基于子网划分vlan会卡是怎么回事？

ip-subnet-vlan（基于子网划分 VLAN）业务卡顿完整根因 + 排查方向
核心原理先讲清：为什么单 Access 口不卡，混合 ip-subnet-vlan 就卡顿
你场景瓶颈来自ip-subnet-vlan 的报文处理机制：
Access 口固定单一 VLAN：报文进端口直接打固定标签，纯硬件转发，无 CPU 介入，线速无延迟；
ip-subnet-vlan 混合端口：所有上行 / 下行 untagged 报文，必须上送 CPU 匹配源 IP 子网、重新打对应 VLAN 标签，属于CPU 软件处理，不再硬件线速转发。
终端流量一大（视频、下载、批量报文），CPU 持续处理子网匹配，产生延迟、丢包，用户直观感受 “网络卡顿”。
一、4 个卡顿核心根因（按现场概率排序）
1. 全部 untagged 流量上送 CPU 匹配子网（最主要原因）
port hybrid ip-subnet-vlan 端口收到不带标签报文，不会直接硬件转发：
报文拷贝至 CPU；
解析二层帧内 IP 头，匹配你配置的ip-subnet-vlan网段；
CPU 重新打上对应 VLAN 标签，再下发芯片转发。
单 VLAN Access：硬件一次性打标转发，CPU 零占用；
多子网混合 ip-subnet-vlan：每包都走 CPU 解析，高并发下 CPU 冲高、转发延迟、随机丢包，业务卡顿。
验证命令：
bash
运行
display cpu-usage task | include L2_SUB_VLAN
L2_SUB_VLAN 任务占用率持续走高，直接确认是子网 VLAN 匹配消耗 CPU。
2. Hybrid 口双 VLAN 无标签泛洪风暴放大延迟
端口配置 port hybrid vlan 100 200 untagged，两个网段全部剥离标签转发至傻瓜交换机：
傻瓜交换机无 VLAN 隔离，100、200 网段广播 / 组播报文双向互通；
ARP 广播、设备发现报文、视频组播流量成倍翻倍；
翻倍流量全部再上送 CPU 做子网匹配，CPU 负载进一步加剧，卡顿更明显。
单 Access 口只有一个 VLAN 广播域，无跨网段广播干扰，流量量直接减半。
3. ARP 报文循环、跨网段二层泛洪丢包
傻瓜交换机下 192.168.100/200 两个网段设备在同一个二层广播域：
A 网段 ARP 请求会泛洪到 B 网段，产生大量无效 ARP；
CPU 既要处理子网 VLAN 匹配，还要处理海量 ARP 解析，双重消耗；
广播报文挤占 CPU 处理队列，正常单播业务报文排队延迟，上网卡顿。
4. 光纤端口报文缓存队列拥塞
CPU 处理速度远低于端口线速，报文在接口缓存堆积，队列溢出丢包：
bash
运行
display interface GigabitEthernet 1/0/1
查看输入输出Drop、Buffer overflow计数持续增长，就是 CPU 处理跟不上端口收发速度导致丢包卡顿。
二、分层排查步骤（按顺序验证定位）
步骤 1：确认 CPU 是否被子网 VLAN 进程占满
bash
运行
# 查看整机CPU总占用
display cpu-usage
# 定位子网VLAN专属任务占用
display cpu-usage task | include SUB_VLAN
现象：业务高峰期该任务占用超过 30%，基本确认是 ip-subnet-vlan 软件转发瓶颈。
步骤 2：查看接口丢包 / 队列溢出
bash
运行
display interface GigabitEthernet 1/0/1
# 重点查看字段：
# Input drops、Output drops、Buffer overflow、CRC error
有大量丢包 = CPU 处理跟不上端口流量。
步骤 3：抓取端口广播流量，确认泛洪量翻倍
bash
运行
display port traffic-filter statistics interface GigabitEthernet 1/0/1
# 对比单Access模式、ip-subnet-vlan模式下广播包速率
开启双子网后广播包数量翻倍，佐证傻瓜交换机二层无隔离泛洪。
步骤 4：临时验证瓶颈（快速定位）
把下行口改回单 VLAN Access，观察两点：
L2_SUB_VLAN CPU 任务占用归零；
接口丢包清零，业务卡顿消失；
完全匹配你描述的现象，即可锁定根因为ip-subnet-vlan CPU 软转发。
三、3 套根治优化方案（按需选用）
方案 1：最优改造（彻底规避 ip-subnet-vlan CPU 损耗，推荐）
傻瓜交换机分两条光纤接入接入交换机，每条光纤配置单一 Access VLAN：
光纤 1：GE1/0/1 Access VLAN100，只接 192.168.100 设备；
光纤 2：GE1/0/2 Access VLAN200，只接 192.168.200 设备；
优势：全部硬件转发，CPU 无消耗，无二层广播互通，彻底解决卡顿。
方案 2：不改布线，替换技术（基于 MAC 划分 VLAN mac-subnet-vlan）
如果终端 MAC 固定，改用基于 MAC 划分 VLAN：MAC 匹配在芯片硬件完成，不上送 CPU，无性能损耗。
bash
运行
vlan 100
mac-vlan mac xxxx-xxxx-xxxx
interface GigabitEthernet 1/0/1
port hybrid mac-subnet-vlan vlan 100
限制：适合固定终端，DHCP 动态 MAC 场景不适用。
方案 3：保留现有布线，缓解卡顿（临时过渡方案）
缩小广播域：接入端口配置广播风暴抑制，限制广播带宽，减少 CPU 压力
bash
运行
interface GigabitEthernet 1/0/1
storm-constrain broadcast bandwidth 10000
关闭不必要组播、ARP 泛洪：开启 ARP 抑制
bash
运行
arp anti-attack check duplicate-arp enable
降低终端并发流量：傻瓜交换机端口限速，减少上送 CPU 报文总量
缺陷：只能缓解，无法根治，高流量场景依旧卡顿。
四、核心总结一句话
基于子网 ip-subnet-vlan 的 untagged 报文全部依赖 CPU 软件解析转发，相比 Access 硬件转发存在巨大性能损耗；再加傻瓜交换机二层无隔离，双 VLAN 广播泛洪加倍，CPU 负载拉满、报文排队丢包，最终用户上网卡顿。
单 VLAN Access 口无需 CPU 处理，硬件线速转发，自然无卡顿。