华为交换机MUX-VLAN配置教程与最佳实践

MUX-VLAN是一种针对连接批量设备的访问控制功能，它可以简化Vlan端口的设置，实现批量操作。下面将详细介绍MUX-VLAN的概念、配置方法和实验验证过程。
在MUX-VLAN中，我们定义了主从VLAN，其中从VLAN又分为组VLAN和隔离VLAN。这种划分带来了以下访问规则：
1. 主VLAN可以访问所有从VLAN。 2. 组VLAN之间可以互相访问，但不能访问隔离VLAN。 3. 组VLAN内部成员之间可以自由通信。 4. 隔离VLAN内部成员之间无法通信，且隔离VLAN只能有一个。
接下来，我们通过一个实验来验证这些规则。
首先，实验的拓扑结构如图所示。实验要求如下： 1. 设备R1可以与任何设备通信。 2. 设备PC1、PC2和PC3之间可以相互通信。 3. 设备PC4和PC5之间不能通信。 4. 设备PC1、PC2、PC3与PC4、PC5之间也不能通信。
为了实现这些需求，我们有两种解决方案：一是使用接口类型Access、Trunk和trunk进行配置；二是使用MUX-VLAN进行配置。本文采用第二种方法。
配置步骤如下：
1. 定义主VLAN 100和从VLAN 501、502。 2. 将交换机连接路由器的链路划分到VLAN 100作为主VLAN。 3. 将交换机连接的PC1、PC2、PC3划分到组VLAN 501。 4. 将交换机连接的PC4、PC5划分到隔离VLAN 502。 5. 进行相应的配置以满足实验需求。
具体配置代码如下：
```plaintext 定义主vlan 100, 从vlan 501、502: [s1]vlanbatch100501502 [s1]vlan100 [s1-vlan100]subordiNATegroup501 [s1-vlan100]subordinateseparate502
将交换机连接路由器的链路划分到vlan 100作为主VLAN: [s1]inte0/0/6 [s1-Ethernet0/0/6]portlink-typeaccess [s1-Ethernet0/0/6]portdefaultvlan100 [s1-Ethernet0/0/6]portmux-vLANEnable
将交换机连接的PC1、PC2、PC3划分到组VLAN 501: [s1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/3 [s1-port-group]portlink-typeaccess [s1-Ethernet0/0/1]portdefaultvlan501 [s1-Ethernet0/0/1]portmux-vlanenable
将交换机连接的PC4、PC5划分到隔离VLAN 502: [s1]port-groupgroup-memberEthernet0/0/4Ethernet0/0/5 [s1-port-group]portlink-typeaccess [s1-Ethernet0/0/4]portdefaultvlan502 [s1-Ethernet0/0/4]portmux-vlanenable ```
配置完成后，我们使用PC进行互相访问验证。以下是验证结果：
1. 使用PC1访问PC2、PC3、PC4，发现PC1可以与PC2、PC3通信，但无法与PC4通信。 2. 使用PC2访问PC3、PC4、PC5，发现PC2可以与PC3通信，但无法与PC4、PC5通信。 3. 使用PC4访问PC5，无法通信。 4. 使用路由器访问PC1、PC2、PC3、PC4、PC5，发现路由器可以与所有PC通信。
实验结果表明，配置成功满足了需求。此外，我们还可以通过更改接口类型来实现其他需求。
总之，MUX-VLAN为网络管理员提供了一种简便、高效的访问控制方式，可以帮助他们更好地管理和配置网络。通过本文的介绍和实验验证，相信读者已经对MUX-VLAN有了更深入的了解。

MUX-VLAN

MUX-VLAN是用来对连接批量设备的访问控制功能，相当于vlan端口设置的简化批量操作。

在MUX-VLAN中定义主从VLAN

从VLAN分为组VLAN和隔离VLAN

相互访问规则：

1、主VLAN可以访问从VLAN
2、组VLAN不能访问隔离VLAN
3、组VLAN内部可以互相访问 （组VLAN可以有多个）
4、隔离VLAN内部不能互相访问 (隔离VLAN只能有一个)

实验配置验证：

1、拓扑如图

2、需求如下

需求：
1、R1可以和其它任意通信
2、PC1、2 和3之间可以通信
3、 PC4、5之间不能通信
4.、PC 1、2、3 和PC4、5之间不能通信

3、解决思路

方法1：使用接口类型access+trunk+trunk进行解决问题
方法2：使用MUX-VLAN进行解决

这里使用方法2，看思路
1、定义主vlan 100, 从vlan 501、502
2、将交换机连接路由器的链路划分到vlan 100 作为主VLAN
3、将交换机连接的PC1、2、3 划分到组VLAN 501
4、将交换机连接的PC4、5 划分到隔离VLAN 502
5、进行配置，解决需求

4、实验相关配置代码

1、定义主vlan 100, 从vlan 501、502

[s1]vlanbatch100501502
[s1]vlan100
[s1-vlan100]subordinategroup501
[s1-vlan100]subordinateseparate502

2、将交换机连接路由器的链路划分到vlan 100 作为主VLAN

[s1]inte0/0/6
[s1-Ethernet0/0/6]portlink-typeaccess
[s1-Ethernet0/0/6]portdefaultvlan100
[s1-Ethernet0/0/6]portmux-vlanenable启用mux-vlan

3、将交换机连接的PC1、2、3 划分到组VLAN 501

[s1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/3多端口配置
[s1-port-group]portlink-typeaccess
[s1-Ethernet0/0/1]portdefaultvlan501
[s1-Ethernet0/0/1]portmux-vlanenable

4、将交换机连接的PC4、5 划分到隔离VLAN 502

[s1]port-groupgroup-memberEthernet0/0/4Ethernet0/0/5
[s1-port-group]portlink-typeaccess
[s1-Ethernet0/0/1]portdefaultvlan502
[s1-Ethernet0/0/1]portmux-vlanenable

5、实验验证

使用PC进行互相访问验证

1、使用PC1访问PC2、3、4

2、使用PC2访问PC3、4、5

3、使用PC 4访问PC5

4、使用路由器访问PC1、2、3、4、5

实验完成，满足需求，同时也可以使用改变接口类型来实现使用需求。

审核编辑：刘清