对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度。
MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN的划分:
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
如图所示,根据MUX VLAN特性,解决方案如下:
企业管理员可以将服务器划分到Principal VLAN。
MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。
由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。这样就能够实现:
企业外来访客、企业员工都能够访问企业服务器。
企业员工部门内部可以通信,而企业员工部门之间不能通信。
企业外来访客间不能通信、外来访客和企业员工之间不能互访。
所有的子vlan都可以和主VLAN互通。
隔离VLAN和其他子VLAN不通,隔离VLAN内不能互通。
互通型子VLAN和其他子VLAN不通,互通型子VLAN内部可以互通。
配置命令为:
mux-vlan
进入VLAN 10,开启mux-vlan功能,此时VLAN 10将作为主VLAN
subordinate separate 200
将VLAN 200配置为隔离型。隔离VLAN有且只能存在一个。
subordinate group 300 400
将VLAN 300 400配置为互通型子VLAN,互通型子VLAN可以有多个。
[SW-GigabitEthernet0/0/1]port mux-vlan enable
接口开启mux-vlan功能,其他接口以此类推
如果流量经过的两个接口都启用了mux-vlan功能,那么会使用。Display mux-vlan表项作为控制选项
如果流量经过的两个接口有一个没有使用mux-vlan功能,那么会使用display port VLAN表项作为控制选项。
官方公众号
商务合作
