基于华为mux vlan技术的数据网络设计与实现

2019.11
1概述
在进行数据网络设计与组建时,经常会遇到要求将
各种不同流量之间进行隔离的需求。

例如,如图1所示的典型企业网络中,企业会要求无论是企业内部员工还是外来访客均可以访问连接到汇聚层交换机上的服务器,企业内部员工之间可以互相访问,但企业外来访客之间是互相隔离的。

即访客只能访问服务器,而不能访问其他的任何设备,包括其他的访客。

在传统上,可以通过为每一个访客设置一个单独的VLAN 来实现,但是如果企业拥有大量的外来访客,就不得不配置大量的VLAN,不但需要耗费大量的VLAN ID,还会导致网络维护难度的增加。

在这种情况下,就需要使用MUX
VLAN (Multiplex VLAN)技术来解决。

2MUX VLAN 的概念
MUX VLAN 将VLAN 划分成了3种不同的类型,
分别如下:
(1)主VLAN (Principal VLAN)
主VLAN 可以和MUX VLAN 中的所有VLAN 进行
通信,加入到主VLAN 中的端口称为主端口(Principal Port)。

(2)隔离型从VLAN (Separate VLAN)
隔离型从VLAN 只能和主VLAN 之间进行通信,和其他类型的VLAN 之间完全隔离,并且在隔离型从VLAN 内部彼此之间也不能通信。

加入隔离型从VLAN 的端口称为隔离型从端口,其只能与主端口进行通信。

(3)互通型从VLAN (Group VLAN)
互通型从VLAN 可以和主VLAN 进行通信,在同一互通型从VLAN 内的用户也可互相通信,但不能和隔离型从VLAN 以及其他的互通型从VLAN 进行通信。

加入互通型从VLAN 的端口称为互通型从端口。

此时对图1所示的网络进行通信分析,使用MUX VLAN 技术,将服务器划分到主VLAN 中,将企业内部员工按照部门划分到不同的互通型从VLAN 中,将外来
访客全部划分到一个隔离型从VLAN 中,就可以实现相应的通信需求。

3MUX VLAN 的配置
如图1所示的网络中分别创建VLAN 10、20、30
和40,其中VLAN10和VLAN20作为互通型从VLAN,基金项目：石家庄邮电职业技术学院科研项目,项目编
号:YB2019061,项目名称:对标华为HCIA 认证体系的网络类课程建设的研究与实践。

作者简介：张少芳(1982-),男,副教授,硕士,研究方向:网络安全与管理、网络集成技术;刘延锋(1980-),男,高级工程师,硕士,研究方向:信息安全、计算机基础教育;赵艳春(1970-),女,副教授,
学士,研究方向:网络集成技术、高级路由与交换。

收稿日期：2019-08-11
基于华为MUX VLAN 技术的数据网络设计与实现
张少芳，刘延锋，赵艳春
（石家庄邮电职业技术学院，石家庄050021）
摘
要:对于企业网络而言，经常需要针对VLAN 间以及VLAN 内部的流量进行访问控制，MUX VLAN 技术通过定义不同类型的VLAN ，实现了不同VLAN 间以及特定VLAN 内部的访问隔离，简化了企业网络中VLAN 配置和管理的复杂度。

关键词:网络；VLAN ；隔离；通信；端口
图1典型企业网络结构
Internet
核心层汇聚层
SWA SWB 服务器
接入层
SWC
SWD
接入层
部门1
部门2A 公司访客B 公司访客
企业内部员工
外来访客
87
2019.11
为企业内部部门1和部门2的用户提供接入;VLAN30作为隔离型从VLAN,为企业外来访客提供接入;VLAN40作为主VLAN,将服务器划分到该VLAN 中。

具体的配置命令如下:
[SWB]vlan batch 10203040[SWB]vlan 40
[SWB-vlan40]mux-vlan
[SWB-vlan40]subordinate separate 30[SWB-vlan40]subordinate group 1020[SWB-vlan40]quit
[SWB]interface GigabitEthernet0/0/1
[SWB-GigabitEthernet0/0/1]port link-type trunk [SWB-GigabitEthernet0/0/1]port trunk allow-pass vlan 10203040
[SWB-GigabitEthernet0/0/1]quit
[SWB]iinterface GigabitEthernet0/0/2
[SWB-GigabitEthernet0/0/2]pport link-type trunk [SWB-GigabitEthernet0/0/2]port trunk allow-pass vlan 10203040
[SWB-GigabitEthernet0/0/2]quit [SWB]interface GigabitEthernet0/0/3
[SWB-GigabitEthernet0/0/3]port link-type access [SWB-GigabitEthernet0/0/3]port default vlan 40[SWB-GigabitEthernet0/0/3]port mux-vlan enable [SWC]vlan batch 10203040[SWC]vlan 40
[SWC-vlan40]mux-vlan
[SWC-vlan40]subordinate separate 30[SWC-vlan40]subordinate group 1020[SWC-vlan40]quit
[SWC-GigabitEthernet0/0/1]interface GigabitEth⁃ernet0/0/1
[SWC-GigabitEthernet0/0/1]port link-type trunk [SWC-GigabitEthernet0/0/1]port trunk allow-pass vlan 10203040
[SWC-GigabitEthernet0/0/1]quit [SWC]interface GigabitEthernet0/0/2
[SWC-GigabitEthernet0/0/2]port link-type access [SWC-GigabitEthernet0/0/2]port default vlan 10[SWC-GigabitEthernet0/0/2]port mux-vlan enable [SWC-GigabitEthernet0/0/2]quit [SWC]interface GigabitEthernet0/0/4
[SWC-GigabitEthernet0/0/4]port link-type access [SWC-GigabitEthernet0/0/4]port default vlan 20[SWC-GigabitEthernet0/0/4]port mux-vlan enable
[SWD]vlan batch 10203040[SWD]vlan 40
[SWD-vlan40]mux-vlan
[SWD-vlan40]subordinate separate 30[SWD-vlan40]subordinate group 1020[SWD-vlan40]quit
[SWD]interface GigabitEthernet0/0/1
[SWD-GigabitEthernet0/0/1]port link-type trunk [SWD -GigabitEthernet0/0/1]port trunk allow -pass vlan 10203040
[SWD-GigabitEthernet0/0/1]quit [SWD]interface GigabitEthernet0/0/2
[SWD-GigabitEthernet0/0/2]port link-type access [SWD-GigabitEthernet0/0/2]port default vlan 30[SWD -GigabitEthernet0/0/2]port mux -vlan en⁃able
配置完成后,通过连通性测试可以发现,企业内部员工和外来访客均可以访问企业服务器,企业内部同部门员工之间可以互相访问,但员工跨部门不能互访,外来访客不能与企业内部员工之间互访,访客之间也无法互访。

说明通过MUX VLAN 的配置实现了企业网络通信隔离的需求。

4结语
MUX VLAN 技术通过对VLAN 进行分类,在逻辑
上实现了不同类型VLAN 之间的访问隔离,有效解决了单一VLAN 无法实现VLAN 内部隔离的问题,简化了企
业网络中VLAN 的配置,同时也降低了网络管理和维护的复杂度。

参考文献
[1]韩志勇,冯延青.华为S5700三层交换机VLAN 间
通信配置策略探讨[J].通讯世界,2016,(10):
140-141.
[2]李景宇,刘晓华,谢旭生.三层交换机中VLAN 技
术的运用实践探究[J].网络安全技术与应用,
2019,(4):13-14.
[3]朱仕耿.HCNP 路由交换学习指南[M].北京:人
民邮电出版社,2017:408-410.
[4]华为技术有限公司.HCNP 路由交换实验指南[M].
北京:人民邮电出版社,2017:492-498.
88。