MUX VLAN学习笔记

一、概述

1、前言

        在VLAN的应用过程中经常遇到这样的需求:整个公司网络的用户都处于一个IP子网中,但希望所有员工都能直接二层访问网络中的某关键设备的同时,一部分员工之间二层隔离。例如,在企业网络中,企业员工和企业客户可以访问企业的服务器,但是仅希望企业内部员工之间可以互相交流,而企业客户之间是隔离的。

        这时,如果仅仅考虑到普通VLAN就很难实现了,因为如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN(特别是在ISP中),这不仅需要耗费大量的VLAN ID,还增加了网络管理者的工作量,同时也增加了维护量。通过本章将要介绍的MUX VLAN(Multiplex VLAN,复合VLAN)提供的二层流量隔离机制就可以实现以上双重目的。

新版本VRP系统中的MUX VLAN技术与以前版本VRP系统的MUX VLAN技术相比有较大的区别,配置时要特别注意。

2、MUX VLAN概述

        MUX VLAN提供了一种通过VLAN进行网络资源访问控制的机制。MUX包括两种VLAN,即Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN)。从VLAN又分为两类,即Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。这几种不同类型的MUX VLAN的基本特性可见下表格。

        从以上介绍可以看出,MUX VLAN与本章前介绍的VLAN聚合在形式上有些类似,各VLAN中的用户在同一个IP子网中,且都有两种类型的VLAN。但这两种VLAN技术有着本质区别。

• VLAN聚合中的Sub-VLAN可以看成是Super-VLAN的成员,即具有包含和被包含的关系,而MUX VLAN中的Principal VLAN和Subordinate VLAN是主、从关系,也有逻辑上的包含和被包含的关系。
• VLAN聚合中的Super-VLAN是不能包含成员交换机端口的,而MUX VLAN中的Principal VLAN是可以包含成员交换机端口的。
• VLAN聚合中的各Sub-VLAN内部各用户间是可直接二层通信的,而在MUX VLAN中,Separate VLAN中的不同用户间是隔离的,只是Group VLAN内的用户可以直接二层通信。

        下图1是MUX VLAN的一种典型应用。

图1

        企业可以用Principal port连接用户需要共同访问的企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

        另外,如图2所示,也可以在汇聚层设备配置MUX VLAN,此时还可以为Principal VLAN创建VLANIF接口并为之配置IP地址(注意:V200R003版本以前的VRP系统版本中主VLAN是不能配置VLANIF接口的),作为MUX VLAN中各Host或Server与外部网络三层通信的共同网关,这与VLAN聚合中在Super-VLAN中创建VLANIF接口,作为各Sub-VLAN中的用户访问外部网络的网关是类似的。

图2

3、MUX VLAN配置注意事项

        在配置MUX VLAN时,要注意以下事项。

• 每Principal VLAN最多支持一个Separate VLAN,也可以没有Separate VLAN。
• 每Principal VLAN支持的Separate VLAN和Group VLAN总计128个。
• 如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用(V200R003版本以前的VRP系统版本中,VRP系统Principal VLAN不能配置VLANIF接口)。
• 如果指定VLAN已经用于Group VLAN或Separate VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
• 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
• 静态MAC指定的出接口VLAN不能为MUX-VLAN。
• 不能在同一接口上配置MUX VLAN和端口安全功能。
• 不能在同一接口上配置MUX VLAN和MAC认证功能。
• 不能在同一接口上配置MUX VLAN和802.1x认证功能。
• 当同时配置DHCP Snooping和MUX VLAN时,如果DHCP服务器在MUX VLAN的从VLAN侧,而DHCP客户端在主VLAN侧,则会导致DHCP客户端不能正常获取IP地址。因此请将DHCP服务器配置在主VLAN侧。
• 接口使能MUX VLAN后,该接口不可再配置VLAN Mapping、VLAn Stacking。
• 在除S1720GFR、S2750EI、S5700LI、S5700S-28P-LI-AC、S5700S-28P-PWR-LI-AC、S5700S-52P-LI-AC设备外,可以为Principal VLAN(主VLAN)创建VLANIF接口,不能为Subordinate Group VLAN(互通型从VLAN)和Separate VLAN(隔离型从VLAN)创建VLANIF接口。
• 接口使能MUX VLAN功能后,再通过port trunk pvid vlan命令配置接口的PVID时,建议不要配置同一MUX VLAN组内的其他主VLAN或从VLAN。例如,一个MUX VLAN组的主VLAN是10,互通型从VLAN是11,隔离型从VLAN是12。接口通过port mux vlan enable 10命令使能MUX VLAN功能后,建议不要再通过port trunk pvid vlan命令配置接口的PVID为VLAN11或VLAN12。

二、MUX VLAN的配置

        因为MUX VLAN中涉及两大类、3小类VLAN,所以在MUX VLAN中也涉及这3小类VLAN的配置,基本配置任务就是以下两项。

• 创建一个主VLAN,最多1个隔离型从VLAN和最多128个互通型VLAN。
• 在加入以上各VLAN的交换机端口上使能MUX VLAN功能。

1、配置MUX VLAN中的主VLAN

 MUX VLAN中主VLAN(Principal VLAN)的配置方法很简单,具体见下表

2、配置MUX VLAN中的从VLAN

        前面已经介绍了,从VLAN又分为互通型从VLAN(Group VLAN)和隔离型从VLAN(Separate VLAN)两类。但一个MUX VLAN不一定要求同时包括这两种从VLAN,且一个主VLAN下只能配置一个隔离型从VLAN,却可用最多配置128个互通型从VLAN。

        互通型从VLAN可实现同一VLAN内用户端口间的相互通信:隔离型从VLAN可隔离同一VLAN内用户端口间的相互通信。但同一MUX VLAN中,互通型从VLAN和隔离型从VLAN的VLAN ID不能一样。

从VLAN的配置方法也很简单,具体见下表

3、使能接口MUX VLAN功能

        只有使能接口MUX VLAN后,才能实现Principal VLAN与Subordinate VLAN之间通信、Group VLAN内的接口可以互相通信及Separate VLAN接口间不能相互通信的目的。在使能接口MUX VLAN功能之前,需要完成以下任务。

• 已配置接口以Access、Hybrid或Trunk类型加入MUX VLAN(V200R003版本以前的VRP系统版本仅支持Access和Untagged Hybrid类型端口)。
• 接口可允许多个普通VLAN通过(以前VRP系统版本不支持),但仅支持加入一个MUX VLAN。

        在交换机端口上使能MUX VLAN功能的配置很简单,就是在对应的交换机端口视图下执行port mux-vlan enable vlan命令(以前VRP系统版本中,该命令没有vlan-id参数),参数vlan-id用来指定该端口所加入的MUX VLAN,可以是主VLAN,也可以是对应的从VLAN,但要在所有MUX VLAN的交换机端口(不能是negotiation-auto和negotiation-desirable类型端口)上配置。端口使能MUX VLAN功能后,该接口不可以再用于VLAN Mapping、VLAN Stacking配置。

        配置完成后,可以用display mux-vlan命令查看所有MUX VLAN的相关信息。可查的MUX VLAN配置信息包括主VLAN ID、从VLAN ID、VLAN的类型、VLAN包含的交换机端口。

相关实验案例以及实验配置命令将在下一章和大家介绍。

以上就是本章的全部内容了,感谢大家的浏览观看!章节中部分内容来自教材《华为交换机学习指南》第二版,感兴趣的可以购买相关书籍查看。