「VLAN」- MUX VLAN(网络隔离,但又能够访问相同主机)

问题描述

既要相互隔离,又要访问相同资源:在企业网络中,各个部门之间网络需要相互独立,通常用 VLAN 技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的 VLAN 技术,不但需要耗费大量的 VLAN ID,还增加网络管理者的工作量同时也增加了维护量。

解决方案

MUX VLAN(Multiplex VLAN)这是用于解决该问题,它提供通过 VLAN 进行网络资源控制的机制。

原理简述

MUX VLAN 分为:
1)Principal VLAN(主 VLAN)
2)Subordinate VLAN(从 VLAN):Subordinate VLAN 又分为 Separate VLAN(隔离型从 VLAN)和 Group VLAN(互通型 从 VLAN); 

          +--- Principal VLAN --------------------------- Principal Port ---- 能与 MUX VLAN 内的所有类型接口进行通信;
          |              
          |             |
          |             |
MUX VLAN -+            绑定                                                    每个 Separate VLAN 必须绑定一个 Principal VLAN;
          |             |          +--- Separate VLAN --- Separate Port ----- 仅能与 Principal Port 进行通信;
          |             |          |                                          和其他类型的接口实现完全隔离;
          |                        |                                          
          +--- Subordinate VLAN ---+
                                   |
                                   |                                          每个 Group VLAN 必须绑定一个 Principal VLAN;
                                   +--- Group VLAN ------ Group Port -------- 能与 Principal Port 进行通信;
                                                                              能与同个组内的端口进行通信;
                                                                              不能与其他组的端口通信;
                                                                              不同与 Separate Port 通信;

特性说明

WIP

应用场景

在交换机上,通过把部门A和部门B所在的VLAN分别设置为互通型从VLAN,把访客区所属的VLAN设置为隔离型从VLAN,把服务器所连接口所属VLAN设置为Principal VLAN,即主VLAN。并且所有从VLAN都与主VLAN绑定。

从而实现如下网络设计要求:
部门A内的用户之间能够实现二层互通。
部门B内的用户之间能够实现二层互通。
部门A与部门B的用户之间二层隔离。
部门A和部门B的员工都能够通过二层访问服务器。
访客区内的任意PC除了能访问服务器之外,不能访问其他任意设备,包括其他访客。

配置案例

实验示例

配置信息如下(SW1 SW4 SW3 配置类似): 

vlan batch 10 20 30 100

vlan 100
 mux-vlan
 subordinate separate 30
 subordinate group 10 20

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 port mux-vlan enable

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
 port mux-vlan enable

interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable

interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 100

路由器的(AR1)配置如下: 

dhcp enable

interface GigabitEthernet0/0/1
 ip address 192.168.10.25 255.255.255.0 
 dhcp select interface
 dhcp server excluded-ip-address 192.168.10.254 

interface LoopBack0
 ip address 1.1.1.1 255.255.255.255

通过实验:
1)通过 MUX VLAN 实现网络隔离,但是能够访问相同服务器;
2)在 MUX VLAN 中,实现与外部通信;

Filed under: K4NZDROID - @ 5:04 PM