lMUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。
对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。
如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,
这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
l为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。
端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;
当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
MUX VLAN 划分表
MUX VLAN 配置
网络拓扑分析
将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;
企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;
企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。
配置命令
sys #都要先进入系统视图才能配置
#配置MUX VLAN中的Principal VLAN
vlan 40 #进入企业服务器vlan视图
name server #给vlan 40改名为 server,然后在系统视图下可以用vlan vlan-name进入对应vlan视图
mux-vlan #置该VLAN为MUX VLAN,即Principal VLAN
#配置Subordinate VLAN中的Separate VLAN
vlan server #进入已经成功创建的Principal VLAN视图
subordinate separate 30 #配置Subordinate VLAN中的Separate VLAN
#配置Subordinate VLAN中的Group VLAN
vlan serve #进入已经成功创建的Principal VLAN视图
subordinate group 10 20 #配置Subordinate VLAN中的Group VLAN
使能接口MUX VLAN功能
只有使能接口MUX VLAN功能后,才能实现Principal VLAN与Subordinate VLAN之间通信、Group VLAN内的接口可以相互通信及Separate VLAN接口间不能相互通信的目的
前置任务
在使能接口MUX VLAN功能之前,需要完成以下任务:
-
已配置接口以Access、Hybrid或Trunk类型加入MUX VLAN。
-
接口可允许多个普通VLAN通过,但仅支持加入一个MUX VLAN
操作步骤
sys
interface interface-type interface-number #进入接口视图
port link-type { hybrid | access | trunk } #配置端口类型
port mux-vlan enable vlan 10 20 30 40 #使能接口的 MUX VLAN功能,后接VLAN ID
display mux-vlan #检查配置结果
端口隔离
配置端口隔离组
sys
int g0/0/接口ID #进入接口视图
port-isolate enable #使能端口隔离功能
port-isolate enable group group-id #创建隔离组
port-isolate mode all #配置隔离模式为二层三层都隔离
display port-isolate group all #查看所有创建的隔离组情况
配置端口单向隔离
sys
int g0/0/1
am isolate g0/0/1 #配置单向端口隔离
Refer
华为官方技术支持文档
https://support.huawei.com/enterprise/zh/doc/EDOC1000112192?section=k00b