Vlan mux что это

Что такое MUX VLAN

Multiplex VLAN (MUX VLAN) – это метод контроля сетевых ресурсов на базе виртуальных сетей ( VLAN ). Этот метод осуществляет изоляцию подключенных устройств на уровне коммутации ( L 2)

MUX VLAN состоит из нескольких виртуальных сетей – основной (Principal VLAN) и подчиненных (Subordinate VLAN)

Порты, принадлежащие основной виртуальной сети (Principal VLAN), функционируют так же, как принадлежащие обычной виртуальной сети – они могут обмениваться трафиком с любым другим устройством в MUX VLAN. В классических сценариях таким образом подключаются доступные всем устройства, например, серверы и принтеры

Подчиненные виртуальные сети делятся на два типа: групповые виртуальные сети (Group VLAN) и разделенные (Separate VLAN)

Устройства, подключенные к портам Group VLAN, могут обмениваться трафиком как с устройствами внутри своей группы (внутри MUX VLAN может быть создано множество Group VLAN), так и с устройствами основной виртуальной сети (Principal VLAN). В классических сценариях таким образом изолируются друг от друга отделы компании

Устройства, подключенные к портам Separate VLAN, могут обмениваться трафиком только с устройствами основной виртуальной сети (Principal VLAN), то есть максимально изолированы

Конечно, этот метод не позволяет реализовать сложных сценариев изоляции и фильтрации сегментов, однако отличается простотой настройки, отсутствием необходимости аккуратного планирования адресации IP-сегментов и сложных правил фильтрации между ними, характерными для сегментации сети с помощью классических виртуальных сетей с L3 взаимодействием между ними

Источник

Vlan mux что это

Продукты, решения и услуги для организаций

MUX VLAN

Используемые сетевые элементы

Другие сетевые элементы не требуются.

Поддержка лицензий

MUX VLAN является базовой функцией коммутатора и она не находится под контролем лицензии.

Поддержка версий

V200R005C00, V200R006C00, V200R007C00, V200R007C20, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

V200R010C00, V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

Характеристики зависимости и ограничения

Максимальное количество основных VLAN на всем устройстве

Максимальное количество отдельных VLAN в каждой основной VLAN

Максимальное количество групповых VLAN в каждой основной VLAN

Каждая основная VLAN поддерживает в общей сложности 128 отдельных и групповых VLAN. То есть, если сконфигурирована одна отдельная VLAN, можно создать максимум 127 групп VLAN.

Если сконфигурированы DHCP snooping и MUX VLAN, при этом DHCP snooping настроено в подчиненной VLAN, а клиенты DHCP настроены в главной VLAN, клиенты DHCP могут не получить IP-адреса. В этом случае настройте DHCP-сервер в главной VLAN.

Источник

Русские Блоги

Знакомство с расширенными функциями коммутатора: MUX VLAN, функция изоляции порта, функция безопасности порта, простой принцип и конфигурация

Каталог статей

MUX VLAN

MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами через VLAN. Механизм изоляции трафика уровня 2, предоставляемый MUX VLAN, может реализовать связь между внутренними сотрудниками предприятия, а взаимные посещения между внешними посетителями предприятия изолированы.

Сценарии применения MUX VLAN

Как показано на рисунке выше, чтобы понять, что все пользователи могут связываться с сервером, я могу использовать маршрутизацию между VLAN.
Для компаний есть надежда, что сотрудники внутри компании могут получить доступ друг к другу, но для обеспечения конфиденциальности клиентов и изоляции внешних посетителей компании мы можем настроить каждого посетителя на использование другого VLAN для достижения. Однако, если на предприятии работает большое количество иностранных сотрудников, ему не только необходимо использовать большое количество идентификаторов VLAN (диапазон VLAN: 0

4095), но и усложняется обслуживание сети.
Механизм изоляции трафика уровня 2, предоставляемый MUX VLAN, может обеспечивать связь между внутренними сотрудниками предприятия, а взаимные посещения между внешними посетителями предприятия изолированы.

Основные концепции MUX VLAN

MUX VLAN можно разделить на:

Примечание. Только одна VLAN может быть установлена ​​в качестве отдельной VLAN в технологии MUX VLAN. Вы можете установить несколько VLAN в качестве групповых VLAN.

Экспериментальная конфигурация

Согласно принципу MUX VLAN и экспериментальным требованиям, мы можем предложить следующие решения:

Команда настройки

Коммутаторы уровня доступа (SWC, SWD) имеют такую ​​же конфигурацию, вот SWC в качестве примера:

проверка: использовать PING Проверка команды, каждый хост может связываться с сервером; один и тот же отдел внутри предприятия может связываться, но разные отделы не могут связываться; внешние посетители не могут общаться.

Изоляция порта

Чтобы достичь изоляции уровня 2 между пакетами, пользователи могут добавлять разные порты в разные сети VLAN, но это приведет к потере ограниченных ресурсов VLAN. Функция изоляции портов может реализовать изоляцию между портами в одной VLAN. Функция изоляции портов предоставляет пользователям более безопасное и гибкое сетевое решение.

Основные концепции изоляции портов

Как показано на рисунке ниже:

Мы можем сделать это с помощью изоляции портов. Просто установите внешних сотрудников в группу изоляции: пользователи в одной группе изоляции портов не могут взаимодействовать на втором уровне, но в разных группах изоляции портов. Пользователи порта могут обмениваться данными в обычном режиме; пользователи без изоляции порта могут также общаться с пользователями в группе изоляции порта.

Изоляция порта делится на два режима: изоляция уровня 2 и взаимная связь уровня 3 и изоляция уровня 2 и уровня 3:

Примечания к конфигурации:
не является особым требованием. Рекомендуется, чтобы пользователи не добавляли восходящий порт и нисходящий порт в одну и ту же группу изоляции портов, в противном случае восходящий порт и нисходящий порт не могут взаимодействовать друг с другом.

Экспериментальная конфигурация

Согласно экспериментальным требованиям, мы можем настроить группы изоляции для внешних сотрудников, а затем добавить соответствующие порты коммутатора.

Команда настройки

Базовая конфигурация VLAN берет LSW5 в качестве примера:

Установите группу изоляции, вот SW4 в качестве примера:

Команда просмотра:

в состоянии пройти ping Проверка команды.

Безопасность порта

В сети с высокими требованиями к безопасности коммутатор может включить функцию безопасности порта, чтобы запретить устройствам с недопустимыми MAC-адресами доступ к сети; когда количество изученных MAC-адресов достигнет верхнего предела, новые MAC-адреса не будут изучены, только MAC-адреса могут быть изучены Связь с устройством.

Основные концепции безопасности порта

Когда в сети есть нелегальные пользователи, можно использовать технологию защиты портов для обеспечения безопасности сети.

Безопасность порта часто используется в следующих сценариях:

Как показано на рисунке, решение выглядит следующим образом:

Тип безопасности порта:

Безопасность порта преобразует динамический MAC-адрес, полученный интерфейсом, в безопасный MAC-адрес (включая безопасный динамический MAC, безопасный статический MAC и липкий MAC), чтобы предотвратить связь нелегальных пользователей с коммутатором через этот интерфейс, тем самым повышая безопасность устройства.

Действие по ограничению безопасности порта

После того, как количество безопасных MAC-адресов на интерфейсе достигнет предела, если получен пакет с несуществующим исходным MAC-адресом, служба безопасности порта считает, что существует незаконная пользовательская атака, и интерфейс будет защищен в соответствии с настроенным действием.

Экспериментальная конфигурация

Конфигурация VLAN здесь не повторяется.

Настраиваем технологию статической привязки безопасности порта на LSW8:

Настраиваем на LSW9 технологию динамического MAC-адреса безопасности порта:

Посмотреть:
Обратите внимание, что если вы посмотрите прямо, вы обнаружите, что в таблице MAC-адресов нет информации. ping После того, как команда выполнит передачу данных, проверьте таблицу MAC-адресов коммутатора.
используется в LSW8 display mac-address sticky Просмотрите информацию таблицы связанных MAC-адресов:

Использовать на LSW9 display mac-address security Просмотрите информацию таблицы связанных MAC-адресов:

Источник

Настройка MUX Vlan

Multiplex VLAN (MUX VLAN) – аналог технологии Private VLAN у Cisco. MUX VLAN позволяет изолировать Layer 2 трафик на разных портах коммутатора, которые находятся в одном широковещательном домене.

Существуют три типа MUX VLAN портов:

1. Principal – это порт, который способен обмениваться данными между любыми интерфейсами, включая separate и group порты.

2. Separate – это порт, который полностью изолирован от других портов внутри одного и того же vlan, но не от principal портов. MUX VLAN блокирует весь трафик, идущий в сторону separate портов, кроме трафика со стороны principal портов; пакеты со стороны separate портов могут передаваться только в сторону principal портов.

3. Group – это группа портов, которые могут обмениваться данными между собой и principal портами, эти интерфейсы отделены на втором уровне моделиOSI от всех остальных group интерфейсов, а также separate портов внутри MUX VLAN.

Рассмотрим следующую топологию:

1. Хосты в VLAN 2 должны иметь доступ друг к другу и к серверу, который находится в VLAN 4

2. Хосты в VLAN 3 должны иметь доступ только к серверу в VLAN 4

3. Хосты в VLAN 2 не должны иметь доступ к хостам в VLAN 3.

Приступим к настройкам. Согласно нашей топологии, на коммутатореSwitchA создадим три VLAN:

Далее нам необходимо настроить Vlan 4 как principal, Vlan 2 как group и Vlan 3 как separate :

vlan 4
mux-vlan
subordinate group 2
subordinate separate 3

И наконец, нам необходимо добавить порты коммутатора в соответствующие Vlan, а также активировать на них MUX VLAN :

interface GigabitEthernet 0/0/1
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet 0/0/2
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet 0/0/3
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet 0/0/5
port link-type access
port default vlan 4
port mux-vlan enable

Теперь можем проверить условия, которыми мы задались в самом начале.

Хосты из Vlan 2 должны иметь доступ друг к другу и к серверу:

Ping 192.168.1.20: 32 data bytes, Press Ctrl_C to break
From 192.168.1.20: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.1.20: bytes=32 seq=2 ttl=128 time=31 ms
From 192.168.1.20: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.1.20: bytes=32 seq=4 ttl=128 time=31 ms

PC1> ping 192.168.1.50

Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=32 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time

Хосты в Vlan 3 должны иметь доступ к серверу, но не друг к другу:

Ping 192.168.1.40: 32 data bytes, Press Ctrl_C to break
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable
From 192.168.1.30: Destination host unreachable

PC3> ping 192.168.1.50

Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=15 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time=32 ms
From 192.168.1.50: bytes=32 seq=3 ttl=128 time ping 192.168.1.50

Ping 192.168.1.50: 32 data bytes, Press Ctrl_C to break
From 192.168.1.50: bytes=32 seq=1 ttl=128 time=16 ms
From 192.168.1.50: bytes=32 seq=2 ttl=128 time=15 ms
From 192.168.1.50: bytes=32 seq=3 ttl=128 time=16 ms
From 192.168.1.50: bytes=32 seq=4 ttl=128 time=31 ms

Хосты в Vlan 2 не должны иметь доступ к хостам в Vlan 3:

Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable

PC1> ping 192.168.1.40

Ping 192.168.1.40: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable
From 192.168.1.10: Destination host unreachable

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта? Register

Источник

Use MUX VLAN to manage a device with only one vlanif from 2 different VLAN’s

Дата выпуска: 2019-07-09 | Просмотры: 3484 | Загрузки: 0 | Автор: s84076403 | № документа: EKB1000523276

Описание проблемы

This KB help you to manage a device that can support only one VLANif interface from 2 different vlan’s.

This scenario can ocure when for example there are 2 companies and one company buy a part of the network infrastructure of another company and during transition period both company need to manage same devices.

Обработка

vlan 4093
mux-vlan
subordinate group 400

port mux-vlan enable vlan 400

Remember you have to enable mux-vlan function on each transit interface, for example if you
have one more switch to reach managed device and you have a trunck interface between, then you have to enable on it also.

Решение

vlan batch 4093 400

Assign first and second ip to VLANif interface:

ip address 10.10.2.205 255.255.252.0

ip address 10.2.10.15 255.255.252.0 sub

Configure Principal and subordinate VLAN:

subordinate group 400

Enable mux-vlan function on subordinate VLAN interface and on transit interfaces if there are any.

port link-type access

port default vlan 400

port mux-vlan enable vlan 400

Now you should be able to access the device from both VLAN’s.

Источник