MUX VLAN产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。
- Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
- 每个Separate VLAN必须绑定一个Principal VLAN。| | | Group VLAN(互通型从VLAN) | Group port |
- Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
- 每个Group VLAN必须绑定一个Principal VLAN。|
应用场景
根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如下图所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。
MUX VLAN配置命令
(1) 配置MUX VLAN中的Principal VLAN:
[Huawei-vlan100] mux-vlan配置该VLAN为MUX VLAN,即Principal VLAN。如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在Super-VLAN、Sub-VLAN的配置中使用。
(2)配置Subordinate VLAN中的Group VLAN:
[Huawei-vlan100] subordinate group { vlan-id1 [ to vlan-id2 ] }一个Principal VLAN下最多配置128个Group VLAN。
(3)配置Subordinate VLAN中的Separate VLAN:
[Huawei-vlan100] subordinate separate vlan-id一个Principal VLAN下只能配置一个Separate VLAN,同一MUX VLAN中Group VLAN和Separate VLAN的VLAN ID不能相同。
(4)使能接口MUX VLAN功能:
[Huawei-GigabitEthernet0/0/1] port mux-vlan enable vlan-id使能接口的MUX VLAN功能,协商类型negotiation-auto和negotiation-desirable接口不支持配置port mux-vlan enable。
MUX VLAN配置举例
配置MUX-VLAN组网图
在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
配置思路
采用如下思路配置MUX VLAN功能:
- 配置主VLAN的MUX VLAN功能。
- 配置Group VLAN功能。
- 配置Separate VLAN功能。
- 配置接口加入VLAN并使能MUX VLAN功能。
操作步骤
(1)创建VLAN2、VLAN3和VLAN4:
system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3 4 (2)配置MUX VLAN中的Group VLAN和Separate VLAN:
[Switch] vlan 2
[Switch-vlan2] mux-vlan
[Switch-vlan2] subordinate group 3
[Switch-vlan2] subordinate separate 4
[Switch-vlan2] quit(3)配置接口加入VLAN并使能MUX VLAN功能:
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 2
[Switch-GigabitEthernet1/0/1] port mux-vlan enable vlan 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 3
[Switch-GigabitEthernet1/0/2] port mux-vlan enable vlan 3
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 3
[Switch-GigabitEthernet1/0/3] port mux-vlan enable vlan 3
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] port link-type access
[Switch-GigabitEthernet1/0/4] port default vlan 4
[Switch-GigabitEthernet1/0/4] port mux-vlan enable vlan 4
[Switch-GigabitEthernet1/0/4] quit
[Switch] interface gigabitethernet 1/0/5
[Switch-GigabitEthernet1/0/5] port link-type access
[Switch-GigabitEthernet1/0/5] port default vlan 4
[Switch-GigabitEthernet1/0/5] port mux-vlan enable vlan 4
[Switch-GigabitEthernet1/0/5] quit
