4.7正确使用DSA标签端口
分布式交换机架构（DSA）标签端口用于设备之间以及与管理CPU之间的互连。这些内部端口是交换机结构的一个扩展，因此 它们本质上是可信的。DSA标签端口通常携带来自许多不同源端口的帧，（即，来自可能设置为“正常网络”模式（第2节）或“提供者模式”（第3节）的可能不受信任的外部端口的帧）。
内部和外部端口类型之间的信任级别的不同决定了以下用法的不同（假设使用多交换机芯片实现）：
1、 策略（2节）需要在扩展端口（正常网络或提供商）作为第一个进入交换机的帧时完成。这包括在所有帧上使用PIRL资源来防止拒绝服务（DoS）攻击，它们是到CPU的（管理帧，地址解析，多播等）。
2、 DSA标签端口需要是一个开放的数据管道，进入交换机设备。因此政策不能因为该策略将影响多个源端口和目的端口。这意味着除了VLAN映射（第2.2.2.8节）外，第2节中描述的功能都不应该在DSA Tag端口上启用。
3、 除了802.1X（第1.2.7节）外，基本的交换机操作（第1.1节）必须在DSA标签端口上进行，这样才能在本地设备上进行学习和交换。802.1X仅在外部端口进行
4、 Learn2All应该启用对跨芯片的学习（全局1偏移量0x0A）。必须在所有DSA链接上设置MessagePort位（端口偏移量0x05），这样才能发挥作用（CPU链接除外）。
5、 VLAN交换操作（第2.2节的映射部分，没有策略，即丢弃帧的部分）必须在DSA标签端口上完成，这样才能完成本地VLAN隔离。
1） 在片内使用基于端口的VLAN来防止循环。（2.2.1.1节）
2） 当至少有一个外部端口是在基于端口的VLAN模式下的时候使用跨芯片的基于端口的VLAN（4.5.3节）
3） 当至少有一个外部端口使用三种中的任意一种802.1Q模式时将使用802.1QVLAN MemberTag的映射和标记。所有的交换机设备都应该有在交换机中使用的每个VID被定义并加载到他们的本地VTU中。
6、 如果需要启用跨芯片的流控。（4.5.1节）
7、 强制在所有的(G)MII DSA端口建立链接包括CPU的端口（1.1.3.7节-内部端口上的链接不会自动建立）。
8、 镜像（所有的类型）只能在DSA端口上运行，它是直接连接到CPU的。跨芯片的内部连接的DSA端口必须禁用所有的镜像。
9、 帧类型的优先级覆盖可以完成仅用于安全控制技术中。
10、 在芯片到芯片的内部连接中不要使用以太网类型DSA的帧（4.9节）格式。它被设计用于端口直接连接到CPU。
11、 正确配置每个设备的设备映射表（全局2偏移量0x06-4.3节）。