前面两节分别创建了Isolate-user-VLAN和Secondary VLAN，但还没有把它们关联起来，当然就不能实现Isolate-user-VLAN功能。要把Isolate-user-VLAN和Secondary VLAN关联起来，就是要把一个或多个Secondary VLAN映射到一个Isolate-user-VLAN，建立Isolate-user-VLAN和Secondary VLAN间的映射关系。就像将NAT中的多个内部IP地址映射到一个外部IP地址一样，对外以一个Isolate-user-VLAN呈现。

Isolate-user-VLAN和Secondary VLAN间的映射很简单，就是下面这一条系统视图命令：

isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

下面介绍命令中的各个参数。

l   isolate-user-vlan-id：指定要建立映射关系的Isolate-user-VLAN的VLAN ID，取值范围为1～4094，当然这要与服务商分配给你的VLAN ID一样。

l   secondary secondary-vlan-id [ to secondary-vlan-id ]：指定要建立映射关系的Secondary VLAN的VLAN ID或VLAN ID范围，secondary-vlan-id表示Secondary VLAN的编号，取值范围为1～4094，是客户内部的VLAN，但VLAN ID不能与Isolate-user-VLAN有重复。

默认情况下，用户创建的Isolate-user-VLAN和Secondary VLAN没有任何映射关系，可以用undo isolate-user-vlan isolate-user-vlan-id [ secondary secondary-vlan-id [ to secondary-vlan-id ]命令取消Isolate-user-VLAN和Secondary VLAN间的映射关系。undo isolate-user-vlan命令如果不带参数secondary secondary-vlan-id，就解除所有Secondary VLAN和指定Isolate-user-VLAN的映射关系；如果带有该参数，就解除参数指定的Secondary VLAN和指定Isolate-user-VLAN的映射关系。

【注意】执行该命令时，Isolate-user-VLAN和Secondary VLAN中必须至少包含一个端口，否则这两类VLAN都是不会被激活的。而且这两个VLAN中的端口必须允许Isolate-user-VLAN（或Secondary VLAN）通过，其默认VLAN也必须是Isolate-user-VLAN（或Secondary VLAN），否则不能执行该命令。

建立映射关系后，系统将禁止向Isolate-user-VLAN和Secondary VLAN中添加/删除Access类型的端口（但可以添加/删除Hybrid类型的端口）；禁止配置Secondary VLAN内各端口的二层隔离；禁止修改端口的Isolate-user-VLAN类型；禁止删除VLAN等操作，只有在解除了映射关系后才可以执行以上配置。

下面的示例是将Isolate-user-VLAN 2和Secondary VLAN 3、4关联。

system-view

[Sysname] vlan 2

[Sysname-vlan2] isolate-user-vlan enable

[Sysname-vlan2] port gigabitethernet 1/0/2

[Sysname-vlan2] vlan 3

[Sysname-vlan3] port gigabitethernet 1/0/3

[Sysname-vlan3] vlan 4

[Sysname-vlan4] port gigabitethernet 1/0/4

[Sysname-vlan4] quit

[Sysname] isolate-user-vlan 2 secondary 3 to 4

Isolate-user-VLAN和各Secondary VLAN映射完成后，就完成了整个Isolate-user-VLAN的配置，也就将发生在20.1.3节和20.1.4节介绍的配置同步和MAC地址同步了。