7.1 MUX VLAN简介
产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN,如表7-1所示。
表7-1 MUX VLAN划分表
MUX VLAN |
VLAN类型 |
所属接口 |
通信权限 |
|---|---|---|---|
Principal VLAN(主VLAN) |
- |
Principal port |
Principal port可以和MUX VLAN内的所有接口进行通信。 |
Subordinate VLAN(从VLAN) |
Separate VLAN(隔离型从VLAN) |
Separate port |
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个Principal VLAN。 |
Group VLAN(互通型从VLAN) |
Group port |
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个Principal VLAN。 |
通信原理
如图7-1所示,根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
图7-1 MUX VLAN应用场景图(接入层)
对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如图7-2所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。
图7-2 MUX VLAN应用组网(汇聚层)
7.2 配置注意事项
介绍MUX VLAN的配置注意事项。
涉及网元
无需其他网元配合。
License支持
MUX VLAN特性是交换机的基本特性,无需获得License许可即可应用此功能。
版本支持
表7-2 产品形态和最低软件版本支持情况
| 产品 | 最低支持版本 |
|---|---|
| S9300系列交换机 | V100R002 |
| S9300E系列交换机 | V200R002 |
特性依赖和限制
MUX VLAN的规格如表7-3所示。
表7-3 MUX VLAN的规格
项目 规格 整机支持的Principal VLAN个数
128个
每Principal VLAN支持的Separate VLAN个数
1个
每Principal VLAN支持的Group VLAN个数
128个
说明:
每Principal VLAN支持的Separate VLAN和Group VLAN总计128个,也就是说如果Principal VLAN已经配置了1个Separate VLAN,则Group VLAN最多只能配置127个。
如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
如果指定VLAN已经用于Group VLAN或Separate VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
不能在同一接口上配置MUX VLAN和端口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。
可以为Principal VLAN(主VLAN)创建VLANIF接口,不能为Subordinate Group VLAN(互通型从VLAN)和Separate VLAN(隔离型从VLAN)创建VLANIF接口。若某个mux-vlan组的主VLAN创建了对应的VLANIF接口,则在S9300&S9300E设备S系列中的SA单板上的接口下不能通过命令port mux-vlan enable vlan vlan-id使能该mux-vlan组中的任何VLAN(包含主VLAN和从VLAN)。
接口使能MUX VLAN功能后,再通过命令port trunk pvid vlan配置接口的PVID时,建议不要配置为同一MUX VLAN组内的其他主VLAN或从VLAN。譬如:一个MUX VLAN组的主VLAN是10,互通型从VLAN是11,隔离型从VLAN是12。接口通过命令port mux vlan enable 10使能MUX VLAN功能后,建议不要再通过命令port trunk pvid vlan配置接口的PVID为VLAN 11或VLAN 12。
7.3 缺省配置
介绍MUX VLAN参数的缺省配置。
表7-4 MUX VLAN参数的缺省值
参数 |
缺省值 |
|---|---|
接口的MUX VLAN功能 |
未使能 |
7.4 配置MUX VLAN
MUX VLAN可实现VLAN间通信,也可实现VLAN内的用户相互隔离。
7.4.1 配置MUX VLAN中的Principal VLAN
背景信息
加入Principal VLAN(主VLAN)中的接口,可以与MUX VLAN内的所有接口进行通信。
操作步骤
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,创建VLAN并进入VLAN视图。如果VLAN已经创建,则直接进入VLAN视图。
VLAN ID的取值范围是1~4094。如果需要批量创建VLAN,可以先使用命令vlan batch { vlan-id1 [ to vlan-id2 ] } &<1-10>批量创建,再使用命令vlan vlan-id进入相应的VLAN视图。
说明:
如果设备上创建了多个VLAN,为了便于管理,建议为VLAN创建名称,可通过如下操作实现:
在VLAN视图下执行命令name vlan-name,创建VLAN名称。VLAN名称配置成功后,用户可在系统视图下执行命令vlan vlan-name vlan-name直接进入对应的VLAN视图。
执行命令mux-vlan,配置该VLAN为MUX VLAN,即Principal VLAN。
如果指定VLAN ID已经用于Principal VLAN,那么该VLAN不能用于VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。
7.4.2 配置Subordinate VLAN中的Group VLAN
背景信息
与Group port关联的VLAN称为Group VLAN(互通型从VLAN)。Group VLAN可实现同一组VLAN内的接口相互通信。
操作步骤
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,进入已经成功创建的Principal VLAN视图。
执行命令subordinate group { vlan-id1 [ to vlan-id2 ] } &<1-10>,配置Subordinate VLAN中的Group VLAN。
一个Principal VLAN下最多配置128个Group VLAN。
如果该VLAN ID已经用于Group VLAN,那么该VLAN不能再用于VLANIF接口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。
7.4.3 配置Subordinate VLAN中的Separate VLAN
背景信息
与Separate port关联的VLAN称为Separate VLAN(隔离型从VLAN)。Separate VLAN可隔离接口间的流量,从而阻断接口间相互通信。
操作步骤
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,进入已经成功创建的Principal VLAN视图。
执行命令subordinate separate vlan-id,配置Subordinate VLAN中的Separate VLAN。
一个Principal VLAN下只能配置一个Separate VLAN。
同一MUX VLAN中Group VLAN和Separate VLAN的VLAN ID不能相同。
如果该VLAN ID已经用于Separate VLAN,那么该VLAN不能再用于VLANIF接口、Super-VLAN、Sub-VLAN、VLAN Mapping、VLAN Stacking的配置。
7.4.4 使能接口MUX VLAN功能
背景信息
只有使能接口MUX VLAN功能后,才能实现Principal VLAN与Subordinate VLAN之间通信、Group VLAN内的接口可以相互通信及Separate VLAN接口间不能相互通信的目的。
前置任务
在使能接口MUX VLAN功能之前,需要完成以下任务:
已配置接口以Access、Hybrid或Trunk类型加入MUX VLAN。
接口可允许多个普通VLAN通过,但仅支持加入一个MUX VLAN。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
执行命令port mux-vlan enable vlan vlan-id,使能接口的MUX VLAN功能。
接口使能MUX VLAN功能后,该接口不可以再用于VLAN Mapping、VLAN Stacking配置。
可以为Principal VLAN(主VLAN)创建VLANIF接口,不能为Subordinate Group VLAN(互通型从VLAN)和Separate VLAN(隔离型从VLAN)创建VLANIF接口。若某个mux-vlan组的主VLAN创建了对应的VLANIF接口,则在S系列中的SA单板上的接口下不能通过命令port mux-vlan enable vlan vlan-id使能该mux-vlan组中的任何VLAN(包含主VLAN和从VLAN)。
说明:
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
不能在同一接口上配置MUX VLAN和接口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
7.4.5 检查配置结果
操作步骤
执行命令display mux-vlan,查看所有MUX VLAN的相关信息。
7.5 配置举例
介绍MUX VLAN的配置实例。配置实例中包括组网需求、配置思路、操作步骤等。
7.5.1 配置MUX VLAN示例(接入层设备)
组网需求
在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
如图7-3所示,为了解决上述问题,可在连接终端的交换机上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。
图7-3 配置MUX VLAN组网图
配置思路
采用如下思路配置MUX VLAN功能:
配置主VLAN的MUX VLAN功能。
配置Group VLAN功能。
配置Separate VLAN功能。
配置接口加入VLAN并使能MUX VLAN功能。
操作步骤
配置MUX VLAN
# 创建VLAN2、VLAN3和VLAN4。
system-view[Quidway] sysname Switch[Switch] vlan batch 2 3 4 # 配置MUX VLAN中的Group VLAN和Separate VLAN。
[Switch] vlan 2[Switch-vlan2] mux-vlan[Switch-vlan2] subordinate group 3[Switch-vlan2] subordinate separate 4[Switch-vlan2] quit
# 配置接口加入VLAN并使能MUX VLAN功能。
[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] port default vlan 2[Switch-GigabitEthernet1/0/1] port mux-vlan enable vlan 2[Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type access[Switch-GigabitEthernet1/0/2] port default vlan 3[Switch-GigabitEthernet1/0/2] port mux-vlan enable vlan 3[Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 1/0/3[Switch-GigabitEthernet1/0/3] port link-type access[Switch-GigabitEthernet1/0/3] port default vlan 3[Switch-GigabitEthernet1/0/3] port mux-vlan enable vlan 3[Switch-GigabitEthernet1/0/3] quit[Switch] interface gigabitethernet 1/0/4[Switch-GigabitEthernet1/0/4] port link-type access[Switch-GigabitEthernet1/0/4] port default vlan 4[Switch-GigabitEthernet1/0/4] port mux-vlan enable vlan 4[Switch-GigabitEthernet1/0/4] quit[Switch] interface gigabitethernet 1/0/5[Switch-GigabitEthernet1/0/5] port link-type access[Switch-GigabitEthernet1/0/5] port default vlan 4[Switch-GigabitEthernet1/0/5] port mux-vlan enable vlan 4[Switch-GigabitEthernet1/0/5] quit
检查配置结果
Server和HostB、HostC、HostD、HostE在同一网段。
Server和HostB、HostC、HostD、HostE二层流量互通。
HostB和HostC二层流量互通。
HostD和HostE二层流量不通。
HostB、HostC和HostD、HostE二层流量不通。
配置文件
Switch的配置文件
# sysname Switch# vlan batch 2 to 4 # vlan 2 mux-vlan subordinate separate 4 subordinate group 3 # interface GigabitEthernet1/0/1 port link-type access port default vlan 2 port mux-vlan enable vlan 2# interface GigabitEthernet1/0/2 port link-type access port default vlan 3 port mux-vlan enable vlan 3# interface GigabitEthernet1/0/3 port link-type access port default vlan 3 port mux-vlan enable vlan 3# interface GigabitEthernet1/0/4 port link-type access port default vlan 4 port mux-vlan enable vlan 4# interface GigabitEthernet1/0/5 port link-type access port default vlan 4 port mux-vlan enable vlan 4# return
7.5.2 配置MUX VLAN示例(汇聚层设备)
组网需求
在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。
如图7-4所示,Switch1位于网络的汇聚层,作为下挂终端设备的网关设备。Switch2、Switch3、Switch4、Switch5和Switch6为接入层设备。此时可在Switch1上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。
图7-4 配置MUX-VLAN组网图
配置思路
采用如下思路配置MUX-VLAN功能:
配置主VLAN的MUX-VLAN功能,并配置VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。
配置Group-VLAN功能。
配置Separate-VLAN功能。
配置接口加入VLAN并使能MUX-VLAN功能。
配置接入层设备接口加入相应VLAN。
操作步骤
配置MUX VLAN
# 在Switch1上创建VLAN2、VLAN3和VLAN4,并配置VLAN2的VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。
system-view[Quidway] sysname Switch1[Switch1] vlan batch 2 3 4[Switch1] interface vlanif 2[Switch1-Vlanif2] ip address 192.168.100.100 24[Switch1-Vlanif2] quit # 在Switch1上配置MUX VLAN中的Group VLAN和Separate VLAN。
[Switch1] vlan 2[Switch1-vlan2] mux-vlan[Switch1-vlan2] subordinate group 3[Switch1-vlan2] subordinate separate 4[Switch1-vlan2] quit
# 在Switch1上配置接口加入VLAN并使能MUX VLAN功能。
[Switch1] interface gigabitethernet 1/0/2[Switch1-GigabitEthernet1/0/2] port link-type trunk[Switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2[Switch1-GigabitEthernet1/0/2] port mux-vlan enable vlan 2[Switch1-GigabitEthernet1/0/2] quit[Switch1] interface gigabitethernet 1/0/3[Switch1-GigabitEthernet1/0/3] port link-type trunk[Switch1-GigabitEthernet1/0/3] port trunk allow-pass vlan 3[Switch1-GigabitEthernet1/0/3] port mux-vlan enable vlan 3[Switch1-GigabitEthernet1/0/3] quit[Switch1] interface gigabitethernet 1/0/4[Switch1-GigabitEthernet1/0/4] port link-type trunk[Switch1-GigabitEthernet1/0/4] port trunk allow-pass vlan 3[Switch1-GigabitEthernet1/0/4] port mux-vlan enable vlan 3[Switch1-GigabitEthernet1/0/4] quit[Switch1] interface gigabitethernet 1/0/5[Switch1-GigabitEthernet1/0/5] port link-type trunk[Switch1-GigabitEthernet1/0/5] port trunk allow-pass vlan 4[Switch1-GigabitEthernet1/0/5] port mux-vlan enable vlan 4[Switch1-GigabitEthernet1/0/5] quit[Switch1] interface gigabitethernet 1/0/6[Switch1-GigabitEthernet1/0/6] port link-type trunk[Switch1-GigabitEthernet1/0/6] port trunk allow-pass vlan 4[Switch1-GigabitEthernet1/0/6] port mux-vlan enable vlan 4[Switch1-GigabitEthernet1/0/6] quit
配置接入层交换机的接口加入相应VLAN,略。
检查配置结果
Server和HostB、HostC、HostD、HostE二层流量互通。
HostB和HostC二层流量互通。
HostD和HostE二层流量不通。
HostB、HostC和HostD、HostE二层流量不通。
配置文件
Switch1的配置文件
# sysname Switch1 # vlan batch 2 to 4 # vlan 2 mux-vlan subordinate separate 4 subordinate group 3 # interface Vlanif2 ip address 192.168.100.100 255.255.255.0 # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 2 port mux-vlan enable vlan 2# interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 3 port mux-vlan enable vlan 3# interface GigabitEthernet1/0/4 port link-type trunk port trunk allow-pass vlan 3 port mux-vlan enable vlan 3# interface GigabitEthernet1/0/5 port link-type trunk port trunk allow-pass vlan 4 port mux-vlan enable vlan 4# interface GigabitEthernet1/0/6 port link-type trunk port trunk allow-pass vlan 4 port mux-vlan enable vlan 4# return