华为---MUX VLAN简介及示例配置

1. 产生背景

2. 应用场景

3. 主要功能

4. 基本概念

5. 配置步骤及相关命令

6.示例配置

6.1 示例场景

6.2 网络拓扑图

6.3 配置代码

6.4 配置及解析

6.5 测试验证

配置注意事项

1. 产生背景

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

例如在企业网络中，网络管理员希望员工和客户均可以访问企业的服务器，员工之间可以互相交流，而客户之间互相隔离不能互访。为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信实现。如果企业规模很大，拥有大量的用户，那么就要为不能互相访问的客户都分配VLAN，这不但需要消耗大量的VLAN ID，还增加了网络维护的复杂度。

通过MUX VLAN提供的二层流量隔离的机制可以实现员工之间互相交流，而客户之间互相隔离。

2. 应用场景

MUX VLAN既可实现VLAN间用户通信，也可实现VLAN内的用户相互隔离。常见的场景有宾馆酒店，小区宽带接入和企业内部。他们的特点是一个宾馆或者一个小区或一个公司同用一个VLAN，但每个房间，每户人家，每个部门又彼此隔离。

3. 主要功能

MUX VLAN只适用于二层网络（即同一网段）互通和隔离。实现相同网段终端被划分到不同VLAN后，虽然二层VLAN间通信是隔离的，但还要实现指定VLAN内终端不能通信。

与Super VLAN相比，MUX VLAN属于二层交换机功能，Super VLAN属于三层功能，需要三层交换机支持。MUX VLAN对用户间的访问控制灵活性好，但MUX VLAN配置较为复杂。

4. 基本概念

MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN又分为Separate VLAN和Group VLAN。

MUX VLAN	VLAN类型	所属接口	通信权限
Principal VLAN（主VLAN）	-	Principal port	Principal port可以和MUX VLAN内的所有接口进行通信。
Subordinate VLAN（从VLAN）	Separate VLAN（隔离型从VLAN）	Separate port	Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。
Group VLAN（互通型从VLAN）	Group port	Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个Group VLAN必须绑定一个Principal VLAN。

MUX VLAN

VLAN类型

所属接口

通信权限

Principal VLAN（主VLAN）

Principal port

Principal port可以和MUX VLAN内的所有接口进行通信。

Subordinate VLAN（从VLAN）

Separate VLAN（隔离型从VLAN）

Separate port

Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个Separate VLAN必须绑定一个Principal VLAN。

Group VLAN（互通型从VLAN）

Group port

Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。

每个Group VLAN必须绑定一个Principal VLAN。

1个Principal VLAN下能指定128个Group VLAN；
1个Principal VLAN下只能指定1个Separate VLAN；
同一个MUX VLAN下Group VLAN和Separate VLAN的VLAN ID能相同。

MUX VLAN与普通VLAN的主要区别：
MUX VLAN下的Principal VLAN、Group VLAN和Separate VLAN可以在同一网段下，共用1个网关，普通VLAN每个VLAN占用1个网段（1个网段至少4个IP地址）。

MUX VLAN下：
        主VLAN内的终端可以相互通信，同时可以和从VLAN（包括互通型从VLAN和隔离型从VLAN）内的终端相互通信；
        互通型从VLAN内的终端可以相互通信，同时可以和主VLAN内的终端通信，不能和隔离型从VLAN内的终端通信；
        隔离型从VLAN内的终端相互通信，可以和主VLAN内的终端通信，不能和互通型从VLAN内的终端通信；

5. 配置步骤及相关命令

和终端相连的端口要使能MUX VLAN功能，有对应vlan数据流经过的交换机要创建相应vlan。隔离型vlan中，在同一交换机下的隔离型vlan终端不能相互通信，在不同交换机下的隔离型vlan终端能相互通信。即，隔离型vlan跨设备后起不到隔离作用

配置主VLAN的MUX VLAN功能，并配置VLANIF接口，其IP地址可以作为下挂Host及Server的网关IP。
[Switch1-vlan10] mux-vlan //配置VLAN 10为Principal VLAN
配置Group VLAN功能。
[Switch1-vlan10]subordinate group 20 //指定VLAN 20为Group VLAN
配置Separate VLAN功能。
[Switch1-vlan10] subordinate separate 30 //指定VLAN 30为Separate VLAN
配置接口加入VLAN并使能MUX VLAN功能。
[Switch1-GigabitEthernet1/0/2] port mux-vlan enable
配置连接终端设备接口加入相应VLAN。

6.示例配置

6.1 示例场景

在企业网络中，所有员工可以访问企业服务器，也可以相互交流。但对于企业客户，希望客户之间是隔离的，不能够互相访问。

6.2 网络拓扑图

6.3 配置代码

system-view
sysname R
interface GigabitEthernet0/0/0
ip address 192.168.11.254 255.255.255.0 
interface LoopBack11
ip address 11.11.11.11 255.255.255.255 

system-view
sysname SW
vlan batch 10 20 30
vlan 10
mux-vlan
subordinate separate 30
subordinate group 20
quit
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20 30
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 30
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 30
 port mux-vlan enable
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
 port mux-vlan enable
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 10
 port mux-vlan enable

system-view
sysname SW1
vlan batch 10 20
vlan 10
 mux-vlan
 subordinate group 20
interface Ethernet0/0/1
 port link-type access
 port default vlan 20
 port mux-vlan enable
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
 port mux-vlan enable
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20

system-view
sysname SW2
vlan batch 10 20 30
vlan 10
 mux-vlan
 subordinate separate 30
 subordinate group 20
interface Ethernet0/0/1
 port link-type access
 port default vlan 20
 port mux-vlan enable
interface Ethernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30

system-view
sysname SW3
vlan batch 10 30
vlan 10
 mux-vlan
 subordinate separate 30
interface Ethernet0/0/1
 port link-type access
 port default vlan 30
 port mux-vlan enable
interface Ethernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 30

6.4 配置及解析

<Huawei>system-view
[Huawei]sysname R
[R]interface GigabitEthernet 0/0/0
[R-GigabitEthernet0/0/0]ip address 192.168.11.254 24
[R]interface LoopBack 11
[R-LoopBack11]ip address 11.11.11.11 32

<Huawei>system-view
[Huawei]sysname SW
[SW]vlan batch 10 20 30
[SW]vlan 10
[SW-vlan10]mux-vlan //配置VLAN 10为主 VLAN
[SW-vlan10]subordinate group 20 //指定VLAN 20为互通型VLAN
[SW-vlan10]subordinate separate 30 //指定VLAN 30为隔离型VLAN
[SW-vlan10]quit
[SW]interface GigabitEthernet0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SW-GigabitEthernet0/0/2]port link-type trunk
[SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 30
[SW-GigabitEthernet0/0/2]interface GigabitEthernet0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 30
[SW-GigabitEthernet0/0/3]interface GigabitEthernet0/0/4
[SW-GigabitEthernet0/0/4]port link-type access
[SW-GigabitEthernet0/0/4]port default vlan 30
[SW-GigabitEthernet0/0/4]port mux-vlan enable //SW-GigabitEthernet0/0/4接口使能MUX VLAN功能
[SW-GigabitEthernet0/0/4]interface GigabitEthernet0/0/5
[SW-GigabitEthernet0/0/5]port link-type access
[SW-GigabitEthernet0/0/5]port default vlan 10
[SW-GigabitEthernet0/0/5]port mux-vlan enable //此端口使能MUX VLAN功能
[SW-GigabitEthernet0/0/5]interface GigabitEthernet0/0/24
[SW-GigabitEthernet0/0/24]port link-type access
[SW-GigabitEthernet0/0/24]port default vlan 10
[SW-GigabitEthernet0/0/24]port mux-vlan enable //此端口使能MUX VLAN功能

<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1]vlan 10
[SW1-vlan10]mux-vlan //配置VLAN 10为主 VLAN
[SW1-vlan10]subordinate group 20 //指定VLAN 20为互通型VLAN
[SW1-vlan10]quit
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 20
[SW1-Ethernet0/0/1]port mux-vlan enable //此端口使能MUX VLAN功能
[SW1-Ethernet0/0/1]interface Ethernet0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]port mux-vlan enable //此端口使能MUX VLAN功能
[SW1-Ethernet0/0/2]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

<Huawei>system-view
[Huawei]sysname SW2
[SW2]vlan batch 10 20 30
[SW2]vlan 10
[SW2-vlan10]mux-vlan //配置VLAN 10为主 VLAN
[SW2-vlan10]subordinate group 20 //指定VLAN 20为互通型VLAN
[SW2-vlan10]subordinate separate 30 //指定VLAN 30为隔离型VLAN
[SW2-vlan10]quit
[SW2]interface Ethernet0/0/1
[SW2-Ethernet0/0/1]port link-type access
[SW2-Ethernet0/0/1]port default vlan 20
[SW2-Ethernet0/0/1]port mux-vlan enable //此端口使能MUX VLAN功能
[SW2-Ethernet0/0/1]interface Ethernet0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 30
[SW2-Ethernet0/0/2]port mux-vlan enable //此端口使能MUX VLAN功能
[SW2-Ethernet0/0/2]interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30

<Huawei>system-view
[Huawei]sysname SW3
[SW3]vlan batch 10 30
[SW3]vlan 10
[SW3-vlan10]mux-vlan //配置VLAN 10为主 VLAN
[SW3-vlan10]subordinate separate 30 //指定VLAN 30为隔离型VLAN
[SW3-vlan10]quit
[SW3]interface Ethernet0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 30
[SW3-Ethernet0/0/1]port mux-vlan enable //此端口使能MUX VLAN功能
[SW3-Ethernet0/0/1]interface Ethernet0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 30
[SW3-Ethernet0/0/2]port mux-vlan enable //此端口使能MUX VLAN功能
[SW3-Ethernet0/0/2]interface GigabitEthernet0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30

和终端相连的端口要使能MUX VLAN功能，有对应vlan数据流经过的交换机要创建相应vlan。

6.5 测试验证

互通型vlan内的终端可以互相通信，也可以和主vlan下的终端通信。

隔离型vlan内的终端互相隔离，也不能和主vlan、互通型vlan下的终端通信。
本示例隔离型vlan中，在同一交换机下的隔离型vlan终端不能相互通信，在不同交换机下的隔离型vlan终端能相互通信。即，隔离型vlan跨设备后起不到隔离作用（在SW交换机下，将GigabitEthernet0/0/4和GigabitEthernet0/0/5添加到隔离型vlan 30下也是如此）。

配置注意事项

如果指定VLAN已经用于Principal VLAN，那么该VLAN不能在Super-VLAN、Sub-VLAN的配置中使用，不建议在VLAN Mapping、VLAN Stacking的配置中使用。
如果指定VLAN已经用于Group VLAN或Separate VLAN，那么该VLAN不能再用于创建VLANIF接口，或者在Super-VLAN、Sub-VLAN的配置中使用，不建议在VLAN Mapping、VLAN Stacking的配置中使用。
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
不能在同一接口上配置MUX VLAN和接口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
接口使能MUX VLAN功能后，该接口不可再配置VLAN Mapping、VLAN Stacking。