Multiplex VLAN (MUX VLAN) – аналог технологии Private VLAN у Cisco. MUXVLAN позволяет изолировать Layer 2 трафик на разных портах коммутатора, которые находятся в одном широковещательном домене.
Существуют три типа MUX VLAN портов:
1. Principal – это порт, который способен обмениваться данными между любыми интерфейсами, включая separate и group порты.
2. Separate – это порт, который полностью изолирован от других портов внутри одного и того же vlan, но не от principal портов. MUX VLAN блокирует весь трафик, идущий в сторону separate портов, кроме трафика со стороны principal портов; пакеты со стороны separate портов могут передаваться только в сторону principal портов.
3. Group – это группа портов, которые могут обмениваться данными между собой и principal портами, эти интерфейсы отделены на втором уровне моделиOSI от всех остальных group интерфейсов, а также separate портов внутри MUX VLAN.
Рассмотрим следующую топологию:
Зададимся условиями:
1. Хосты в VLAN 2 должны иметь доступ друг к другу и к серверу, который находится в VLAN 4
2. Хосты в VLAN 3 должны иметь доступ только к серверу в VLAN 4
3. Хосты в VLAN 2 не должны иметь доступ к хостам в VLAN 3.
Приступим к настройкам. Согласно нашей топологии, на коммутатореSwitchA создадим три VLAN:
vlan batch 2 3 4
Далее нам необходимо настроить Vlan 4 как principal, Vlan 2 как group и Vlan 3 как separate:
vlan 4
mux-vlan
subordinate group 2
subordinate separate 3
И наконец, нам необходимо добавить порты коммутатора в соответствующие Vlan, а также активировать на них MUX VLAN:
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet 0/0/2
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet 0/0/3
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet 0/0/5
port link-type access
port default vlan 4
port mux-vlan enable
Проверим конфигурацию:
[SwitchA] display vlan
The total number of vlans is : 4
-------------------------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
-------------------------------------------------------------------------------------------------
VID Type Ports
-------------------------------------------------------------------------------------------------
1 common UT:GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) GE0/0/9(D)
GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) GE0/0/13(D)
GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) GE0/0/17(D)
GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) GE0/0/21(D)
GE0/0/22(D) GE0/0/23(D) GE0/0/24(D)
2 mux-sub UT:GE0/0/1(U) GE0/0/2(U)
3 mux-sub UT:GE0/0/3(U) GE0/0/4(U)
4 mux UT:GE0/0/5(U)
[SwitchA] display mux-vlan
Principal Subordinate Type Interface
------------------------------------------------------------------------------------------------------
4 - principal GigabitEthernet0/0/5
4 3 separate GigabitEthernet0/0/3 GigabitEthernet0/0/4
4 2 group GigabitEthernet0/0/1 GigabitEthernet0/0/2
------------------------------------------------------------------------------------------------------
Теперь можем проверить условия, которыми мы задались в самом начале.
Хосты из Vlan 2 должны иметь доступ друг к другу и к серверу:
PC1> ping 192.168.1.20
Ping 192.168.1.20: 32 data bytes, Press Ctrl_C to break
From 192.168.1.20: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.1.20: bytes=32 seq=2 ttl=128 time=31 ms
From 192.168.1.20: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.1.20: bytes=32 seq=4 ttl=128 time=31 ms
PC1> ping 192.168.1.50
Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=32 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time<1 ms
From 192.168.1.50: bytes=32 seq=3 ttl=128 time=31 ms
From 192.168.1.50: bytes=32 seq=4 ttl=128 time=15 ms
Хосты в Vlan 3 должны иметь доступ к серверу, но не друг к другу:
PC3> ping 192.168.1.40
Ping 192.168.1.40: 32 data bytes, Press Ctrl_C to break
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable
PC3> ping 192.168.1.50
Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=15 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time=32 ms
From 192.168.1.50: bytes=32 seq=3 ttl=128 time<1 ms
From 192.168.1.50: bytes=32 seq=4 ttl=128 time<1 ms
PC4> ping 192.168.1.50
Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=16 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time=15 ms
From 192.168.1.50: bytes=32 seq=3 ttl=128 time=16 ms
From 192.168.1.50: bytes=32 seq=4 ttl=128 time=31 ms
Хосты в Vlan 2 не должны иметь доступ к хостам в Vlan 3:
PC1> ping 192.168.1.30
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
PC1> ping 192.168.1.40
Ping 192.168.1.40: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
