MUX-VLAN

MUX VLAN（Multiplex VLAN）是一种高级的VLAN技术，它通过在交换机上实现二层流量隔离和灵活的网络资源控制，提供了一种更为细致的网络管理方式。

一、基本概念

MUX VLAN分为主VLAN（Principal VLAN）和多个子VLAN（Subordinate VLAN）。

主VLAN是MUX VLAN配置中的核心VLAN，它可以与所有子VLAN进行通信。子VLAN又分为互通型从VLAN（Group VLAN）和隔离型从VLAN（Separate VLAN）。

二、工作原理

MUX VLAN的工作原理主要基于其独特的二层流量隔离机制。根据MUX-VLAN的特性，企业可以用Principal port连接企业服务器，Separate port连接企业客户，Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

具体来说：

主VLAN中的接口可以与MUX VLAN内的所有接口进行通信。

同一互通型从VLAN中的接口之间可以互相通信，也可以和主VLAN中的接口进行通信，但不能和其他互通型从VLAN中的接口或隔离型从VLAN中的接口通信。

隔离型从VLAN中的接口只能和主VLAN中的接口进行通信。

三、应用场景

MUX VLAN在企业网络中的应用是其最主要的使用场景之一。在企业环境中，不同部门之间可能需要相互隔离以保护敏感信息，同时又需要能够访问共享资源，如文件服务器、打印机等。通过配置MUX VLAN，企业可以将财务部门、人力资源部门和市场部门等相互隔离，确保各部门的网络流量不会相互干扰，保护了数据的安全性。同时，各部门都可以访问连接到主VLAN的共享资源，这有助于提高工作效率。

此外，MUX VLAN还适用于宾馆酒店、小区宽带接入等场景。在这些场景中，一个宾馆或者一个小区同用一个VLAN，但每个房间或每户人家又彼此隔离。

四、实验

实验步骤

1、创建若干个VLAN

2、选择一个VLAN为主VLAN

3、选择一个VLAN为隔离VLAN（隔离VLAN内部不能通信，只能与主VLAN通信）(只存在一个)

4、选择若干个VLAN为互通性/小组VLAN（互通性/小组VLAN内部可以通信，不能访问其他互通性/小组VLAN）

SW设备都需要配置

--MUX-VLAN：40，组vlan：10 20，隔离vlan：30

`

vlan batch 10 20 30 40

vlan 40

mux-vlan

subordinate separate 30

subordinate group 10 20`

SW和PC/服务器相连的链路需要开启mux-vlan功能，并划分对应vlan，SW之间需要放行所有vlan

`

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 30 40

interface GigabitEthernet0/0/3

port link-type access

port default vlan 40

port mux-vlan enable`

SWB设备配置：连接服务器/公网，使用vlan40，下面设置的组vlan10 20，隔离vlan30，都可以访问40

`

vlan batch 10 20 30 40

vlan 40

mux-vlan

subordinate separate 30

subordinate group 10 20

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 30 40

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 30 40

interface GigabitEthernet0/0/3

port link-type access

port default vlan 40

port mux-vlan enable

interface GigabitEthernet0/0/4

port link-type access

port default vlan 40

port mux-vlan enable

`

结果验证：

PC1访问PC2可以通信(互通性/小组VLAN内部可以通信)

PC1访问PC3无法通信(不能访问其他互通性/小组VLAN)



PC1访问隔离VLAN(PC5)无法通信



PC1访问服务器可以通信



PC1访问外网可以通信(使用loopback0:1.1.1.1/32模拟公网)



PC5(隔离vlan)可以访问服务器和公网