🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~

✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】

🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋

🎉欢迎关注💗一起学习👍一起讨论⭐一起进步📝文末有彩蛋

🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

干货：作用和原理

作用：MUX VLAN 提供了一种在 VLAN 内的端口间进行二层流量隔离的机制。

需求：在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。通过MX VLAN提供的二层流 量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔
离的。

原理：MUX VLAN 分为主 VLAN 和子 VLAN， 子 VLAN又分为 隔离 VLAN 和组VLAN。

隔离 VLAN 间不可通信。

一、产生背景：

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

例如，在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。

为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信实现。如果企业规模很大，拥有大量的用户，那么就要为不能互相访问的用户都分配VLAN，这不但需要耗费大量的VLAN ID，还增加了网络管理者的工作量同时也增加了维护量。

通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流，而企业客户之间是隔离的。

二、基本概念

MUX VLAN分为 主VLAN（Principal VLAN） 和 子VLAN（Subordinate VLAN）。

子 VLAN（Subordinate VLAN）又分为隔离 VLAN（Separate VLAN）和组 VLAN（Group VLAN）。

主VLAN：所属接口 Principal port（主接口）。Principal port可以和MUX VLAN内的所有接口进行通信。

隔离VLAN：所属接口 Separate port（隔离接口）。只能和 Principal port 进行通信，和其他类型的接口实现完全隔离。每个隔离型从VLAN必须绑定一个主VLAN。

组VLAN：所属接口Group port（组接口）。可以和 Principal port 进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或 Separate port 通信。每个组 VLAN 必须绑定一个主VLAN。

三、MUX VLAN 实例配置:

1. 配置注意事项：

1. 如果指定 VLAN 已经用于主 VLAN 或从 VLAN，那么该VLAN 不能再用于创建 VLAN IF 接口，或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

2. 禁止接口 MAC 地址学习功能或限制接口 MAC 地址学习数量会影响 MUX VLAN 功能的正常使用。

3. 配置 MUX VLAN 的接口上不能配置接口安全功能、MAC 认证功能、802.1x 认证功能。

4. 当同时配置 DHCP Snooping 和 MUX VLAN 时，如果 DHCP 服务端在 MUX VLAN 的子VLAN 侧，而DHCP 客户点在主 VLAN 侧，则会导致 DHCP 客户端不能正常获取 IP 地址。所以 DHCP 服务端配置在主VLAN侧。

5. 接口使用 MUX VLAN 功能后，该接口不可再配置 VLAN Mapping 和 VLAN Stacking。

2. 拓扑：

3. 配置：

这里只给出了核心配置

1. 定义主VLAN

[Huawei] vlan 100
[Huawei-vlan100] mux-vlan

2.关联子VLAN

[Huawei-vlan100] subordinate group 10        关联组VLAN 
[Huawei-vlan 100] subordinate separate 20        关联隔离VLAN 

3. 所有access接口开启mux-vlan功能

[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1] port mux-vlan enable