交换机高级特性

Mux VLAN（multiplex vlan）
Mux VLAN（multiplex vlan）实现二层流量的弹性管控。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。
主VLAN: Principal VLAN 可以和所有mux vlan内的所有接口进行通信。
从VLAN: Subordinate VLAN :
互通型：Group VLAN：group port可以与principal port通信，可以group vlan间二层通信，不同group vlan间不能通信，不能与separete vlan通信。
隔离型：Separate VLAN：只能与pricipal vlan通信，无法与其他接口类型通信。
每个从VLAN都必须与一个principal vlan绑定
配置注意事项
如果指定VLAN已经用于主VLAN或从VLAN，那么该VLAN不能再用于创建VLANIF接口，或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
不能在同一接口上配置MUX VLAN和接口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
当同时配置DHCP Snooping和MUX VLAN时，如果DHCP Server在MUX VLAN的从VLAN侧，而DHCP Client在主VLAN侧，则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
接口使能MUX VLAN功能后，该接口不可再配置VLAN Mapping、VLAN Stacking。
端口安全
端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。
可以配置限制接口的mac地址的学习数量，并配置出现违规行为时的惩罚机制。

类型	定义	特点
安全动态MAC地址	使能端口安全而未使能Sticky MAC功能时转换的MAC地址。	设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。
安全静态MAC地址	使能端口安全时手工配置的静态MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。

- 超过安全MAC地址限制数后的动作：

动作	实现说明
restrict	丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect	只丢弃源MAC地址不存在的报文，不上报告警。
shutdown	接口状态被置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。
VLAN aggregation
Vlan aggregation 技术允许网络管理员将一个ip网段用于多个vlan。
Super vlan
VLAN Aggregation使处于相同子网的VLAN实现广播隔离
Super-VLAN，只建立三层接口，不包含物理端口，用于将sub-vlan进行聚合，提供三层接口（VLANIF）。
Sub-VLAN，只包含物理端口，不能创建三层接口，用于隔离广播域的VLAN，通过Super-VLAN与外部实现三层交换。
Sub-vlan间三层通信：使能sub-vlan间的arp proxy功能，实现sub-vlan间互通。在super vlan接口下使能arp。