目錄

原理概述

實(shí)驗(yàn)?zāi)康?

實(shí)驗(yàn)內(nèi)容

實(shí)驗(yàn)拓?fù)?/p>

1.基本配置

2.使用Hybrid端口實(shí)現(xiàn)網(wǎng)絡(luò)需求

3.使用Mux VLAN實(shí)現(xiàn)網(wǎng)絡(luò)需求?

---

原理概述

? ? ? ? 在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，往往需要所有的終端用戶都能夠訪問某些特定的服務(wù)器，而用戶之間的訪問控制規(guī)則則比較復(fù)雜。在這樣的場景下，使用普通VLAN劃分的方法往往是很難滿足需求的，通常的解決方法是使用Mux VLAN。

? ? ? ? Mux VLAN擁有一個Principal VLAN，即主VLAN，同時擁有多個與主VLAN關(guān)聯(lián)的Subordinate VLAN，即從VLAN。從VLAN又有兩種類型，一種是Separate VLAN，即隔離型從VLAN,另一種是Group VLAN，即互通型從VLAN。任何從VLAN中的設(shè)備都能夠與主VLAN中的設(shè)備進(jìn)行通信。除此之外，互通型從VLAN中的設(shè)備只能與本互通型從VLAN中的設(shè)備進(jìn)行通信，不能與其它互通型從VLAN中的設(shè)備進(jìn)行通信，也不能與隔離型從VLAN中的設(shè)備進(jìn)行通信；隔離型從VLAN中的設(shè)備不能與互通型從VLAN中的設(shè)備進(jìn)行通信，也不能與其它隔離型從VLAN中以及本隔離型從VLAN中的設(shè)備進(jìn)行通信。

Mux VLAN	VLAN類型	所屬端口	通信規(guī)則
Principal VLAN 主VLAN		principal port 主端口	可以和所有VLAN通信
Subordinate VLAN ? ? 從VLAN	Group VLAN 互通型從VLAN	Group port 互通型從端口	可以和Principal VLAN和本VLAN通信
	Separate VLAN 隔離型從VLAN	Separate port 隔離型從端口	只能和Principal VLAN通信

? ? ? ? 另外需要說明的是，交換機(jī)上加入Mux VLAN的端口只能允許一個VLAN的幀通過，允許多個VLAN的幀通過的端口是不能被加入到Mux VLAN中的。

實(shí)驗(yàn)?zāi)康?

理解Mux VLAN的應(yīng)用場景

掌握Mux VLAN的配置方法

實(shí)驗(yàn)內(nèi)容

實(shí)驗(yàn)拓?fù)淙鐖D所示。本實(shí)驗(yàn)?zāi)M了一個公司網(wǎng)絡(luò)，PC-1和PC-2為部門A的終端電腦，PC-3和PC-4為訪客的終端電腦，Server-1為公司服務(wù)器。網(wǎng)絡(luò)需求是：訪客只能與服務(wù)器進(jìn)行通信，不能與其它訪客以及部門A的終端進(jìn)行通信。部門A的終端可以與服務(wù)器進(jìn)行通信，也可以與部門A的其它終端進(jìn)行通信。網(wǎng)絡(luò)管理員需要分別使用Hybrid端口的方法和Mux VLAN的方法來實(shí)現(xiàn)上述需求。

實(shí)驗(yàn)拓?fù)?/h4>

?1.基本配置

根據(jù)拓?fù)鋱D進(jìn)行相應(yīng)的基本配置，PC-1的配置過程如下所示。

在PC-1上使用ping命令測試與PC-2的連通性，如下圖所示。

?

其它設(shè)備的連通性測試過程在此省略。

2.使用Hybrid端口實(shí)現(xiàn)網(wǎng)絡(luò)需求

基于網(wǎng)絡(luò)需求，可以將Server-1劃分至VLAN 10，部門A劃分至VLAN 20，訪客A劃分至VLAN 30，訪客B劃分至VLAN 40。

在SW1上創(chuàng)建相應(yīng)的VLAN。?

[sw1]vlan batch 10 20 30 40

對于SW1的G0/0/1端口和G0/0/2端口，配置端口類型為Hybrid，并要求端口對于收到的Untagged幀添加VLAN 20的標(biāo)簽后進(jìn)行轉(zhuǎn)發(fā)，且在發(fā)送VLAN 10和VLAN 20的幀之前進(jìn)行去標(biāo)簽處理。

[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type hybrid
[sw1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20
[sw1-GigabitEthernet0/0/1]port hybrid pvid vlan 20
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type hybrid
[sw1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20
[sw1-GigabitEthernet0/0/2]port hybrid pvid vlan 20

對于SW1的G0/0/5端口，配置端口類型為Hybrid，并要求端口對于收到的Untagged幀添加VLAN 10的標(biāo)簽后進(jìn)行轉(zhuǎn)發(fā)，且在發(fā)送屬于VLAN 10、VLAN 20、VLAN 30和VLAN 40的幀之前進(jìn)行去標(biāo)簽處理。

[sw1]int g0/0/5
[sw1-GigabitEthernet0/0/5]port link-type hybrid
[sw1-GigabitEthernet0/0/5]port hybrid untagged vlan 10 20 30 40
[sw1-GigabitEthernet0/0/5]port hybrid pvid vlan 10

對于SW1的G0/0/3端口，配置端口類型為Hybrid，并要求端口對于收到的Untagged幀添加VLAN 30的標(biāo)簽后進(jìn)行轉(zhuǎn)發(fā)，且在發(fā)送屬于VLAN 10和VLAN 30的幀之前進(jìn)行去標(biāo)簽處理。?

[sw1]int g0/0/3
[sw1-GigabitEthernet0/0/3]port link-type hybrid
[sw1-GigabitEthernet0/0/3]port hybrid untagged vlan 10 30
[sw1-GigabitEthernet0/0/3]port hybrid pvid vlan 30

對于SW1的G0/0/4端口，配置端口類型為Hybrid，并要求端口對于收到的Untagged幀添加VLAN 40的標(biāo)簽后進(jìn)行轉(zhuǎn)發(fā)，且在發(fā)送屬于VLAN 10和VLAN 40的幀之前進(jìn)行去標(biāo)簽處理。??

[sw1]int g0/0/4
[sw1-GigabitEthernet0/0/4]port link-type hybrid
[sw1-GigabitEthernet0/0/4]port hybrid untagged vlan 10 40
[sw1-GigabitEthernet0/0/4]port hybrid pvid vlan 40?

?配置完成后，在PC-3上使用ping命令測試與PC-1、PC-4、Server-1的連通行性，如下圖所示。

從上圖中可以看到，PC-3只能夠與Server-1進(jìn)行通信。

在PC-1上使用ping命令測試與PC-2、Server-1、PC-3之間的連通性，如下圖所示。

從上圖中可以看到，PC-1能夠與同屬部門A的PC-2進(jìn)行通信，也能夠與Server-1進(jìn)行通信。至此，網(wǎng)絡(luò)的需求完全得到了滿足。

3.使用Mux VLAN實(shí)現(xiàn)網(wǎng)絡(luò)需求?

使用Hybrid端口的方法雖然能夠?qū)崿F(xiàn)網(wǎng)絡(luò)需求，但是，為了隔離不同訪客間的互相訪問，就需要為每一個訪客規(guī)劃一個VLAN,同時SW1上連接Server-1的端口的配置也要進(jìn)行相應(yīng)的修改。顯然，當(dāng)訪客數(shù)量快速增長時，這種方法會變得非常笨拙。下面使用Mux VLAN方法來解決這個問題。

將VLAN 10作為Mux VLAN中的主VLAN，將部門A所屬的VLAN 20作為互通型從VLAN,將所有訪客均劃分至VLAN 30，并將VLAN 30作為隔離型從VLAN。由于SW1上加入Mux VLAN的端口僅能夠允許一個VLAN的幀通過，所以需要將加入Mux VLAN的端口類型修改為Access。

[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 20
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20
[sw1-GigabitEthernet0/0/2]int g0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 30
[sw1-GigabitEthernet0/0/3]int g0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 30
[sw1-GigabitEthernet0/0/4]int g0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 10

在VLAN 10的視圖下設(shè)置VLAN10為主VLAN,設(shè)置VLAN 20為互通型從VLAN,設(shè)置VLAN 30為隔離型從VLAN。?

[sw1]vlan 10
[sw1-vlan10]mux-vlan
[sw1-vlan10]subordinate group 20
[sw1-vlan10]subordinate separate 30

然后，在所有加入了Mux VLAN的端口下使能MUX VLAN的功能。

[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port mux-vlan enable
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port mux-vlan enable
[sw1-GigabitEthernet0/0/2]int g0/0/3
[sw1-GigabitEthernet0/0/3]port mux-vlan enable
[sw1-GigabitEthernet0/0/3]int g0/0/4
[sw1-GigabitEthernet0/0/4]port mux-vlan enable
[sw1-GigabitEthernet0/0/4]int g0/0/5
[sw1-GigabitEthernet0/0/5]port mux-vlan enable

?接下來，在PC-3上使用ping命令測試與PC-1、PC-4、Server-1的連通性，如下圖所示。

?從上圖可以看到，PC-3無法與部門A的PC-1進(jìn)行通信，也無法與屬于同一個VLAN的訪客B（PC-4）進(jìn)行通信，只能夠與屬于主VLAN的Server-1進(jìn)行通信。

在PC-1上使用ping命令測試與PC-2、Server-1、PC-3的連通性，如下圖所示。

從上圖中可以看到，PC-1無法與訪客A（PC-3）進(jìn)行通信，但可以與屬于同一部門A的PC-2進(jìn)行通信，也可以與屬于主VLAN的Server-1進(jìn)行通信。至此，網(wǎng)絡(luò)的需求完全得到了滿足。