华为设备实施MUX VLAN灵活的控制VLAN间互访同时节省IP地址实施

2.1 MUX VLAN技术
MUX VLAN,即Multiplex VLAN,提供了一种通过VLAN进行网络资源访问控制的机制。在MUX VLAN中存在3种VLAN分类:主VLAN,从VLAN下包含2种VLAN,即隔离性从VLAN(separate VLAN)和组VLAN(GROUP VLAN,很多时候称之为互通型VLAN)。MUX VLAN就通过定义这三种VLAN中的端口来到达在同一个3层子网下的访问控制。
2.2.1 MUX VLAN通信规则
MUX VLAN定义的访问规则如下:①主VLAN与从VLAN之间可以相互通信;②互通型从VLAN内的端口之间可以互相通信,不同互通型VLAN内的端口不可访问;③隔离型从VLAN内的端口之间不能互相通信,它只能访问主VLAN。
当然MUX VLAN还有一个重要的作用,即这些VLAN中的设备可以隶属于同一个网络,这意味着可以节省很多的IP地址(这点在运营商尤其重要)。
如图2-1所示,访问规则如下:①文件服务器所连接端口为主VLAN XYZ的端口,则它可以和所有的PC1到PC6通信;②PC1和PC2属于互通型VLAN X,此时PC1和PC2相互可以访问;PC3和PC4属于互通型VLANY,此时PC3和PC4可以互相访问,但不能访问PC1和PC2,因为它们不在同一个互通型VLAN;③PC5和PC6属于隔离性VLAN Z,则PC5和PC6相互不能访问,但都可以和文件服务器通信。

图2-1 MUX VLAN示意图
2.2.1 MUX VLAN实验
一.实验拓扑
如图2-2所示,PC7属于主VLAN123;PC1和PC2属于互通型VLAN10;PC3和PC4属于互通型VLAN20;PC5和PC6属于隔离性VLAN30.各个终端的IP地址设计为10.1.1.X,比如PC7的地址为10.1.1.7.

二.实验需求和目标
了解MUX VLAN的工作原理和实验
PC7可以和PC1到PC6通信
互通型VLAN10中的PC1和PC2可以通信,但不能和其他从VLAN中的设备(PC3到PC6)通信
互通型VLAN20中PC3和PC4可以通信,但不能和其他从VLAN中的设备(PC1、PC2、PC5、PC6)通信
隔离性VLAN30中的PC5和PC6相互不能通信,但是可以和PC7通信
三.实验步骤

图2-2 MUX VLAN实验拓扑
1.创建VLAN,并规定对应的VLAN类型

[SW1]vlan batch 10 20 30 123 //创建对应的VLAN,如果交换机上没有该VLAN
[SW1]vlan 123
[SW1-vlan123]mux-vlan //VLAN123使能MUX VLAN
[SW1-vlan123] subordinate separate 30 //VLAN30作为隔离型从VLAN隶属于VLAN123
[SW1-vlan123] subordinate group 10 20 //VLAN30作为互通型从VLAN隶属于VLAN123
验证定义的VLAN
[SW1]display mux-vlan //读者已经看到主vlan123,从vlan中的隔离和互通型VLAN,但暂时还没有接口属于VLAN
Principal Subordinate Type         Interface
-----------------------------------------------------------------------------
123       -           principal
123       30          separate
123       10          group
123       20          group
请在SW2做对应配置并验证
vlan batch 10 20 30 123
vlan 123
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
[SW2]display mux-vlan
Principal Subordinate Type         Interface
-----------------------------------------------------------------------------
123       -           principal
123       30          separate
123       10          group
123       20          group
-----------------------------------------------------------------------------**
2.把对应的端口划分到VLAN
VLAN中自然要有物理接口作为转发的承载,在本例中我们将配置交换机之间的Trunk链路以及连接终端的接入接口
SW1:
interface GigabitEthernet0/0/11
 port link-type access
 port default vlan 123 //该端口属于主VLAN123
 port mux-vlan enable //该端口使能MUX VLAN,否则按照普通VLAN转发
interface GigabitEthernet0/0/1
 port link-type access //端口模式修改为接入模式
 port default vlan 10 //该端口口划分到VLAN10
 port mux-vlan enable //该端口使能MUX VLAN才能按照规则转发
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20 //属于互通型VLAN20的端口
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable
#
interface GigabitEthernet0/0/10
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094 //配置Trunk并允许所有VLAN通过
!
SW2:
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 30 //属于隔离型VLAN30的端口
 port mux-vlan enable
#
interface GigabitEthernet0/0/6
 port link-type access
 port default vlan 30
 port mux-vlan enable
#
interface GigabitEthernet0/0/10
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
验证MUX VLAN及其端口
[SW1]display mux-vlan
Principal Subordinate Type         Interface
-----------------------------------------------------------------------------
123       -           principal    GigabitEthernet0/0/7 GigabitEthernet0/0/11
123       30          separate
123       10          group        GigabitEthernet0/0/1 GigabitEthernet0/0/2
123       20          group        GigabitEthernet0/0/3 GigabitEthernet0/0/4
----------------------------------------------------------------------------- [SW2]display mux-vlan
Principal Subordinate Type         Interface
-----------------------------------------------------------------------------
123       -           principal
123       30          separate     GigabitEthernet0/0/5 GigabitEthernet0/0/6
123       10          group
123       20          group

配置主机的IP地址并验证,我们以PC1为例,其他设备请自行配置并验证

图2-3 配置主机的IP地址
PC>ping 10.1.1.7 //PC1可以和主VLAN中的设备通信

Ping 10.1.1.7: 32 data bytes, Press Ctrl_C to break
From 10.1.1.7: bytes=32 seq=1 ttl=128 time=47 ms
From 10.1.1.7: bytes=32 seq=2 ttl=128 time=47 ms

--- 10.1.1.7 ping statistics ---
  2 packet(s) transmitted
  2 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 47/47/47 ms

PC>ping 10.1.1.2 //PC1可以和同一互通型VLAN中的设备通信

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.2: bytes=32 seq=1 ttl=128 time=47 ms
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=31 ms

--- 10.1.1.2 ping statistics ---
  2 packet(s) transmitted
  2 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/39/47 ms

PC>ping 10.1.1.3 //PC1不能和不同互通型VLAN的PC3通信

Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable

--- 10.1.1.3 ping statistics ---
  3 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC>ping 10.1.1.5 //PC1不能和隔离型VLAN中的设备通信

Ping 10.1.1.5: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable

--- 10.1.1.5 ping statistics ---
  3 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss
验证隔离性VLAN中的主机PC5的情况:
PC>ping 10.1.1.6 //不能和同一隔离型VLAN中的主机通信

Ping 10.1.1.6: 32 data bytes, Press Ctrl_C to break
From 10.1.1.5: Destination host unreachable
From 10.1.1.5: Destination host unreachable
From 10.1.1.5: Destination host unreachable
From 10.1.1.5: Destination host unreachable

--- 10.1.1.6 ping statistics ---
  4 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC>ping 10.1.1.7 //仅仅可以和主VLAN中的设备通信

Ping 10.1.1.7: 32 data bytes, Press Ctrl_C to break
From 10.1.1.7: bytes=32 seq=1 ttl=128 time=62 ms
From 10.1.1.7: bytes=32 seq=2 ttl=128 time=46 ms

--- 10.1.1.7 ping statistics ---
  2 packet(s) transmitted
  2 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/54/62 ms

PC>ping 10.1.1.4 //不能和除了主VLAN之外的从VLAN中的设备通信

Ping 10.1.1.4: 32 data bytes, Press Ctrl_C to break
From 10.1.1.5: Destination host unreachable
From 10.1.1.5: Destination host unreachable

--- 10.1.1.4 ping statistics ---
  2 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

以上已经验证了MUX VLAN内部的通信情况,那么如何和另外一个三层子网(比如20.1.1.0/24网络)通信呢?此时需要使用主VLAN的VLAN接口,由于模拟器的缘故,ENSP不能在MUX VLAN中使用该方式,故而在本实验中不进行演示,但是真实设备没有问题。

原文地址:http://blog.51cto.com/enderjoe/2088867

时间: 2024-10-15 23:59:43

华为设备实施MUX VLAN灵活的控制VLAN间互访同时节省IP地址实施的相关文章

华为设备删除vlan时,提示Error: The VLAN has a L3 interface.

华为设备删除vlan时,提示Error: The VLAN has a L3 interface,Please delete it first的解决办法! 直接删除vlan,删除不了,如下图: 2.直接在本设备上删除三层设备接口,方法如下图: 3.删除本设备上的端口与vlan相应的配置,如下图: 4.验证该接口的vlan配置是否删除: 5.验证该设备vlan在系统视图模式下的配置 6.现在可以完全删除该vlan,并验证: 操作命令如下: 发现现在操作没有提示错误!各接口上该vlan配置也被删除干

在华为设备认识VLan和配置

vlan 什么是vlan:-vlan是通过物理设备交换机中配置的虚拟局域网,在二层交换机上分割广播域的技术,就是VLAN. 2.为什么要使用Vlan: 一般的二层交换机只能构建单一的广播域,不过使用VLAN功能后,它可以将网络划分为多个广播域.-为什么需要分割广播域呢?因为如果仅有一个广播域,有可能会影响到网络整体的传输性能. 举例:没有划分广播域的情况: 通过eNsp模拟如图中有多台二层华为交换机设备(sw1-sw3)在同一网络中Pc1需要与Pc2通信,在基于以太网通信中,必须获取到指定目标M

华为设备vlan基础配置

参考文献:HCNA网络技术实验指南 模拟器:eNSP 实验环境:办公室各部门PC相互隔离,同部门PC可以互通. 实验目的:掌握vlan基础配置 access接口配置 实验IP地址 : 设备使用部门 设备名称 接口 所属Vlan IP地址 子网掩码 网关 IT部 PC1 Eth0/0/1 vlan10 100.100.100.2 255.255.255.0 N/A 企划部 PC2 Eth0/0/1 vlan20 100.100.100.3 255.255.255.0 N/A 客服部 PC3 Eth

华为设备VLAN间路由之单臂路由

1. 根据拓扑配置地址2. 交换机配置<Huawei>system-view 进入系统视图[Huawei]sysname sw 更改交换机名字为SW[sw]undo info-center enable 关闭信息中心提示[sw]vlan batch 10 20 创建VLAN 10 20[sw]interface e0/0/1 进入接口 [sw-Ethernet0/0/1]port link-type access 设置接口模式为access [sw-Ethernet0/0/1]port def

【基础】华为设备基本和高级ACL配置实战

实验拓扑: 使用ENSP模拟器(版本V100R002C00 1.2.00.350)   实验要求: 1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网. 2. 在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网:vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打开网页,其他不受影响: 3. 在华为设备上配置命名ACL实现路由器R1只能被192.168.1.10主机远程管理. ACL原

华为设备的交换机接口类型介绍及配置

博文大纲: vlan是什么? 华为交换机的三种接口模式:1.access模式.2.trunk模式.3.hybrid模式. hybrid接口的工作原理. 华为设备的各种接口模式应用场景及配置. 一.什么是vlan? vlan就是虚拟局域网,是在二层交换机上将一个物理的LAN在逻辑上划分成多个广播域(多个vlan)的通信技术.同一个vlan内的主机可以直接通信,而不同vlan之间进行通行的话,则需要依赖三层网络设备(三层交换机.路由器等). vlan具有灵活性和可扩展性等特点,使用vlan技术有以下

华为设备的交换机Hybrid接口详解

通常情况下,公司对内网的使用远远高于对外网的使用.公司的内部网络是由二层交换网络构建的,所以二层网络设计的好坏直接影响公司的正常业务.好的设计不仅使 功能得到体现,还可以应对一些未知的隐患,如线路损坏.设备损坏等.下面我们主要对华为的二层设备进行了解,不过首先要了解的就是二层设备(交换机)主要的就是--VLAN. 一.VLAN的基本概念 在传统的交换机以太网中,所有的用户都在同一个广播域中,当网络规模较大时,广播包的数量会急剧增加,当广播包的数量占到总量的30%时,网络的传输的效率会明显的下降,

华为设备二层交换技术——Hybrid口 理论知识

通常情况下,公司对内网的使用远远高于对外网的使用.公司的内部网络是由二层交换网络构建的,所以二层网络设计的好坏直接影响公司的通常情况下,公司对内网的使用远远高于对外网的使用.公司的内部网络是由二层交换网络构建的,所以二层网络设计的好坏直接影响公司的正常业务.好的设计不仅使 功能得到体现,还可以应对一些未知的隐患,如线路损坏.设备损坏等.下面我们主要对华为的二层设备进行了解,不过首先要了解的就是二层设备(交换机)主要的就是--VLAN.正常业务.好的设计不仅使 功能得到体现,还可以应对一些未知的隐

华为设备二层交换技术——MSTP协议详解

前面提到的STP协议以及Cisco的私有协议PVST+都属于单生成树(SST)协议,也就是对于支持多VLAN的设备只能运行单一的生成树.可以参考博文:Cisco设备二层交换技术--STP协议详解 MSTP是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议,它既继承了RSTP端口快速迁移的优点,又解决了RSTP中不同VLAN必须运行在同一棵生成树上的问题.接下来我们详细了解一下MSTP协议. MSTP协议是一个公有的生成树协议,在实际生产环境中得到了广泛的应用. 一.MSTP概述