MUX VLAN 详解及设备配置（华为交换机S5700）

新生代农民工11

201人浏览 · 2026-06-15 15:00:54

新生代农民工11 · 2026-06-15 15:00:54 发布

MUX VLAN 详解及设备配置（华为交换机）

文章目录

MUX VLAN 详解及设备配置（华为交换机）

MUX VLAN（Multiplex VLAN，多路复用VLAN）是华为交换机提供的一种二层流量隔离机制。它通过将端口划分到不同的VLAN类型中，实现在 同一个IP网段下，既能控制用户之间的互通与隔离，又能确保所有用户都能访问特定资源（如服务器或网关）的需求。

核心概念与通信规则

MUX VLAN将VLAN划分为一个主VLAN和多个从VLAN，从VLAN又细分为互通型从VLAN和隔离型从VLAN。它们的通信规则如下表所示：

VLAN类型	端口类型	与主VLAN端口通信	同VLAN内端口互访	与其他从VLAN端口通信
主VLAN (Principal)	Principal Port	✅ 可以	✅ 可以	✅ 可以（与所有从VLAN）
互通型从VLAN (Group)	Group Port	✅ 可以	✅ 可以	❌ 不可以
隔离型从VLAN (Separate)	Separate Port	✅ 可以	❌ 不可以	❌ 不可以

简单理解就是：

主VLAN：核心枢纽，可以和所有人通信（通常连接服务器、网关）。
互通型从VLAN：小组内部可以互相交流，也能和“核心”交流，但小组之间互不干扰（通常连接同一部门的员工）。
隔离型从VLAN：彼此完全隔离，只能和“核心”交流（通常连接访客、不同客户）。

配置详解（基于华为交换机）

以下配置以华为S5700系列交换机为例，采用通用的Access接口配置方式。

1. 配置思路

创建业务所需的VLAN。
配置主VLAN，启用其MUX-VLAN功能，并指定从VLAN。
配置各物理接口，将其加入对应的VLAN，并开启端口的MUX-VLAN功能。

2. 配置实例

现网场景： 专网业务（服务器）连接在主VLAN 100，A校区内网业务属于同一个Group VLAN 10（可以互访），B校区和C校区属于Separate VLAN 20（互相隔离）。

配置步骤

**第一步：创建VLAN**

<Huawei>system-view
[Huawei]vlan batch 100 10 20

第二步：配置MUX VLAN关系
进入主VLAN视图，将其设置为MUX VLAN，并指定其从VLAN。


[Huawei]vlan 100
[Huawei-vlan100]mux-vlan                      # 设置VLAN 100为主VLAN
[Huawei-vlan100]subordinate group 101        # 设置VLAN 10为互通型从VLAN
[Huawei-vlan100]subordinate separate 20      # 设置VLAN 20为隔离型从VLAN
[Huawei]quit


第三步：配置接口并启用MUX VLAN功能
将连接上行网关和服务器的接口配置为主VLAN端口。
interface gigabitethernet 0/0/24
port link-type access
port default vlan 100
port mux-vlan enable vlan 100    # 关键：使能端口的MUX VLAN功能
quit


将连接A校区内网的接口配置为互通型VLAN端口。
interface range gigabitethernet 0/0/1 to gigabitethernet 0/0/10
port link-type access
port default vlan 10
port mux-vlan enable vlan 10
quit

将连接B校区和C校区专线的接口配置为隔离型从VLAN端口。
interface range gigabitethernet 0/0/11 to gigabitethernet 0/0/20
port link-type access
port default vlan 20
port mux-vlan enable vlan 20
quit


第四步：配置网关接口实现网络转发功能
[Huawei]interface vlanif 100
[Huawei-Vlanif100]ip address  192.168.1.254 24
[Huawei-Vlanif100]quit


第五步：检查配置结果 
Server和A校区内网接口、B校区专线、C校区专线二层流量互通。

A校区内网二层流量互通。

B校区和C校区专线二层流量不通。

A校区内网和B校区、C校区专线二层流量不通。

3. 关键配置命令说明

mux-vlan：在VLAN视图下执行，用于将当前VLAN指定为MUX VLAN中的主VLAN。
subordinate group { vlan-id1 [ to vlan-id2 ] }：在主VLAN视图下执行，指定一个或多个VLAN作为互通型从VLAN。一个主VLAN下最多可以配置128个Group VLAN。
subordinate separate { vlan-id }：在主VLAN视图下执行，指定一个VLAN作为隔离型从VLAN。一个主VLAN下只能配置一个Separate VLAN。
port mux-vlan enable vlan vlan-id：在接口视图下执行，用于开启端口的MUX VLAN功能，并指明该端口所属的VLAN（无论是主VLAN还是从VLAN）。

重要注意事项

三层接口限制：不能为从VLAN（无论是Group VLAN还是Separate VLAN）创建VLANIF（三层逻辑）接口。但可以且推荐为主VLAN创建VLANIF接口，作为下属设备的网关。
功能冲突：MUX VLAN功能与端口安全、MAC地址认证、802.1X认证等功能在同一个接口上互斥，不能同时开启。
PVID限制：如果接口是Trunk模式，通过port trunk pvid vlan命令设置的PVID，不能是MUX VLAN中的任何一个VLAN ID。
汇聚层部署：MUX VLAN不仅能部署在接入层交换机，也完全可以部署在汇聚层交换机。此时，汇聚交换机作为网关，其下行接口通常配置为Trunk模式，允许相关VLAN通过，并同样在接口下启用port mux-vlan enable命令。
验证命令：配置完成后，可以使用 display mux-vlan 命令查看MUX VLAN的配置和接口状态，确认配置是否正确生效。