Mux VLAN原理
- Mux VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制,通过MuxVLAN提供的二层流量隔离的机制。可以实现企业内部员工之间互相通信,而外来访客之间的访问时隔离的
- 通过Mux-vlan技术区分大量用户时,可以节省大量的vlan id,同时也降低了后期的网路管理难度。
应用场景
服务器与汇聚层交换机直接相连,服务器的资源共享,企业希望隔离相同VLAN中不同外来访客之间的通信,同时隔离企业内部不同部门之间的通信
案例
- 同一个项目组里 ,有多个公司共同完成一个项目,共同访问同一台资源服务器。
- 要求公司内部的财务部内部可以互相通信,可以与服务器通信,但是不可以与其他部门和外来人员通信
- 要求外来人员都不可以互相通信,但是都可以访问服务器
都能访问的服务器属于注VLAN
公司内部的部门属于组VLAN
外来人员放入一个隔离的VLAN中
- 配置PCIP地址网关
- 配置服务器IP地址网关
- 创建VLAN,将指定端口加入到VLAN
- 配置VLAN隔离
配置VLAN隔离
[SW]vlan 40
[SW-vlan40]mux-vlan //指定主vlan 40
[SW-vlan40]subordinate group 10 //指定组vlan
[SW-vlan40]subordinate separate 20 //指定隔离vlan,只能存在一个
[SW]port-group group-member g0/0/1 to g0/0/5
[SW-port-group]port mux-vlan enable //接口开启mux-vlan 功能
组中的PC可以互相访问,可以访问服务器,不能访问隔离VLAN
隔离组内PC不能相互访问,但是都可以访问服务器
端口隔离
- 实现报文之间的二层隔离,除了使用VLAN技术,还可以使用端口隔离
- 采用该技术后,属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离
- 端口隔离为用户提供更加安全、更加灵活的组网方案
将需要隔离的端口加入到同一个隔离组即可以实现隔离,不同隔离组之间可以互相访问,隔离组内成员也可以和其他不在隔离组的成员互相通信
将所有成员和服务器加入vlan 10
[Huawei]vlan 10
[Huawei]port-group group-member g0/0/1 to g0/0/7
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 10
[Huawei]dis vlan
将PC3、4加入隔离组2
[Huawei]port-group group-member g0/0/4 g0/0/5
[Huawei-port-group]port-isolate enable group 2 //加入隔离组2
将PC5、6加入隔离组1
[Huawei]port-group group-member g0/0/6 g0/0/7
[Huawei-port-group]port-isolate enable group 1 //加入隔离组2
[Huawei]dis port-isolate group all //查看所有端口隔离组
