MUX VLAN 基本概念
lMUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。
对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。
如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,
这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
l为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。
端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;
当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
MUX VLAN 划分表
MUX VLAN 配置
网络拓扑分析
将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;
企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;
企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。
配置命令
sys #都要先进入系统视图才能配置?#配置MUX VLAN中的Principal VLANvlan 40 #进入企业服务器vlan视图name server #给vlan 40改名为 server,然后在系统视图下可以用vlan vlan-name进入对应vlan视图mux-vlan #置该VLAN为MUX VLAN,即Principal VLAN?#配置Subordinate VLAN中的Separate VLANvlan server #进入已经成功创建的Principal VLAN视图subordinate separate 30 #配置Subordinate VLAN中的Separate VLAN?#配置Subordinate VLAN中的Group VLANvlan serve #进入已经成功创建的Principal VLAN视图subordinate group 10 20 #配置Subordinate VLAN中的Group VLAN??
使能接口MUX VLAN功能
只有使能接口MUX VLAN功能后,才能实现Principal VLAN与Subordinate VLAN之间通信、Group VLAN内的接口可以相互通信及Separate VLAN接口间不能相互通信的目的
前置任务
在使能接口MUX VLAN功能之前,需要完成以下任务:
- 已配置接口以Access、Hybrid或Trunk类型加入MUX VLAN。
- 接口可允许多个普通VLAN通过,但仅支持加入一个MUX VLAN
操作步骤
sysinterface interface-type interface-number #进入接口视图port link-type { hybrid | access | trunk } #配置端口类型?port mux-vlan enable vlan 10 20 30 40 #使能接口的 MUX VLAN功能,后接VLAN IDdisplay mux-vlan #检查配置结果
端口隔离
配置端口隔离组
sysint g0/0/接口ID #进入接口视图port-isolate enable #使能端口隔离功能port-isolate enable group group-id #创建隔离组port-isolate mode all #配置隔离模式为二层三层都隔离display port-isolate group all #查看所有创建的隔离组情况
配置端口单向隔离
sysint g0/0/1am isolate g0/0/1 #配置单向端口隔离
Refer
华为官方技术支持文档
端口安全
https://support.huawei.com/enterprise/zh/doc/EDOC1000112192?section=k00b
https://support.huawei.com/enterprise/zh/doc/EDOC1000154609?section=k00f
原文地址:https://www.cnblogs.com/wintrysec/p/10568926.html