7.1   MUX VLAN简介

产生背景

MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。

例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。

为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。

通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。

基本概念

MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN,如表7-1所示。

表7-1  MUX VLAN划分表

MUX VLAN

VLAN类型

所属接口

通信权限

Principal VLAN(主VLAN)

-

Principal port

Principal port可以和MUX VLAN内的所有接口进行通信。

Subordinate VLAN(从VLAN)

Separate VLAN(隔离型从VLAN)

Separate port

Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。

每个Separate VLAN必须绑定一个Principal VLAN。

Group VLAN(互通型从VLAN)

Group port

Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。

每个Group VLAN必须绑定一个Principal VLAN。

通信原理

如图7-1所示,根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

图7-1  MUX VLAN应用场景图(接入层)

对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如图7-2所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。

图7-2  MUX VLAN应用组网(汇聚层)

7.2   配置注意事项

介绍MUX VLAN的配置注意事项。

涉及网元

无需其他网元配合。

License支持

MUX VLAN特性是交换机的基本特性,无需获得License许可即可应用此功能。

版本支持

表7-2  产品形态和最低软件版本支持情况

产品 最低支持版本
S9300系列交换机 V100R002
S9300E系列交换机 V200R002

特性依赖和限制

  • MUX VLAN的规格如表7-3所示。

    表7-3  MUX VLAN的规格

    项目 规格

    整机支持的Principal VLAN个数

    128个

    每Principal VLAN支持的Separate VLAN个数

    1个

    每Principal VLAN支持的Group VLAN个数

    128个

    说明:

    每Principal VLAN支持的Separate VLAN和Group VLAN总计128个,也就是说如果Principal VLAN已经配置了1个Separate VLAN,则Group VLAN最多只能配置127个。

  • 如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

  • 如果指定VLAN已经用于Group VLAN或Separate VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

  • 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。

  • 不能在同一接口上配置MUX VLAN和端口安全功能。

  • 不能在同一接口上配置MUX VLAN和MAC认证功能。

  • 不能在同一接口上配置MUX VLAN和802.1x认证功能。

  • 当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。

  • 接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。

  • 可以为Principal VLAN(主VLAN)创建VLANIF接口,不能为Subordinate Group VLAN(互通型从VLAN)和Separate VLAN(隔离型从VLAN)创建VLANIF接口。若某个mux-vlan组的主VLAN创建了对应的VLANIF接口,则在S9300&S9300E设备S系列中的SA单板上的接口下不能通过命令port mux-vlan enable vlan vlan-id使能该mux-vlan组中的任何VLAN(包含主VLAN和从VLAN)。

  • 接口使能MUX VLAN功能后,再通过命令port trunk pvid vlan配置接口的PVID时,建议不要配置为同一MUX VLAN组内的其他主VLAN或从VLAN。譬如:一个MUX VLAN组的主VLAN是10,互通型从VLAN是11,隔离型从VLAN是12。接口通过命令port mux vlan enable 10使能MUX VLAN功能后,建议不要再通过命令port trunk pvid vlan配置接口的PVID为VLAN 11或VLAN 12。

7.3   缺省配置

介绍MUX VLAN参数的缺省配置。

表7-4  MUX VLAN参数的缺省值

参数

缺省值

接口的MUX VLAN功能

未使能

7.4   配置MUX VLAN

MUX VLAN可实现VLAN间通信,也可实现VLAN内的用户相互隔离。

7.4.1   配置MUX VLAN中的Principal VLAN

背景信息

加入Principal VLAN(主VLAN)中的接口,可以与MUX VLAN内的所有接口进行通信。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令vlan vlan-id,创建VLAN并进入VLAN视图。如果VLAN已经创建,则直接进入VLAN视图。

    VLAN ID的取值范围是1~4094。如果需要批量创建VLAN,可以先使用命令vlan batch { vlan-id1 [ to vlan-id2 ] } &<1-10>批量创建,再使用命令vlan vlan-id进入相应的VLAN视图。

    说明:

    如果设备上创建了多个VLAN,为了便于管理,建议为VLAN创建名称,可通过如下操作实现:

    在VLAN视图下执行命令name vlan-name,创建VLAN名称。VLAN名称配置成功后,用户可在系统视图下执行命令vlan vlan-name vlan-name直接进入对应的VLAN视图。

  3. 执行命令mux-vlan,配置该VLAN为MUX VLAN,即Principal VLAN。

    如果指定VLAN ID已经用于Principal VLAN,那么该VLAN不能用于VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。

7.4.2   配置Subordinate VLAN中的Group VLAN

背景信息

与Group port关联的VLAN称为Group VLAN(互通型从VLAN)。Group VLAN可实现同一组VLAN内的接口相互通信。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令vlan vlan-id,进入已经成功创建的Principal VLAN视图。

  3. 执行命令subordinate group { vlan-id1 [ to vlan-id2 ] } &<1-10>,配置Subordinate VLAN中的Group VLAN。

    一个Principal VLAN下最多配置128个Group VLAN。

    如果该VLAN ID已经用于Group VLAN,那么该VLAN不能再用于VLANIF接口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置。

7.4.3   配置Subordinate VLAN中的Separate VLAN

背景信息

与Separate port关联的VLAN称为Separate VLAN(隔离型从VLAN)。Separate VLAN可隔离接口间的流量,从而阻断接口间相互通信。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令vlan vlan-id,进入已经成功创建的Principal VLAN视图。

  3. 执行命令subordinate separate vlan-id,配置Subordinate VLAN中的Separate VLAN。

    一个Principal VLAN下只能配置一个Separate VLAN。

    同一MUX VLAN中Group VLAN和Separate VLAN的VLAN ID不能相同。

    如果该VLAN ID已经用于Separate VLAN,那么该VLAN不能再用于VLANIF接口、Super-VLAN、Sub-VLAN、VLAN Mapping、VLAN Stacking的配置。

7.4.4   使能接口MUX VLAN功能

背景信息

只有使能接口MUX VLAN功能后,才能实现Principal VLAN与Subordinate VLAN之间通信、Group VLAN内的接口可以相互通信及Separate VLAN接口间不能相互通信的目的。

前置任务

在使能接口MUX VLAN功能之前,需要完成以下任务:

  • 已配置接口以Access、Hybrid或Trunk类型加入MUX VLAN。

  • 接口可允许多个普通VLAN通过,但仅支持加入一个MUX VLAN。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令interface interface-type interface-number,进入接口视图。

  3. 执行命令port mux-vlan enable  vlan vlan-id,使能接口的MUX VLAN功能。

    接口使能MUX VLAN功能后,该接口不可以再用于VLAN Mapping、VLAN Stacking配置。

    可以为Principal VLAN(主VLAN)创建VLANIF接口,不能为Subordinate Group VLAN(互通型从VLAN)和Separate VLAN(隔离型从VLAN)创建VLANIF接口。若某个mux-vlan组的主VLAN创建了对应的VLANIF接口,则在S系列中的SA单板上的接口下不能通过命令port mux-vlan enable vlan vlan-id使能该mux-vlan组中的任何VLAN(包含主VLAN和从VLAN)。

    说明:

  • 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。

  • 不能在同一接口上配置MUX VLAN和接口安全功能。

  • 不能在同一接口上配置MUX VLAN和MAC认证功能。

  • 不能在同一接口上配置MUX VLAN和802.1x认证功能。

  • 当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。

7.4.5   检查配置结果

操作步骤

  • 执行命令display mux-vlan,查看所有MUX VLAN的相关信息。

7.5   配置举例

介绍MUX VLAN的配置实例。配置实例中包括组网需求、配置思路、操作步骤等。

7.5.1   配置MUX VLAN示例(接入层设备)

组网需求

在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。

如图7-3所示,为了解决上述问题,可在连接终端的交换机上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。

图7-3  配置MUX VLAN组网图

配置思路

采用如下思路配置MUX VLAN功能:

  1. 配置主VLAN的MUX VLAN功能。

  2. 配置Group VLAN功能。

  3. 配置Separate VLAN功能。

  4. 配置接口加入VLAN并使能MUX VLAN功能。

操作步骤

  1. 配置MUX VLAN

    # 创建VLAN2、VLAN3和VLAN4。

     system-view[Quidway] sysname Switch[Switch] vlan batch 2 3 4

    # 配置MUX VLAN中的Group VLAN和Separate VLAN。

    [Switch] vlan 2[Switch-vlan2] mux-vlan[Switch-vlan2] subordinate group 3[Switch-vlan2] subordinate separate 4[Switch-vlan2] quit

    # 配置接口加入VLAN并使能MUX VLAN功能。

    [Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] port default vlan 2[Switch-GigabitEthernet1/0/1] port mux-vlan enable vlan 2[Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type access[Switch-GigabitEthernet1/0/2] port default vlan 3[Switch-GigabitEthernet1/0/2] port mux-vlan enable vlan 3[Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 1/0/3[Switch-GigabitEthernet1/0/3] port link-type access[Switch-GigabitEthernet1/0/3] port default vlan 3[Switch-GigabitEthernet1/0/3] port mux-vlan enable vlan 3[Switch-GigabitEthernet1/0/3] quit[Switch] interface gigabitethernet 1/0/4[Switch-GigabitEthernet1/0/4] port link-type access[Switch-GigabitEthernet1/0/4] port default vlan 4[Switch-GigabitEthernet1/0/4] port mux-vlan enable vlan 4[Switch-GigabitEthernet1/0/4] quit[Switch] interface gigabitethernet 1/0/5[Switch-GigabitEthernet1/0/5] port link-type access[Switch-GigabitEthernet1/0/5] port default vlan 4[Switch-GigabitEthernet1/0/5] port mux-vlan enable vlan 4[Switch-GigabitEthernet1/0/5] quit

  2. 检查配置结果

    Server和HostB、HostC、HostD、HostE在同一网段。

    Server和HostB、HostC、HostD、HostE二层流量互通。

    HostB和HostC二层流量互通。

    HostD和HostE二层流量不通。

    HostB、HostC和HostD、HostE二层流量不通。

配置文件

Switch的配置文件

#
sysname Switch#
vlan batch 2 to 4
#
vlan 2
 mux-vlan
 subordinate separate 4 
 subordinate group 3
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 2 
 port mux-vlan enable vlan 2#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 3
 port mux-vlan enable vlan 3#
interface GigabitEthernet1/0/3
 port link-type access
 port default vlan 3
 port mux-vlan enable vlan 3#
interface GigabitEthernet1/0/4
 port link-type access
 port default vlan 4
 port mux-vlan enable vlan 4#
interface GigabitEthernet1/0/5
 port link-type access
 port default vlan 4
 port mux-vlan enable vlan 4#
return

7.5.2   配置MUX VLAN示例(汇聚层设备)

组网需求

在企业网络中,企业所有员工都可以访问企业的服务器。但对于企业来说,希望企业内部部分员工之间可以互相交流,而部分员工之间是隔离的,不能够互相访问。

如图7-4所示,Switch1位于网络的汇聚层,作为下挂终端设备的网关设备。Switch2、Switch3、Switch4、Switch5和Switch6为接入层设备。此时可在Switch1上部署MUX VLAN特性。MUX VLAN不但能够实现企业需求,同时也解决了VLAN ID紧缺问题,也便于网络管理者维护。

图7-4  配置MUX-VLAN组网图

配置思路

采用如下思路配置MUX-VLAN功能:

  1. 配置主VLAN的MUX-VLAN功能,并配置VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。

  2. 配置Group-VLAN功能。

  3. 配置Separate-VLAN功能。

  4. 配置接口加入VLAN并使能MUX-VLAN功能。

  5. 配置接入层设备接口加入相应VLAN。

操作步骤

  1. 配置MUX VLAN

    # 在Switch1上创建VLAN2、VLAN3和VLAN4,并配置VLAN2的VLANIF接口,其IP地址可以作为下挂Host及Server的网关IP。

     system-view[Quidway] sysname Switch1[Switch1] vlan batch 2 3 4[Switch1] interface vlanif 2[Switch1-Vlanif2] ip address 192.168.100.100 24[Switch1-Vlanif2] quit

    # 在Switch1上配置MUX VLAN中的Group VLAN和Separate VLAN。

    [Switch1] vlan 2[Switch1-vlan2] mux-vlan[Switch1-vlan2] subordinate group 3[Switch1-vlan2] subordinate separate 4[Switch1-vlan2] quit

    # 在Switch1上配置接口加入VLAN并使能MUX VLAN功能。

    [Switch1] interface gigabitethernet 1/0/2[Switch1-GigabitEthernet1/0/2] port link-type trunk[Switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2[Switch1-GigabitEthernet1/0/2] port mux-vlan enable vlan 2[Switch1-GigabitEthernet1/0/2] quit[Switch1] interface gigabitethernet 1/0/3[Switch1-GigabitEthernet1/0/3] port link-type trunk[Switch1-GigabitEthernet1/0/3] port trunk allow-pass vlan 3[Switch1-GigabitEthernet1/0/3] port mux-vlan enable vlan 3[Switch1-GigabitEthernet1/0/3] quit[Switch1] interface gigabitethernet 1/0/4[Switch1-GigabitEthernet1/0/4] port link-type trunk[Switch1-GigabitEthernet1/0/4] port trunk allow-pass vlan 3[Switch1-GigabitEthernet1/0/4] port mux-vlan enable vlan 3[Switch1-GigabitEthernet1/0/4] quit[Switch1] interface gigabitethernet 1/0/5[Switch1-GigabitEthernet1/0/5] port link-type trunk[Switch1-GigabitEthernet1/0/5] port trunk allow-pass vlan 4[Switch1-GigabitEthernet1/0/5] port mux-vlan enable vlan 4[Switch1-GigabitEthernet1/0/5] quit[Switch1] interface gigabitethernet 1/0/6[Switch1-GigabitEthernet1/0/6] port link-type trunk[Switch1-GigabitEthernet1/0/6] port trunk allow-pass vlan 4[Switch1-GigabitEthernet1/0/6] port mux-vlan enable vlan 4[Switch1-GigabitEthernet1/0/6] quit

  2. 配置接入层交换机的接口加入相应VLAN,略。

  3. 检查配置结果

    Server和HostB、HostC、HostD、HostE二层流量互通。

    HostB和HostC二层流量互通。

    HostD和HostE二层流量不通。

    HostB、HostC和HostD、HostE二层流量不通。

配置文件

Switch1的配置文件

#
sysname Switch1
#
vlan batch 2 to 4
#
vlan 2
 mux-vlan
 subordinate separate 4 
 subordinate group 3
#
interface Vlanif2                                                             
 ip address 192.168.100.100 255.255.255.0  
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 
 port mux-vlan enable vlan 2#
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 3
 port mux-vlan enable vlan 3#
interface GigabitEthernet1/0/4
 port link-type trunk
 port trunk allow-pass vlan 3
 port mux-vlan enable vlan 3#
interface GigabitEthernet1/0/5
 port link-type trunk
 port trunk allow-pass vlan 4
 port mux-vlan enable vlan 4#
interface GigabitEthernet1/0/6
 port link-type trunk
 port trunk allow-pass vlan 4
 port mux-vlan enable vlan 4#
return