路由基础之端口隔离和MUX VLAN

路由基础之端口隔离和MUX VLAN

DHCP接口地址池端口隔离

原理概述：

端口隔离是为了实现​​报文​​​之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离技术也有缺点：一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间​​级连​​；

实验目的：

以太交换网络中为了实现报文之间的二层隔离，用户通常将不同的端口加入不同的VLAN，实现二层广播域的隔离。

大型网络中，业务需求种类繁多，只通过VLAN实现报文二层隔离，会浪费有限的VLAN资源。

如下图所示，由于某种业务需求，PC1与PC2虽然属于同一个VLAN ，但是要求它们在二层不能互通（但允许三层互通），PC1与PC3在任何情况下都不能互通，但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢？

采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

实验拓扑：

缺省情况下，同属于一个VLAN的PC1和PC2能够二层互通。

将GE0/0/1和GE0/0/2端口部署到同一个端口隔离组，则PC1与PC2无法实现二层互通。

配置命令：

配置DHCP接口地址池：

SW1:

#interface Vlanif10 dhcp select relay dhcp relay server-ip 192.168.10.1#interface Vlanif20 dhcp select relay dhcp relay server-ip 192.168.20.1#interface Vlanif40 dhcp select relay dhcp relay server-ip 192.168.40.1#interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10 20 40#interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 2 to 4094

配置完成后，查看主机是否可以获取到IP地址及相关信息

查看PC1，可以看到已经获取到了IP地址及相关信息

SW2:

#interface Ethernet0/0/1 port link-type access port default vlan 10#interface Ethernet0/0/2 port link-type access port default vlan 10#interface Ethernet0/0/3 port link-type trunk port trunk allow-pass vlan 10

SW3:

#interface Ethernet0/0/1 port link-type access port default vlan 20#interface Ethernet0/0/2 port link-type access port default vlan 20#interface Ethernet0/0/3 port link-type trunk port trunk allow-pass vlan 20

SW4:

#interface Ethernet0/0/1 port link-type access port default vlan 40#interface Ethernet0/0/2 port link-type access port default vlan 40#interface Ethernet0/0/3 port link-type trunk port trunk allow-pass vlan 40

配置完成后查看连通性是否正常

PC3 ping PC4

PC5 ping PC6

端口隔离：

端口隔离组Port-isolate Group

在SW2上接口模式输入：

e0/0/1port-isolate enable group 1e0/0/2port-isolate enable group 1

将端口加入到隔离组1，使其之间不能相互通信

PC2的IP地址信息

PC1 ping PC2

请求消息不可达；

实验结束

MUX VLAN 的配置

原理概述：

在企业网络中，各个部门之间网络需要相互独立，通常用VLAN技术可以实现这一要求。如果企业规模很大，且拥有大量的合作伙伴，要求各个合作伙伴能够访问公司服务器，但是不能相互访问，这时如果使用传统的VLAN技术，不但需要耗费大量的VLAN ID，还增加了网络管理者的工作量同时也增加了维护量。

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

MUX VLAN分为Principal VLAN（主VLAN）和Subordinate VLAN（从VLAN），Subordinate VLAN又分为Separate VLAN（隔离型从VLAN）和Group VLAN（互通型从VLAN）。

Principal port可以和MUX VLAN内的所有接口进行通信。

Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个Separate VLAN必须绑定一个Principal VLAN。

Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。

每个Group VLAN必须绑定一个Principal VLAN。

实验拓扑：

配置命令：

SW：

#interface Ethernet0/0/1 port link-type access port default vlan 10 port mux-vlan enable#interface Ethernet0/0/2 port link-type access port default vlan 10 port mux-vlan enable#interface Ethernet0/0/3 port link-type access port default vlan 20 port mux-vlan enable#interface Ethernet0/0/4 port link-type access port default vlan 20 port mux-vlan enable#interface Ethernet0/0/5 port link-type access port default vlan 30 port mux-vlan enable#interface Ethernet0/0/6 port link-type access port default vlan 30 port mux-vlan enable#interface Ethernet0/0/7 port link-type access port default vlan 100 port mux-vlan enable#vlan 100 mux-vlan subordinate separate 30 subordinate group 10 20

PC都可以访问服务器

互通性VLAN：

同一个Group之间可以相互通信

不同Group之间不能相互通信

隔离性VLAN：

Seporate VLAN：

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。