MUX VLAN简介
在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为主VLAN和从VLAN,从VLAN又分为隔离型从VLAN和互通型从VLAN. 如下表:
通信原理
根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
MUX VLAN配置举例
1. 配置MUX VLAN示例
1.1 组网需求
在企业网络中,企业希望某些部门之间的员工是互相隔离的,某些部门之间的员工是可以互相访问的,并且所有部门的员工都可以访问公司的服务器。
为了解决上述问题,可部署MUX VLAN功能。将企业服务器划分在主VLAN内,需要互相访问的部门员工划分在互通型从VLAN内,需要互相隔离的部门员工划分在隔离型从VLAN内,即可解决上述问题,且不会耗费大量的VLAN ID。
如图,Eth2/0/1与ServerA相连,Eth2/0/2与HostB相连,Eth2/0/3与HostC相连,Eth2/0/4与HostD相连,Eth2/0/5与HostE相连。将Router设备上创建VLAN2为主VLAN,加入接口Eth2/0/1,创建VLAN3作为互通型从VLAN,加入接口Eth2/0/2和Eth2/0/3,创建VLAN4作为隔离型从VLAN,加入接口Eth2/0/4和Eth2/0/5。
1.2 配置思路
1.配置主VLAN的MUX VLAN功能。
2.配置Group VLAN功能。
3.配置Separate VLAN功能。
4.配置接口加入VLAN并使能MUX VLAN功能。
1.3 操作步骤
1.配置MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
[Huawei] sysname Router
[Router] vlan batch 2 3 4
# 配置MUX VLAN中的主VLAN和从VLAN。
[Router] vlan 2
[Router-vlan2] mux-vlan
[Router-vlan2] subordinate group 3
[Router-vlan2] subordinate separate 4
[Router-vlan2] quit
# 配置接口加入VLAN并使能MUX VLAN功能。
[Router] interface ethernet 2/0/1
[Router-Ethernet2/0/1] port link-type access
[Router-Ethernet2/0/1] port default vlan 2
[Router-Ethernet2/0/1] port mux-vlan enable
[Router-Ethernet2/0/1] quit
[Router] interface ethernet 2/0/2
[Router-Ethernet2/0/2] port link-type access
[Router-Ethernet2/0/2] port default vlan 3
[Router-Ethernet2/0/2] port mux-vlan enable
[Router-Ethernet2/0/2] quit
[Router] interface ethernet 2/0/3
[Router-Ethernet2/0/3] port link-type access
[Router-Ethernet2/0/3] port default vlan 3
[Router-Ethernet2/0/3] port mux-vlan enable
[Router-Ethernet2/0/3] quit
[Router] interface ethernet 2/0/4
[Router-Ethernet2/0/4] port link-type access
[Router-Ethernet2/0/4] port default vlan 4
[Router-Ethernet2/0/4] port mux-vlan enable
[Router-Ethernet2/0/4] quit
[Router] interface ethernet 2/0/5
[Router-Ethernet2/0/5] port link-type access
[Router-Ethernet2/0/5] port default vlan 4
[Router-Ethernet2/0/5] port mux-vlan enable
[Router-Ethernet2/0/5] quit
2.验证配置结果
# ServerA和HostB、HostC、HostD、HostE都可以互相Ping通。
# HostB和HostC可以互相Ping通。
# HostD和HostE不可以互相Ping通。
# HostB、HostC和HostD、HostE不可以互相Ping通。
2. 配置跨设备MUX VLAN示例
2.1 组网需求
当企业网络中的服务器和员工分布在多台设备上时,可以部署跨设备的MUX VLAN功能解决上述问题。
如图所示,Eth2/0/1与服务器相连,Eth2/0/2、Eth2/0/3、Eth2/0/4和Eth2/0/5与主机相连,Router之间通过Eth2/0/6相连。在Router设备上创建VLAN2为主VLAN,加入接口Eth2/0/1,创建VLAN3作为互通型从VLAN,加入接口Eth2/0/2和Eth2/0/3,创建VLAN4作为隔离型从VLAN,加入接口Eth2/0/4和Eth2/0/5,并配置Eth2/0/6允许VLAN2、VLAN3和VLAN4通过。
2.2 配置思路
1.配置主VLAN的MUX VLAN功能。
2.配置Group VLAN功能。
3.配置Separate VLAN功能。
4.配置接口加入VLAN并使能MUX VLAN功能。
5.配置Router之间的接口允许所有MUX VLAN通过。
2.3 操作步骤
1.配置RouterA的MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
[Huawei] sysname RouterA
[RouterA] vlan batch 2 3 4
# 配置MUX VLAN中的主VLAN和从VLAN。
[RouterA] vlan 2
[RouterA-vlan2] mux-vlan
[RouterA-vlan2] subordinate group 3
[RouterA-vlan2] subordinate separate 4
[RouterA-vlan2] quit
# 配置接口Eth2/0/1~Eth2/0/5加入VLAN并使能MUX VLAN功能。
[RouterA] interface ethernet 2/0/1
[RouterA-Ethernet2/0/1] port link-type access
[RouterA-Ethernet2/0/1] port default vlan 2
[RouterA-Ethernet2/0/1] port mux-vlan enable
[RouterA-Ethernet2/0/1] quit
[RouterA] interface ethernet 2/0/2
[RouterA-Ethernet2/0/2] port link-type access
[RouterA-Ethernet2/0/2] port default vlan 3
[RouterA-Ethernet2/0/2] port mux-vlan enable
[RouterA-Ethernet2/0/2] quit
[RouterA] interface ethernet 2/0/3
[RouterA-Ethernet2/0/3] port link-type access
[RouterA-Ethernet2/0/3] port default vlan 3
[RouterA-Ethernet2/0/3] port mux-vlan enable
[RouterA-Ethernet2/0/3] quit
[RouterA] interface ethernet 2/0/4
[RouterA-Ethernet2/0/4] port link-type access
[RouterA-Ethernet2/0/4] port default vlan 4
[RouterA-Ethernet2/0/4] port mux-vlan enable
[RouterA-Ethernet2/0/4] quit
[RouterA] interface ethernet 2/0/5
[RouterA-Ethernet2/0/5] port link-type access
[RouterA-Ethernet2/0/5] port default vlan 4
[RouterA-Ethernet2/0/5] port mux-vlan enable
[RouterA-Ethernet2/0/5] quit
# 配置接口Eth2/0/6允许所有MUX VLAN通过。
[RouterA] interface ethernet 2/0/6
[RouterA-Ethernet2/0/6] port link-type trunk
[RouterA-Ethernet2/0/6] port trunk allow-pass vlan 2 to 4
[RouterA-Ethernet2/0/6] quit
2.配置RouterB的MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
[Huawei] sysname RouterB
[RouterB] vlan batch 2 3 4
# 配置MUX VLAN中的主VLAN和从VLAN。
[RouterB] vlan 2
[RouterB-vlan2] mux-vlan
[RouterB-vlan2] subordinate group 3
[RouterB-vlan2] subordinate separate 4
[RouterB-vlan2] quit
# 配置接口Eth2/0/1~Eth2/0/5加入VLAN并使能MUX VLAN功能。
[RouterB] interface ethernet 2/0/1
[RouterB-Ethernet2/0/1] port link-type access
[RouterB-Ethernet2/0/1] port default vlan 2
[RouterB-Ethernet2/0/1] port mux-vlan enable
[RouterB-Ethernet2/0/1] quit
[RouterB] interface ethernet 2/0/2
[RouterB-Ethernet2/0/2] port link-type access
[RouterB-Ethernet2/0/2] port default vlan 3
[RouterB-Ethernet2/0/2] port mux-vlan enable
[RouterB-Ethernet2/0/2] quit
[RouterB] interface ethernet 2/0/3
[RouterB-Ethernet2/0/3] port link-type access
[RouterB-Ethernet2/0/3] port default vlan 3
[RouterB-Ethernet2/0/3] port mux-vlan enable
[RouterB-Ethernet2/0/3] quit
[RouterB] interface ethernet 2/0/4
[RouterB-Ethernet2/0/4] port link-type access
[RouterB-Ethernet2/0/4] port default vlan 4
[RouterB-Ethernet2/0/4] port mux-vlan enable
[RouterB-Ethernet2/0/4] quit
[RouterB] interface ethernet 2/0/5
[RouterB-Ethernet2/0/5] port link-type access
[RouterB-Ethernet2/0/5] port default vlan 4
[RouterB-Ethernet2/0/5] port mux-vlan enable
[RouterB-Ethernet2/0/5] quit
# 配置接口Eth2/0/6允许所有MUX VLAN通过。
[RouterB] interface ethernet 2/0/6
[RouterB-Ethernet2/0/6] port link-type trunk
[RouterB-Ethernet2/0/6] port trunk allow-pass vlan 2 to 4
[RouterB-Ethernet2/0/6] quit
3.验证配置结果
# 所有从VLAN中的主机都可以访问主VLAN中的ServerA和ServerB。
# 互通型从VLAN中的主机HostA、HostB、HostE和HostF之间可以互相访问。
# 隔离型从VLAN中的主机HostC、HostD、HostG和HostH之间不可以互相访问。
# 互通型从VLAN中的主机和隔离型从VLAN中的主机之间也不可以互相访问。
闽公网安备 35012102500533号