Isolate-user-VLAN是利用Hybrid端口（这是华为和H3C设备上特有的端口类型）允许对多个VLAN的报文去除VLAN标记的特性，通过对MAC地址表项在各VLAN的MAC地址表间进行复制的方法，实现对网络中VLAN资源的节约。

图20-2所示是Isolate-user-VLAN的典型应用，Isolate-user-VALN为VLAN 5，Secondary VLAN为VLAN 3。下面以该图为例说明isolate-user-VLAN的报文传输过程。首先对Switch B作如下配置：

l   配置Ethernet2/0/4端口为Hybrid端口，默认VLAN ID为3，该端口同时属于VLAN 3和VLAN 5，对VLAN 3和VLAN 5的报文采取去标记操作。

l   配置Ethernet2/0/3端口为Hybrid端口，默认VLAN ID为5，该端口同时属于VLAN 3和VLAN 5，对VLAN 3和VLAN 5的报文采取去标记操作。

为保证Switch A下发的报文在Switch B上能够按下层设备的VLAN设置进行转发，需要在Switch A上配置与Switch B相连的端口为Hybrid类型，使其在向Switch B转发报文时进行去标记操作（也就是不打VLAN标记）。

下面我们来分析一下连接在Switch B上的PC用户向Switch A发送报文的传输过程。

（1）当PC发出的报文到达Switch B的Ethernet2/0/4端口后，因为是不带VLAN标记的，所以在Ethernet2/0/4 Hybrid端口会自动打上该端口的默认VLAN ID，即VLAN 3的VLAN标记3。

（2）Switch B从收到的报文中学习到PC的MAC地址，并添加到VLAN 3的MAC地址转发表中，同时复制该表项到VLAN 5的MAC地址转发表中。

（3）由于Switch B的Ethernet2/0/3 Hybrid端口也属于VLAN 3，所以原来打上VLAN 3标记的报文可以从此端口发送，但同时会通过port hybrid vlan untagged命令的去VLAN标记配置去掉报文中的VLAN 3标记（如果不执行此命令，则报文仍是会带有VLAN 3标记的），这样一来到达Switch A的报文是不带有VLAN标记的。

下面是Switch B上的PC用户接收来自Switch A报文的传输过程。

（1）当Switch A从连接Switch B的Hybrid端口发出的报文（也事先经过port hybrid vlan untagged命令配置，该报文不携带VLAN标记）到达Switch B的端口Ethernet2/0/3时，因为是不带VLAN标记的，所以在Ethernet2/0/3端口上会自动打上其默认VLAN ID，即VLAN 5的标记。

（2）根据前面PC向Switch A发送报文传输过程中复制的VLAN 5的MAC地址转发表，系统可以找到该报文的出端口为Switch B的Ethernet2/0/4。

（3）由于Switch B的Ethernet2/0/4又加入了VLAN 5，因此前面打上了VLAN 5标记的报文可以正常转发VLAN 5的报文，然后同样通过port hybrid vlan untagged命令的去标记配置将报文以不带VLAN标记的方式转发到目的PC。

从以上两个相反方面的报文传输过程可以看出（有关Hybrid端口报文收发规则请参见16.1.2节），在isolate-user-vlan中最关键的就是两种操作：一是在一些Hybrid端口上要通过port hybrid vlan untagged命令配置发送报文时去VLAN标记操作；二是Secondary VLAN和isolate-user-vlan之间的MAC地址复制，具体将在下面两个小节中介绍。这需要在本端设备进行配置同步和MAC地址同步处理，在上行设备需要进行如下配置：①创建VLAN，VLAN ID等于Isolate-user-VLAN的VLAN ID；②配置入端口参数，将端口类型设置为Hybrid，将端口默认VLAN值设置为Isolate-user-VLAN ID，配置端口允许默认VLAN的报文以不带VLAN标记方式通过。