由于这是实验内容,过多的概念性知识就不讲解,详情看此链接,讲的比我清除,还有相对应的配置
华为AR系列路由交换技术文档
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
| MUX VLAN | VLAN类型 | 所属接口 | 通信权限 |
|---|---|---|---|
| 主VLAN(Principal VLAN) | - | Principal port | Principal port可以和MUX VLAN内的所有接口进行通信。 |
| 从VLAN(Subordinate VLAN) | 隔离型从VLAN(Separate VLAN) | Separate port | Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。 每个隔离型从VLAN必须绑定一个主VLAN。 |
| 互通型从VLAN(Group VLAN) | Group port | Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个互通型从VLAN必须绑定一个主VLAN。 | |
| 根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。 |
特性依赖和限制
在路由器上部署MUX VLAN特性时,需要注意:
只有AR2204XE、AR2204XE-DC、AR2220、AR2220L、AR2220E、AR2240、AR2240C、AR3260和AR3670支持MUX VLAN。
只有8FE1GE、24ES2GP和24GE单板支持MUX VLAN。
- 如果指定VLAN已经用于主VLAN或从VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
- 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
- 不能在同一接口上配置MUX VLAN和接口安全功能。
- 不能在同一接口上配置MUX VLAN和MAC认证功能。
- 不能在同一接口上配置MUX VLAN和802.1x认证功能。
- 当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
- 接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。
拓扑图
![[Pasted image 20241124171838.png]]
实验要求
三个部门,要求公司内部、访客区都能访问公共服务器,公司内部部门PC能够互访,访客区的PC不能互访。
解决思路
使用MUX-VLAN,配置公共服务器VLAN100作为主(Principal)VLAN,公司内部为互通性(Group)VLAN,访客区为隔离性(Separate)vlan
实验步骤
- 配置VLAN,并配置MUX vlan
#
vlan 100
mux-vlan //配置VLAN100为主
subordinate separate 20 //配置VLAN20为隔离
subordinate group 10 //配置VLAN10为互通
#
- 配置接口的链路类型
简单写法
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p l a
[SW1-GigabitEthernet0/0/1]p d v 10
[SW1-GigabitEthernet0/0/1]p m en
[SW1-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable //接口使能MUX-VLAN功能
#
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 100
port mux-vlan enable
#
- 查看配置结果
dis vlan
![![[Pasted image 20241124183723.png]]](https://i-blog.csdnimg.cn/direct/16a9c5847f9a471c8c224437988f85cd.png)
- 测试PC1访问PC2、PC3、PC5
访问PC1
![![[Pasted image 20241124184044.png]]](https://i-blog.csdnimg.cn/direct/22e9bcfa6bfd45e3af0fafb36e584769.png)
访问PC3
![![[Pasted image 20241124184237.png]]](https://i-blog.csdnimg.cn/direct/acde3c15eeb14b4da8aca1d723a8b0a0.png)
访问PC5
![![[Pasted image 20241124184157.png]]](https://i-blog.csdnimg.cn/direct/de1d7e90b5404581b15347f843468a43.png)
可以看出VLAN10为互通型,与VLAN20不能互通,VLAN10可以访问VLAN100
- 使用PC3访问PC4
![![[Pasted image 20241124184353.png]]](https://i-blog.csdnimg.cn/direct/fe7559a013414603a3d6424dc012af70.png)
标签:vlan,配置,VLAN,MUX,接口,port From: https://blog.csdn.net/m0_57076217/article/details/144029784PC3和PC4属于同一VLAN,但是配置了VLAN20为隔离型VLAN,所以不能互通