产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN,如表1所示。
| MUX VLAN |
VLAN类型 |
所属接口 |
通信权限 |
|---|---|---|---|
| Principal VLAN(主VLAN) |
- |
Principal port |
Principal port可以和MUX VLAN内的所有接口进行通信。 |
| Subordinate VLAN(从VLAN) |
Separate VLAN(隔离型从VLAN) |
Separate port |
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个Principal VLAN。 |
| Group VLAN(互通型从VLAN) |
Group port |
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个Principal VLAN。 |
通信原理
如图1所示,根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如图2所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。
| 英文 | 翻译 | 用法 | 举例 |
| principal vlan | 主VLAN | 都可以访问的 | 企业服务器 |
| separate vlan | 独立VLAN | 组内成员不可以通信 | 企业用户 |
| group vlan | 组VLAN | 组内成员可以通信 | 企业员工 |
配置思路
在接入交换机和核心交换机配置MUX VLAN,其他交换机上不作设置,只需透传相关VLAN即可,
在核心交换机上我们操作的VLAN一般都是需要大家都能访问的
在接入交换机上一般我们按照需求对端口进行group配置或者separate配置
思考
用ACL或者端口隔离也可以实现各种限制,但是mux vlan有什么好处呢?
假设属于企业员工组设置了group vlan,那么它下面的几个几十个用户都是可以互访的,也可以访问服务器。然后企业用户组设置了separate vlan,那么它下面的几个几十个用户都是不能互访的,但是都可以访问服务器,就完成了需求。
不知正确与否?以后回来看看。
CORE
[CORE]vlan batch 2 3 4
Info: This operation may take a few seconds. Please wait for a moment...done.
[CORE]vlan 2 //进入vlan2,这种VLAN一般对应企业服务器,需求就是下面的都可以访问它
[CORE-vlan2]mux-vlan //使能MUX-VLAN,使得vlan2为主vlan
[CORE-vlan2]subordinate group 3 //设置组vlan是,vlan3
[CORE-vlan2]subordinate separate 4//设置需要独立的VLAN是,vlan4
[CORE-vlan2]quit
[CORE]ACCESS
[Switch1] interface gigabitethernet 1/0/2
[Switch1-GigabitEthernet1/0/2] port link-type trunk
[Switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet1/0/2] port mux-vlan enable vlan 2
[Switch1-GigabitEthernet1/0/2] quit
[Switch1] interface gigabitethernet 1/0/3
[Switch1-GigabitEthernet1/0/3] port link-type trunk
[Switch1-GigabitEthernet1/0/3] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet1/0/3] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet1/0/3] quit
[Switch1] interface gigabitethernet 1/0/4
[Switch1-GigabitEthernet1/0/4] port link-type trunk
[Switch1-GigabitEthernet1/0/4] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet1/0/4] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet1/0/4] quit
[Switch1] interface gigabitethernet 1/0/5
[Switch1-GigabitEthernet1/0/5] port link-type trunk
[Switch1-GigabitEthernet1/0/5] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet1/0/5] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet1/0/5] quit
[Switch1] interface gigabitethernet 1/0/6
[Switch1-GigabitEthernet1/0/6] port link-type trunk
[Switch1-GigabitEthernet1/0/6] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet1/0/6] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet1/0/6] quit注:转自华为官方技术文档,谨做笔记参考,不作它用。
