MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如在企业网络中,网络管理员希望员工和客户均可以访问企业的服务器,员工之间可以互相交流,而客户之间互相隔离不能互访。为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的客户都分配VLAN,这不但需要消耗大量的VLAN ID,还增加了网络维护的复杂度。
通过MUX VLAN提供的二层流量隔离的机制可以实现员工之间互相交流,而客户之间互相隔离。
| MUX VLAN | VLAN类型 | 所属接口 | 通信权限 |
|---|---|---|---|
| Principal VLAN(主VLAN) | - | Principal port | Principal port可以和MUX VLAN内的所有接口进行通信。 |
| Subordinate VLAN(从VLAN) | Separate VLAN(隔离型从VLAN) | Separate port |
Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个Principal VLAN。 |
| Group VLAN(互通型从VLAN) | Group port |
Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个Principal VLAN。 |
sysname DeviceA
#
vlan batch 2 to 4
#
vlan 2
mux-vlan
subordinate separate 4
subordinate group 3
#
interface 100GE1/0/1
port default vlan 2
port mux-vlan enable vlan 2
#
interface 100GE1/0/2
port default vlan 3
port mux-vlan enable vlan 3
#
interface 100GE1/0/3
port default vlan 3
port mux-vlan enable vlan 3
#
interface 100GE1/0/4
port default vlan 4
port mux-vlan enable vlan 4
#
interface 100GE1/0/5
port default vlan 4
port mux-vlan enable vlan 4
#
returnVLAN Aggregation(VLAN聚合,也称Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN 属于同一个子网。
Super-VLAN:和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。
Sub-VLAN:只包含物理端口,用于隔离广播域的VLAN,不能建立三层VLAN接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。
一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
·Device A
#
vlan 2
#
vlan 3
#
vlan 10
supervlan
subvlan 2 3
#
vlan 20
#
interface Vlan-interface10
ip address 192.168.1.1 255.255.255.0
local-proxy-arp enable
#
interface Vlan-interface20
ip address 192.168.2.1 255.255.255.0
#
interface Hundredgige1/0/1
port link-mode bridge
port access vlan 2
#
interface Hundredgige1/0/2
port link-mode bridge
port access vlan 3
#
interface Hundredgige1/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20
#
· Device B
#
vlan 20
#
interface Hundredgige1/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20
#
interface Hundredgige1/0/2
port link-mode bridge
port access vlan 20
#| vlan类型 | 思科 | 工作原理 |
|---|---|---|
| 主vlan | primary vlan | 可以跟其他两种vlan互通 |
| 隔离vlan | isolated vlan | 只能跟主vlan互通,与同ID的separate vlan和团体型vlan都不互通。 |
| 团体vlan | community vlan | 可以跟主vlan和相同ID的团体vlan互通,不能跟隔离vlan互通。 |
1.配置隔离vlan
Switch(config)#vlan 10
Switch(config-vlan)#private-vlan isolated
2.配置团体vlan
Switch(config)#vlan 20
Switch(config-vlan)#private-vlan community
3.配置主vlan
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 10 ---->将隔离和 团体vlan与主vlan单向绑定
Switch(config-vlan)#private-vlan association add 20------>虚拟机不支持association 10, 20这样一次添加多个
4.配置隔离和团体vlan到物理接口(主机端口)
Switch(config)#int ran ether0/2-3
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan association host 10
Switch(config-if-range)#exit
Switch(config)#int ran ether1/0-1
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan association host 20
5.配置主vlan到物理接口(混杂端口)
Switch(config)#int ran ether0/1
Switch(config-if-range)#switchport mode private-vlan promiscuous ------>设置端口为私有vlan的主模式
Switch(config-if-range)#switchport private-vlan association mapping 100 10 ---->第一个是主vlan,后面是要绑定的隔离和团队vlan
Switch(config-if-range)#switchport private-vlan association mapping 100 add 20---->虚拟机不支持mapping 100 10,20这样一次添加多个
6.配置VSI
Switch(config)#int vlan 100
Switch(config-if)#ip add 192.168.10.1 255.255.255.0
Switch(config-if)#private-vlan mapping 10
Switch(config-if)#private-vlan mapping add 20------>虚拟机不支持mapping 10,20这样一次添加多个