MUX-VLAN
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
概念:
MUX-VLAN 分为主vlan和从vlan ,从vlan又可分为互通型和隔离型
-
主VLAN(Principal VLAN):Principal port可以和MUX VLAN内的所有接口进行通信。
-
隔离型从VLAN(Separate VLAN):Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。每个隔离型从VLAN必须绑定一个主VLAN。
-
互通型从VLAN(Group VLAN):Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个互通型从VLAN必须绑定一个主VLAN -
- 如果指定VLAN已经用于主VLAN或从VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。 - 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。 - 不能在同一接口上配置MUX VLAN和接口安全功能。 - 不能在同一接口上配置MUX VLAN和MAC认证功能。 - 不能在同一接口上配置MUX VLAN和802.1x认证功能。 - 当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。 - 接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。
[sw1]vlan batch 10 20 40
[sw1-vlan10] mux-vlan ---设置主vlan
[sw1-vlan10] subordinate separate 20 --隔离型
[sw1-vlan10] subordinate group 40 --互通型
[sw1]int GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 10
[sw1-GigabitEthernet0/0/5] port mux-vlan enable --接口开启mux-vlan
---
[sw1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[sw1-port-group] port link-type access
[sw1-port-group] port default vlan 20
[sw1-port-group]port mux-vlan enable
----
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-group] port link-type access
[sw1-port-group] port default vlan 40
[sw1-port-group] port mux-vlan enable