy inner-sub-vlan-proxy enable  #默认不开启ARP代理，这样端口隔离的情况下获取不到mac地址，将无法通讯；开启arp代理后，获取到mac地址，数据通过三层转发来互相通讯
    
2、vlan聚合，sub vlan下的端口隔离
    适用场景是所有vlan在相同的网段，节约IP资源(每划分一个子网需要浪费3个IP ：子网号、子网广播号、子网网关)
    [huawei]vlan batch 10 20 30
    [huawei]vlan 10
    [huawei-vlan10]aggregate-vlan
    [huawei-vlan10]access-vlan 20 30
    [huawei-vlan10]quit
    这样操作后vlan 20 30就是vlan 10的sub vlan了，相互隔离，如果要三层通讯，需要在vlanif 10中开启arp代理
    [huawei]vlanif 10
    [huawei-vlanif10]ip address 192.168.0.0 24          #所有sub vlan都在同一个网段
    [huawei-vlanif10]arp-proxy inter-sub-vlan-proxy enable
    
3、mux vlan，部分sub vlan隔离,所有vlan同网段，没有网关，不能创建Vlanif
    使用于企业原工和客户需要访问共同资源，员工之间可以互访，客户之间隔离，员工和客户隔离，所有终端同网段，涉及的mux vlan都不能设置vlanif
    [huawei]vlan batch 10 20 30
    [huawei]vlan 10
    [huawei-vlan10]mux-vlan                  #Principal 主vlan
    [huawei-vlan10]subordinate group 20      #group互通型从vlan，VLAN里面的接口2层互通，整机最多支持128个Group vlan
    [huawei-vlan10]subordinate separate 30   #separate隔离型从vlan,VLan里面的接口相互隔离，跟group vlan隔离，接口只跟Principal  vlan互通
    [huawei-vlan10]quit
    [huawei]int g0/0/1
    [huawei-g0/0/1]port link-type access
    [huawei-g0/0/1]port default vlan 10
    
    [huawei-g0/0/1]int g0/0/2
    [huawei-g0/0/2]port link-type access
    [huawei-g0/0/2]port default vlan 20
    [huawei-g0/0/2]port mux-vlan enable
    
    [huawei-g0/0/2]int g0/0/3
    [huawei-g0/0/3]port link-type access
    [huawei-g0/0/3]port default vlan 30
    [huawei-g0/0/3]port mux-vlan enable #记得在接口处开启mux-vlan

详细设置参考：https://forum.huawei.com/enterprise/cn/zh/thread/blog/580895560787968001?blogId=580895560787968001