写在前面:
1,MUX VLAN只是用于二层的,配置了之后是各VLAN不可以建立VLANIF接口的
2,该技术只是针对接口来做隔离
3,如果二层上面还有三层或者路由,相应的VLAN在三层上都有对应的VLANIF逻辑地址,这种隔离是完全没有效果的,只能隔离空气,会直接在三层上转发。
4,只有在一种场景下我觉的才能用的到,就是一个VLAN所有的主机都进行相互隔离时,倒用这个简单多了。
总结:我学完了,才发觉这玩意没鸟用,所以这种技术不知道发明的意义在哪里,ACL完全可以替代了,远比这个强大。我说完了,你觉得还有必要看下去的看看。
MUX VLAN技术介绍:
在企业网络中,各个部门之间网络需要相互独立,通常用VLAN技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的VLAN技术,不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
而MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
MUX VLAN 原理:
MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。
Principal port可以和MUX VLAN内的所有接口进行通信。
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。每个Group VLAN必须绑定一个Principal VLAN。
一张图梳理逻辑:
1,配置主MUX VLAN (Principal VLAN):
[Huawei-vlan100] mux-vlan
2,配置从MUX VLAN(Subordinate VLAN):
从VLAN分为隔离VLAN和互通VLAN,隔离vlan只能配置一个,互通vlan最多128个,两者不可以相互包含。
2.1。Group VLAN互通vlan:
[Huawei-vlan100] subordinate group vlan-id 10 to vlan-id 100 ## 添加10-100vlan到互通vlan
2.2,Separate VLAN隔离vlan:
[Huawei-vlan100] subordinate separate vlan-id 200 ## 添加vlan200到隔离vlan
3,在对应接口下启用MUX VLAN:
[Huawei-GigabitEthernet0/0/1] port mux-vlan enable
使能接口的MUX VLAN功能,协商类型negotiation-auto和negotiation-desirable接口不支持配置port mux-vlan enable。
配置举例:
如下图所示:
Server能与所有主机二层互通
部门A、部门B、访客区相互间二层不互通
部门A与部门B内部二层互通
访客区内部二层不互通
配置命令:
SW1下:
[SW1] vlan batch 10 20 30 100 #创建所有VLAN [SW1] vlan 100 [SW1-vlan100] mux-vlan #指定VLAN100为主VLAN [SW1-vlan100] subordinate group 10 20 #指定VLAN10, 20为互通型从VLAN [SW1-vlan100] subordinate separate 30 #指定VLAN30为隔离型从VLAN [SW1] interface GigabitEthernet0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] port mux-vlan enable vlan 10 #接口加入相关VLAN,并且激活MUX VLAN功能 #其他接口与GE0/0/1配置类似,此处省略
标签: #MUX VLAN 隔离
评论列表