在企业网络中,员工和客户都可能需要访问企业的服务器,但企业希望内部员工之间可以互相交流,而客户之间则需要隔离,不能互相访问。为了实现这一需求,我们可以通过配置VLAN间通信来实现。但如果企业规模很大,拥有大量用户,为每个不能互相访问的用户都分配VLAN会耗费大量的VLAN ID,增加网络管理者的工作量,同时也会增加维护量。
MUX VLAN提供了一种解决方案,通过它的二层流量隔离机制,可以实现企业内部员工之间互相交流,而客户之间则是隔离的。MUX VLAN分为Principal VLAN和SubordiNATe VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。
Principal VLAN是主VLAN,它的端口可以和MUX VLAN内的所有接口进行通信。Subordinate VLAN是从VLAN,它的端口可以分为两种类型:Separate VLAN和Group VLAN。
Separate VLAN是隔离型从VLAN,它的端口只能和Principal VLAN的端口进行通信,和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。
Group VLAN是互通型从VLAN,它的端口可以和Principal VLAN的端口进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate VLAN的端口通信。每个Group VLAN也必须绑定一个Principal VLAN。
在配置MUX VLAN时,首先需要创建VLAN,然后配置MUX VLAN中的Group VLAN和Separate VLAN。接下来,配置接口加入VLAN并使能MUX VLAN功能。
例如,我们可以创建VLAN2、VLAN3和VLAN4,然后将VLAN2配置为Group VLAN,VLAN3配置为Group VLAN,VLAN4配置为Separate VLAN。将接口GigabitEthernet 1/0/1配置为VLAN2,接口GigabitEthernet 1/0/2和GigabitEthernet 1/0/3配置为VLAN3,接口GigabitEthernet 1/0/4和GigabitEthernet 1/0/5配置为VLAN4。
配置完成后,可以通过检查配置结果来验证MUX VLAN的功能是否正常工作。检查结果应包括以下内容:Server和HostB、HostC、HostD、HostE在同一网段,Server和HostB、HostC、HostD、HostE二层流量互通,HostB和HostC二层流量互通,HostD和HostE二层流量不通,HostB、HostC和HostD、HostE二层流量不通。
MUX VLAN的应用可以有效地解决企业网络中用户之间的隔离和资源共享问题,同时也能够减少VLAN ID的使用,减轻网络管理者的工作量,简化网络的维护。
总的来说,MUX VLAN是一种有效的网络资源控制机制,它可以帮助企业在保护内部信息安全的同时,实现资源的共享和优化,提高网络的效率。
MUX VLAN(MultiPlex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。
对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。
如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。
01Principal VLAN(主VLAN)
Principalport可以和MUX VLAN内的所有接口进行通信。
02Subordinate VLAN(从VLAN)
SeparateVLAN(隔离型从VLAN):
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
每个Separate VLAN必须绑定一个Principal VLAN。
GroupVLAN(互通型从VLAN):
Group port可以和Principalport进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个Group VLAN必须绑定一个Principal VLAN。
配置举例
01组网需求
如图所示,在企业网络中,企业所有员工都可以访问企业的服务器。
但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
为了解决上述问题,可在连接终端的交换机上部署MUX VLAN(复合vlan)特性。
MUXVLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。
02配置思路
配置主VLAN的MUX-VLAN功能。
配置Group-VLAN功能。
配置Separate-VLAN功能。
配置接口加入VLAN并使能MUX-VLAN功能。
03操作步骤
配置MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3 4
# 配置MUX VLAN中的Group VLAN和Separate VLAN。
[Switch] vlan 2
[Switch-vlan2] mux-vlan
[Switch-vlan2] subordinate group 3
[Switch-vlan2] subordinate separate 4
[Switch-vlan2] quit
# 配置接口加入VLAN并使能MUX VLAN功能。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-typeaccess
[Switch-GigabitEthernet1/0/1] port defaultvlan 2
[Switch-GigabitEthernet1/0/1] port mux-vLANEnable vlan 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-typeAccess
[Switch-GigabitEthernet1/0/2] port defaultvlan 3
[Switch-GigabitEthernet1/0/2] port mux-vlanenable vlan 3
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-typeaccess
[Switch-GigabitEthernet1/0/3] port defaultvlan 3
[Switch-GigabitEthernet1/0/3] port mux-vlanenable vlan 3
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] port link-typeaccess
[Switch-GigabitEthernet1/0/4] port defaultvlan 4
[Switch-GigabitEthernet1/0/4] port mux-vlanenable vlan 4
[Switch-GigabitEthernet1/0/4] quit
[Switch] interface gigabitethernet 1/0/5
[Switch-GigabitEthernet1/0/5] port link-typeaccess
[Switch-GigabitEthernet1/0/5] port defaultvlan 4
[Switch-GigabitEthernet1/0/5] port mux-vlanenable vlan 4
[Switch-GigabitEthernet1/0/5] quit
配置接口加入VLAN并使能MUX-VLAN功能。
04检查配置结果
(1)Server和HostB、HostC、HostD、HostE在同一网段。
(2)Server和HostB、HostC、HostD、HostE二层流量互通。
(3)HostB和HostC二层流量互通。
(4)HostD和HostE二层流量不通。
(5)HostB、HostC和HostD、HostE二层流量不通。
05配置文件
#
sysname Switch
#
vlan batch 2 to 4
#
vlan 2
mux-vlan
subordinate separate 4
subordinate group 3
#
interface GigabitEthernet1/0/1
portlink-type access
portdefault vlan 2
portmux-vlan enable vlan 2
#
interface GigabitEthernet1/0/2
portlink-type access
portdefault vlan 3
portmux-vlan enable vlan 3
#
interface GigabitEthernet1/0/3
portlink-type access
portdefault vlan 3
portmux-vlan enable vlan 3
#
interface GigabitEthernet1/0/4
portlink-type access
portdefault vlan 4
portmux-vlan enable vlan 4
#
interface GigabitEthernet1/0/5
portlink-type access
portdefault vlan 4
portmux-vlan enable vlan 4
#
return
