MUX VLAN配置实现
1、背景
- MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
- 为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
- 在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
2、MUX VLAN划分
- 主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
- 隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
- 互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
3、MUX VLAN需求
如图所示,根据MUX VLAN特性,解决方案如下:
- 1)企业管理员可以将服务器划分到Principal VLAN。
- 2)MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。
- 3)由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
- a)企业外来访客、企业员工都能够访问企业服务器。
- b)企业员工部门内部可以通信,而企业员工部门之间不能通信。
- c)企业外来访客间不能通信、外来访客和企业员工之间不能互访。
4、MUX VLAN配置
4.1、分析
如图所示,希望实现企业外来访客、企业员工都能够访问企业服务器,而企业同部门员工可以通信,不同部门员工不能通信;企业外来访客间不能通信;企业外来访客和企业员工之间不能互访。
- 将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;
- 企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;
- 企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。
4.2、搭建实验拓扑
IP配置
PC1(1.1.1.1/24)
PC2(1.1.1.2/24)
PC3(1.1.1.3/24)
PC4(1.1.1.4/24)
PC5(1.1.1.5/24)
PC6(1.1.1.6/24)
PC7(1.1.1.7/24)
PC8(1.1.1.8/24)
Server1(1.1.1.9/24)
SWB配置
[Huawei]sysname SWB
[SWB]vlan batch 10 20 30 40
[SWB]vlan 10
[SWB-vlan10]description Financial VlAN
[SWB-vlan10]qu
[SWB]vlan 20
[SWB-vlan20]description Marketing VLAN
[SWB-vlan20]qu
[SWB]vlan 30
[SWB-vlan30]description Client VLAN
[SWB-vlan30]qu
[SWB]vlan 40
[SWB-vlan40]description Principal VLAN
[SWB-vlan40]mux-vlan
[SWB-vlan40]subordinate separate 30
[SWB-vlan40]subordinate group 10 20
[SWB-vlan40]qu
[SWB]interface GigabitEthernet 0/0/1
[SWB-GigabitEthernet0/0/1]port link-type trunk
[SWB-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SWB-GigabitEthernet0/0/1]qu
[SWB]interface GigabitEthernet 0/0/3
[SWB-GigabitEthernet0/0/3]port link-type trunk
[SWB-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20 30 40
[SWB-GigabitEthernet0/0/3]qu
[SWB]interface GigabitEthernet 0/0/2
[SWB-GigabitEthernet0/0/2]port link-type access
[SWB-GigabitEthernet0/0/2]port default vlan 40
[SWB-GigabitEthernet0/0/2]port mux-vlan enable
[SWB-GigabitEthernet0/0/2]qu
SWC配置
[Huawei]sysname SWC
[SWC]vlan batch 10 20 30 40
[SWC]vlan 10
[SWC-vlan10]description Financial VlAN
[SWC-vlan10]qu
[SWC]vlan 20
[SWC-vlan20]description Marketing VLAN
[SWC-vlan20]qu
[SWC]vlan 30
[SWC-vlan30]description Client VLAN
[SWC-vlan30]qu
[SWC]vlan 40
[SWC-vlan40]description Principal VLAN
[SWC-vlan40]mux-vlan
[SWC-vlan40]subordinate separate 30
[SWC-vlan40]subordinate group 10 20
[SWC-vlan40]qu
[SWC]interface Eth0/0/2
[SWC-Ethernet0/0/2]port link-type trunk
[SWC-Ethernet0/0/2]port trunk allow-pass vlan 10 20 30 40
[SWC-Ethernet0/0/2]qu
[SWC]interface Eth0/0/1
[SWC-Ethernet0/0/1]port link-type access
[SWC-Ethernet0/0/1]port default vlan 10
[SWC-Ethernet0/0/1]port mux-vlan enable
[SWC-Ethernet0/0/1]qu
[SWC]interface Eth0/0/3
[SWC-Ethernet0/0/3]port link-type access
[SWC-Ethernet0/0/3]port default vlan 10
[SWC-Ethernet0/0/3]port mux-vlan enable
[SWC-Ethernet0/0/3]qu
[SWC]interface Eth0/0/4
[SWC-Ethernet0/0/4]port link-type access
[SWC-Ethernet0/0/4]port default vlan 20
[SWC-Ethernet0/0/4]port mux-vlan enable
[SWC-Ethernet0/0/4]qu
[SWC]interface Eth0/0/5
[SWC-Ethernet0/0/5]port link-type access
[SWC-Ethernet0/0/5]port default vlan 20
[SWC-Ethernet0/0/5]port mux-vlan enable
[SWC-Ethernet0/0/5]qu
SWD配置
[Huawei]sysname SWD
[SWD]vlan batch 10 20 30 40
[SWD]vlan 10
[SWD-vlan10]description Financial VlAN
[SWD-vlan10]qu
[SWD]vlan 20
[SWD-vlan20]description Marketing VLAN
[SWD-vlan20]qu
[SWD]vlan 30
[SWD-vlan30]description Client VLAN
[SWD-vlan30]qu
[SWD]vlan 40
[SWD-vlan40]description Principal VLAN
[SWD-vlan40]mux-vlan
[SWD-vlan40]subordinate separate 30
[SWD-vlan40]subordinate group 10 20
[SWD-vlan40]qu
[SWD]interface Eth0/0/1
[SWD-Ethernet0/0/1]port link-type trunk
[SWD-Ethernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SWD-Ethernet0/0/1]qu
[SWD]interface Eth0/0/2
[SWD-Ethernet0/0/2]port link-type access
[SWD-Ethernet0/0/2]port default vlan 30
[SWD-Ethernet0/0/2]port mux-vlan enable
[SWD-Ethernet0/0/2]qu
[SWD]interface Eth0/0/3
[SWD-Ethernet0/0/3]port link-type access
[SWD-Ethernet0/0/3]port default vlan 30
[SWD-Ethernet0/0/3]port mux-vlan enable
[SWD-Ethernet0/0/3]qu
[SWD]interface Eth0/0/4
[SWD-Ethernet0/0/4]port link-type access
[SWD-Ethernet0/0/4]port default vlan 30
[SWD-Ethernet0/0/4]port mux-vlan enable
[SWD-Ethernet0/0/4]qu
[SWD]interface Eth0/0/5
[SWD-Ethernet0/0/5]port link-type access
[SWD-Ethernet0/0/5]port default vlan 30
[SWD-Ethernet0/0/5]port mux-vlan enable
[SWD-Ethernet0/0/5]qu
实验结果
- pc1 ping pc2
- pc1 ping pc3
- pc1 ping pc5
- pc1 ping pc7
- pc5 ping pc6
- pc5 ping pc7
- Server1 ping pc1
- Server1 ping pc3
- Server1 ping pc5
- Server1 ping pc7
