产生背景
MUX-VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
MUX-VLAN分为主VLAN和从VLAN
主VLAN(Principal VLAN):Principal port可以和MUX VLAN内的所有接口进行通信。
从VLAN(Subordinate VLAN)
-
隔离型从VLAN(Separate VLAN)
- Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
隔离型从VLAN必须绑定一个主VLAN,且一个主VLAN只能有一个隔离型从VLAN(隔离型VLAN之间是无法访问的,有隔离需求的就放在此VLAN下,所以只有一个即可)
- Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
-
互通型从VLAN(Group VLAN)
-
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个互通型从VLAN必须绑定一个主VLAN。
MUX VLAN是对于VLAN配置应用的一种扩展,基于VLAN做限制
优势
- 可以简化vlan的管理,如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
- 在同一网段下配置,节省了IP资源
应用场景
- 在企业网络中,企业希望不同部门之间不可以相互访问,相同部门之间可以相互访问,外来客户不能访问任何部门,但都可以访问共享资源,都可以通过网关访问外网。
- 在IDC托管机房,实现不同企业不能访问,相同企业可以互访,都可以通过网关访问外网。
实验
拓扑
实验要求
外来客户A、B:可以访问共享资源,不能访问公司内部部门,也不能互相访问
财务部、研发部:可以同部门相互访问,可以访问共享资源,但不能访问外来客户和其他部门
外来客户A、B和各部门可以通过网关访问外网
地址规划
地址段 | 10.1.1.x/24 |
---|---|
网关 | 10.1.1.254/24 |
Server1 | 10.1.1.7/24 |
PC1 | 10.1.1.1/24 |
… |
配置
<SW1>dis cu
#
sysname SW1
#
vlan batch 10 100 200 300
#
vlan 10
mux-vlan //将 vlan10 绑定为主vlan
subordinate separate 100 //将 vlan100 绑定为隔离型从vlan
subordinate group 200 300 //将 vlan 200 300 绑定为互通型从VLAN
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
port mux-vlan enable //在端口启用mux-vlan
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 200
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 200
port mux-vlan enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 300
port mux-vlan enable
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 300
port mux-vlan enable
#
interface GigabitEthernet0/0/7
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/8
port link-type access
port default vlan 10
port mux-vlan enable
#
return
结果
PC1不可以访问PC2,可以访问Server1
PC1可以访问网关,不可以访问其他部门
PC3可以访问PC4,可以访问共享资源和网关,不可以访问其他部门和外来企业
总结
…