一、背景
在整个公司网络处于一个IP子网的场景中,会出现这样的二层隔离需求:
企业员工和企业客户都可以访问企业服务器;
企业员工之间直接可以通信;
企业客户之间不能通信;
企业员工和企业客户之间不能通信;
普通的VLAN部署场景中,是不能实现这样的需求的,MUX VLAN 复合VLAN可以通过VLAN实现二层隔离。
二、MUX VLAN Multiplex VLAN 复合VLAN
与VLAN聚合技术类似,MUX VLAN包含两个层次,Principal VLAN 和 Subordinate VLAN,即主VLAN和从VLAN;
Principal VLAN和Subordinate VLAN是一种关联关系,不是内外层VLAN的关系;
从VLAN又分为两类,Separate VLAN和Group VLAN,即隔离型VLAN和互通型VLAN;
Principal VLAN和Subordinate VLAN(Separate VLAN、Group VLAN)之间的通信原则:
1、Principal VLAN可以和所有的Subordinate直接二层通信;
2、Separate VLAN内部不能二层通信;
3、Group VLAN内部可以直接二层通信;
4、不同的Subordinate之间不能二层通信;
注意事项:
1、从VLAN又分为互通型从VLAN和隔离型从VLAN,但一个MUX VLAN不一定要求同时包括这两种从VLAN;
2、一个主VLAN下只能配置一个隔离型从VLAN,可以最多配置128个互通型从VLAN;
3、在MUX VLAN中的接口必须是Access类型或只能允许一个VLAN通过的Hybrid untagged类型;
4、MUX VLAN功能与VLANIF接口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN等功能互斥;
5、配置MUX VLAN功能的接口,不能同时配置接口安全功能、MAC认证和802.1X认证功能;
三、Multiplex VLAN复合VLAN的配置
vlan batch 2 to 4
#
vlan 2
mux-vlan
subordinate group 3
subordinate separate 4
#
interface gigabitethernet 0/0/1
port link-type access
port default vlan 2
port mux-vlan enable
#
interface gigabitethernet 0/0/2
port link-type access
port default vlan 3
port mux-vlan enable
#
interface gigabitethernet 0/0/3
port link-type access
port default vlan 4
port mux-vlan enable
#
网友评论