VLAN高级技术之MUX VLAN

今天学习和了解MUX VLAN

MUX VLAN的背景：

---

        在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。

        传统的VLAN技术，靠的是分配的VLAN ID进行通信的隔绝，但是有太多 主机之间通信，则需要分配大量的VLAN ID ，而且维护起来还增加工作量。

---

MUX VLAN的基本概念：

        下面两张图介绍了主要成分：一个主VLAN，一个从VLAN

        Principal VLAN（主）

        Subordinate VLAN （从）

        

认真阅读每个的作用和方法！！！

---

 看看应用场景：

 企业可以用Principal port连接企业服务器，Separate port连接企业客户，Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的

 

接下来看一个VLAN聚合和MUXVLAN结合的拓扑配置：

• 在SW2和SW3上配置VLAN聚合，SW3上的Super-VLAN VLANIF 100接口开启ARP代理

• 在SW1上配置MUX VLAN

• 配置步骤：配置两个Sub-VLAN：在SW2上创建VLAN 10 20

• 将接口设置为access，划分到VLAN中

• 在SW3上配置Super-VLAN100，并且关联Sub-VLAN 10 20

• 同时配置VLANIF100网关地址，开启ARP代理

vlan 100
aggregate-vlan
access-vlan 10 20


interface Vlanif100                       
ip address 192.168.1.254 255.255.255.0   
arp-proxy inter-sub-vlan-proxy enable 

• SW2和SW3的接口设置为Trunk

//SW3
interface GigabitEthernet0/0/1            
port link-type trunk                     
port trunk allow-pass vlan 10 20 200  


//SW2
interface GigabitEthernet0/0/24           
port link-type trunk                     
port trunk allow-pass vlan 10 20 200  

• 配置两个路由器的接口地址

interface GigabitEthernet0/0/0            
ip address 192.168.1.10 255.255.255.0  

interface GigabitEthernet0/0/0            
ip address 192.168.1.20 255.255.255.0  

• 再没有配置ARP代理时，两个Sub-VLAN是不能够通信的

• R3上没有R4的ARP表项

•  配置了ARP代理

• arp-proxy inter-sub-vlan-proxy enable 

 

• 配置Sub-VLAN与外部网络通信        

        先在三台交换机上创建VLAN200

        在上面SW2和SW3的接口配置上允许VLAN 200通过

        在SW3上 配置VLANIF  200的IP地址 

interface Vlanif200                       
ip address 192.168.200.3 255.255.255.0   

        接着配置R3和R4静态路由前往外部网络

ip route-static 192.168.200.0 255.255.255.0 192.168.1.254
//两台路由器配置一样
ip route-static 192.168.200.0 255.255.255.0 192.168.1.254

接下来配置MUX VLAN

三个关键VLAN：Principal VLAN ：VLAN 200

                            Group VLAN     ：VLAN 201

                            Separate VLAN ： VLAN 202

在SW1上： 首先创建VLAN 200 ，201 ，202

• 配置Principal VLAN

• vlan 200
  mux-vlan
  subordinate separate 202
  subordinate group 201

• 配置接口并开启MUX VLAN功能

interface GigabitEthernet0/0/1            
 port link-type access                    
 port default vlan 201                    
 port mux-vlan enable                     

                                       
interface GigabitEthernet0/0/2            
 port link-type access                    
 port default vlan 202                    
 port mux-vlan enable   


interface GigabitEthernet0/0/24           
 port link-type access                    
 port default vlan 200                    
 port mux-vlan enable  

• 使用命令查看一下配置

•  配置R1和R2接口地址

• interface GigabitEthernet0/0/0            
  ip address 192.168.200.1 255.255.255.0 
  
  
  interface GigabitEthernet0/0/0            
  ip address 192.168.200.2 255.255.255.0 

  最后配置R1和R2的静态路由：两个配置一样

ip route-static 192.168.1.0 255.255.255.0 192.168.200.3

检查连通性：

 R1可以ping 通   R3和R4

R3和R4可以通过Principal VLAN和Group VLAN、Separate VLAN内的R1和R2进行通信

 R1ping不通R2，也就是Separate port 除了和 Principal  port 可以通信，其他接口完全隔离

 到此，又多学了一个知识点！！！