MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN,如表所示。
MUX VLAN划分表
MUX VLAN VLAN类型 所属接口 通信权限
Principal VLAN(主VLAN) - Principal port Principal port可以和MUX VLAN内的所有接口进行通信。
Subordinate VLAN(从VLAN) Separate VLAN(隔离型从VLAN) Separate port Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
每个Separate VLAN必须绑定一个Principal VLAN。
Group VLAN(互通型从VLAN) Group port Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个Group VLAN必须绑定一个Principal VLAN。
通信原理
如图1所示,根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
图1 MUX VLAN应用场景图(接入层)
对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如图2所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。
图2 MUX VLAN应用组网(汇聚层)
配置MUX VLAN示例(接入层设备)
组网需求
在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
如图3所示,为了解决上述问题,可在连接终端的交换机上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。
图3 配置MUX-VLAN组网图
配置思路
采用如下思路配置MUX VLAN功能:
1. 配置主VLAN的MUX VLAN功能。
2. 配置Group VLAN功能。
3. 配置Separate VLAN功能。
4. 配置接口加入VLAN并使能MUX VLAN功能。
操作步骤
1. 配置MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3 4
# 配置MUX VLAN中的Group VLAN和Separate VLAN。
[Switch] vlan 2
[Switch-vlan2] mux-vlan
[Switch-vlan2] subordinate group 3
[Switch-vlan2] subordinate separate 4
[Switch-vlan2] quit
# 配置接口加入VLAN并使能MUX VLAN功能。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port mux-vlan enable vlan 2
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 3
[Switch-GigabitEthernet0/0/2] port mux-vlan enable vlan 3
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3
[Switch-GigabitEthernet0/0/3] port mux-vlan enable vlan 3
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] port link-type access
[Switch-GigabitEthernet0/0/4] port default vlan 4
[Switch-GigabitEthernet0/0/4] port mux-vlan enable vlan 4
[Switch-GigabitEthernet0/0/4] quit
[Switch] interface gigabitethernet 0/0/5
[Switch-GigabitEthernet0/0/5] port link-type access
[Switch-GigabitEthernet0/0/5] port default vlan 4
[Switch-GigabitEthernet0/0/5] port mux-vlan enable vlan 4
[Switch-GigabitEthernet0/0/5] quit
2. 检查配置结果
Server和HostB、HostC、HostD、HostE在同一网段。
Server和HostB、HostC、HostD、HostE二层流量互通。
HostB和HostC二层流量互通。
HostD和HostE二层流量不通。
HostB、HostC和HostD、HostE二层流
配置MUX VLAN示例(汇聚层设备)
组网需求
在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
如图4所示,Switch1位于网络的汇聚层,作为下挂终端设备的网关设备。Switch2、Switch3、Switch4、Switch5和Switch6为接入层设备。此时可在Switch1上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。
图4 配置MUX-VLAN组网图
配置思路
采用如下思路配置MUX-VLAN功能:
1. 配置主VLAN的MUX-VLAN功能,并配置VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。
2. 配置Group-VLAN功能。
3. 配置Separate-VLAN功能。
4. 配置接口加入VLAN并使能MUX-VLAN功能。
5. 配置接入层设备接口加入相应VLAN。
操作步骤
1. 配置MUX VLAN
# 在Switch1上创建VLAN2、VLAN3和VLAN4,并配置VLAN2的VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。
<HUAWEI> system-view
[HUAWEI] sysname Switch1
[Switch1] vlan batch 2 3 4
[Switch1] interface vlanif 2
[Switch1-Vlanif2] ip address 192.168.100.100 24
[Switch1-Vlanif2] quit
# 在Switch1上配置MUX VLAN中的Group VLAN和Separate VLAN。
[Switch1] vlan 2
[Switch1-vlan2] mux-vlan
[Switch1-vlan2] subordinate group 3
[Switch1-vlan2] subordinate separate 4
[Switch1-vlan2] quit
# 在Switch1上配置接口加入VLAN并使能MUX VLAN功能。
[Switch1] interface gigabitethernet 0/0/2
[Switch1-GigabitEthernet0/0/2] port link-type trunk
[Switch1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet0/0/2] port mux-vlan enable vlan 2
[Switch1-GigabitEthernet0/0/2] quit
[Switch1] interface gigabitethernet 0/0/3
[Switch1-GigabitEthernet0/0/3] port link-type trunk
[Switch1-GigabitEthernet0/0/3] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet0/0/3] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet0/0/3] quit
[Switch1] interface gigabitethernet 0/0/4
[Switch1-GigabitEthernet0/0/4] port link-type trunk
[Switch1-GigabitEthernet0/0/4] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet0/0/4] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet0/0/4] quit
[Switch1] interface gigabitethernet 0/0/5
[Switch1-GigabitEthernet0/0/5] port link-type trunk
[Switch1-GigabitEthernet0/0/5] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet0/0/5] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet0/0/5] quit
[Switch1] interface gigabitethernet 0/0/6
[Switch1-GigabitEthernet0/0/6] port link-type trunk
[Switch1-GigabitEthernet0/0/6] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet0/0/6] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet0/0/6] quit
2. 配置接入层交换机的接口加入相应VLAN,略。
3. 检查配置结果
Server和HostB、HostC、HostD、HostE二层流量互通。
HostB和HostC二层流量互通。
HostD和HostE二层流量不通。
HostB、HostC和HostD、HostE二层流量不通。