eNSP——交换机高级特性（MUX-VLAN、端口隔离、ARP代理、super-vlan、QinQ、端口镜像）

MUX-VLAN

应用场景：实现不同vlan之间互访，相同vlan之间禁止互访

主vlan：可以与mux vlan中的所有vlan通信

从vlan：①隔离型从vlan：只能和主vlan通信，和其他从vlan完全隔离，包括其他设置了 隔离vlan的区域

             ②互通型从vlan：可以和主vlan通信，还可以和同一个group内的用户通信，但是不能和其他group组的用户通信

---

场景需求：

①数据中心可以和所有主机通信

②海外部同vlan组的主机相互隔离

③国内部同vlan组的主机可以相互通信，但与不同vlan组的成员相互隔离

S1配置

        端口基本配置

[S1]vlan batch 10 20 30 40
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]p l a
[S1-GigabitEthernet0/0/1]p d v 10
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]p l a
[S1-GigabitEthernet0/0/2]p d v 20
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]p l a
[S1-GigabitEthernet0/0/3]p d v 20
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]p l a
[S1-GigabitEthernet0/0/4]p d v 30
[S1-GigabitEthernet0/0/4]int g0/0/5
[S1-GigabitEthernet0/0/5]p l a
[S1-GigabitEthernet0/0/5]p d v 30
[S1-GigabitEthernet0/0/5]int g0/0/6
[S1-GigabitEthernet0/0/6]p l a
[S1-GigabitEthernet0/0/6]p d v 40
[S1-GigabitEthernet0/0/6]int g0/0/7
[S1-GigabitEthernet0/0/7]p l a
[S1-GigabitEthernet0/0/7]p d v 40

        mux-vlan配置 

[S1]vlan 10
[S1-vlan10]mux-vlan        //开启mux-vlan功能，并使vlan10成为主vlan
[S1-vlan10]subordinate separate 20    //将vlan20设置为隔离型vlan（最多存在一个）
[S1-vlan10]subordinate group 30 40    //将vlan20、30设置为互通型vlan
[S1-vlan10]qu
[S1]port-group group-member g0/0/1 to g0/0/7    //创建端口组，批量执行命令
[S1-port-group]port mux-vlan enable            //批量打开端口的mux-vlan功能

测试1：PC2和PC3不能互通

成功！！

测试2：pc4ping同网段主机通，ping不同网段主机不通

成功！！

测试3：数据中心主机ping所有主机都通 

成功！！

******关于隔离型vlan只能设置一个的问题*******

如果隔离型vlan能设置多个的话，那为什么不用普通的vlan划分呢？将多个隔离型vlan内的主机都划分到不同的vlan中呢？

端口隔离

        为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；如果用户希望同一VLAN不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离即可

---

① 二层端口隔离

 场景需求：

同一个vlan组下

①总经理和各员工之间相互隔离

②各员工之间能相互通信

S1配置

端口配置

[S1]vlan10
[S1-vlan10]qu
[S1]port-group group-member g0/0/1 to g0/0/4
[S1-port-group]p l a
[S1-GigabitEthernet0/0/1]p l a
[S1-GigabitEthernet0/0/2]p l a
[S1-GigabitEthernet0/0/3]p l a
[S1-GigabitEthernet0/0/4]p l a
[S1-port-group]p d v 10
[S1-GigabitEthernet0/0/1]p d v 10
[S1-GigabitEthernet0/0/2]p d v 10
[S1-GigabitEthernet0/0/3]p d v 10
[S1-GigabitEthernet0/0/4]p d v 10

 端口隔离配置

[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port-isolate enable group 1
[S1-GigabitEthernet0/0/1]port-isolate enable group 2
[S1-GigabitEthernet0/0/1]port-isolate enable group 3
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]port-isolate enable group 1
[S1-GigabitEthernet0/0/2]int g0/0/3	
[S1-GigabitEthernet0/0/3]port-isolate enable group 2
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port-isolate enable group 3

测试1：总经理和各员工之间相互隔离

成功！！

测试2：各员工之间能相互通信

成功！！

注：

相同隔离组内相互隔离，与同vlan组（不同隔离组）内互相通信

就像这样：

②三层端口隔离

//TODO剩下的以后写