MUX VLAN(Multiplex VLAN)是一种高级的VLAN技术,它通过在交换机上实现二层流量隔离和灵活的网络资源控制,提供了一种更为细致的网络管理方式。
一、基本概念
MUX VLAN分为主VLAN(Principal VLAN)和多个子VLAN(Subordinate VLAN)。
主VLAN是MUX VLAN配置中的核心VLAN,它可以与所有子VLAN进行通信。子VLAN又分为互通型从VLAN(Group VLAN)和隔离型从VLAN(Separate VLAN)。
二、工作原理
MUX VLAN的工作原理主要基于其独特的二层流量隔离机制。根据MUX-VLAN的特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
具体来说:
主VLAN中的接口可以与MUX VLAN内的所有接口进行通信。
同一互通型从VLAN中的接口之间可以互相通信,也可以和主VLAN中的接口进行通信,但不能和其他互通型从VLAN中的接口或隔离型从VLAN中的接口通信。
隔离型从VLAN中的接口只能和主VLAN中的接口进行通信。
三、应用场景
MUX VLAN在企业网络中的应用是其最主要的使用场景之一。在企业环境中,不同部门之间可能需要相互隔离以保护敏感信息,同时又需要能够访问共享资源,如文件服务器、打印机等。通过配置MUX VLAN,企业可以将财务部门、人力资源部门和市场部门等相互隔离,确保各部门的网络流量不会相互干扰,保护了数据的安全性。同时,各部门都可以访问连接到主VLAN的共享资源,这有助于提高工作效率。
此外,MUX VLAN还适用于宾馆酒店、小区宽带接入等场景。在这些场景中,一个宾馆或者一个小区同用一个VLAN,但每个房间或每户人家又彼此隔离。
四、实验
实验步骤
1、创建若干个VLAN
2、选择一个VLAN为主VLAN
3、选择一个VLAN为隔离VLAN(隔离VLAN内部不能通信,只能与主VLAN通信)(只存在一个)
4、选择若干个VLAN为互通性/小组VLAN(互通性/小组VLAN内部可以通信,不能访问其他互通性/小组VLAN)
SW设备都需要配置
--MUX-VLAN:40,组vlan:10 20,隔离vlan:30
`
vlan batch 10 20 30 40
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20`
SW和PC/服务器相连的链路需要开启mux-vlan功能,并划分对应vlan,SW之间需要放行所有vlan
`
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable`
SWB设备配置:连接服务器/公网,使用vlan40,下面设置的组vlan10 20,隔离vlan30,都可以访问40
`
vlan batch 10 20 30 40
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 40
port mux-vlan enable
`
结果验证:
PC1访问PC2可以通信(互通性/小组VLAN内部可以通信)
PC1访问PC3无法通信(不能访问其他互通性/小组VLAN)
PC1访问隔离VLAN(PC5)无法通信
PC1访问服务器可以通信
PC1访问外网可以通信(使用loopback0:1.1.1.1/32模拟公网)
PC5(隔离vlan)可以访问服务器和公网
