HCNP Routing&Switching之MUX VLAN

1874發表於2022-04-26

　　前文我們瞭解了代理ARP相關話題，回顧請參考https://www.cnblogs.com/qiuhom-1874/p/16188230.html；今天我們再來聊一聊vlan隔離相關話題MUX VLAN；

　　vlan隔離-埠隔離回顧

　　在同一網段的同一vlan內，為了使各埠互不干擾影響，我們可以使用埠隔離技術，配置交換機某些埠雙向隔離或者單向隔離；這是從二層的角度去隔離；但是我們可以使用三層介面，開啟代理arp繞過二層埠隔離，於是為了防止代理arp繞過二層埠隔離，我們也可以修改埠隔離模式為all，即二層和三層都隔離；

　　MUX VLAN

　　今天聊的MUX VLAN 也是一種vlan隔離技術，相對於同VLAN內的埠隔離，它更靈活；它能實現部分VLAN間可以互通、部分VLAN間隔離，同時也可以實現VLAN內埠隔離；它也是通過vlan進行網路資源控制的一種機制，只適用於二層網路中，對同一網段的使用者進行隔離（注意，是同一網段）和互通；簡單說MUX VLAN實現了處於相同網段的裝置劃入不同VLAN後，雖然二層通訊是隔離的，但可以和指定vlan通訊，還可以實現禁止相同VLAN內地不同裝置間的通訊；

　　示例：如下拓撲

　　如圖所示，伺服器與匯聚層交換機相連，為了實現所有使用者可以訪問企業伺服器，我們可以通過配置vlan間通訊實現；對於企業來說，希望企業內部員工之間可以互相訪問，第三方企業訪客之間是隔離的，我們可以通過配置每個訪客使用不同的vlan來實現，這樣一來如果有大量的第三方訪客，此時不但要消耗大量VLAN ID，還增加了管理員維護網路的難度，那怎麼來解決這樣的需求呢？使用MUX VLAN來解決；MUX VLAN提供二層流量隔離的機制可以實現企業內部員工之間互相通訊，而第三方外來訪客之間是相互隔離；

　　MUX VLAN通訊規則

　　MUX VLAN主要有2種型別的VLAN，主VLAN和子VLAN；而子VLAN由分兩種型別，一種是互通型子VLAN，一種是隔離型子VLAN，通訊規則如下；

　　1、主VLAN（Principal VLAN）：可以與MUX VLAN內所有VLAN通訊，即不管是那種型別的子VLAN，主VLAN都可以和它通訊；

　　2、隔離型子VLAN（Separate VLAN）:該型別子VLAN只能和主VLAN通訊，和其他型別的VLAN完全隔離，同時子VLAN內部也完全隔離；即只能和主VLAN通訊，不能和其他VLAN通訊，包括同一VLAN內地其他成員；

　　3、互通型子VLAN（Group VLAN）：可以和主VLAN 通訊，在同一子VLAN內部使用者可以相互通訊；但不能與其他互通型子 VLAN 或隔離型子VLAN內的使用者通訊；即互通型子VLAN 只能和主VLAN和本VLAN內使用者通訊，其他VLAN都不行；

　　通過了解MUX VLAN通訊規則，上述示例實現起來就非常簡單，我們可以把伺服器所在VLAN設定成主VLAN，把企業內部員工所在VLAN設定成互通型VLAN，把第三方訪客所在VLAN設定成隔離型子VLAN；如下圖所示

　　實驗：如下拓撲，配置MUX VLAN

　　交換機劃分VLAN

sys
sys sw1
vlan batch 12 15 34
int g0/0/1
port link-type access
port default vlan 12
int g0/0/2
port link-type access
port default vlan 12
int g0/0/3
port link-type access
port default vlan 34
int g0/0/4
port link-type access
port default vlan 34
int g0/0/5
port link-type access
port default vlan 15