MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只允许学习到MAC地址的设备通信。

如图所示，服务器与汇聚层交换机相连，为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信来实现。

对于企业来说，希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度。

MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。 

MUX VLAN的划分：

主VLAN（Principal VLAN）：可以与MUX VLAN内的所有VLAN进行通信。

隔离型从VLAN（Separate VLAN）：只能和Principal VLAN进行通信，和其他类型的VLAN完全隔离，Separate VLAN内部也完全隔离。

互通型从VLAN（Group VLAN）：可以和Principal VLAN进行通信，在同一Group VLAN内的用户也可互相通信，但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。

如图所示，根据MUX VLAN特性，解决方案如下：

企业管理员可以将服务器划分到Principal VLAN。

MUX VLAN技术中只能将一个VLAN设置为Separate VLAN，所以可以将外来访客划分到Separate VLAN。

由于可以将多个VLAN设置为Group VLAN，所以可以将企业员工划分到Group VLAN，企业内部不同部门之间通过划分到不同的VLAN进行隔离。

这样就能够实现：

企业外来访客、企业员工都能够访问企业服务器。

企业员工部门内部可以通信，而企业员工部门之间不能通信。

企业外来访客间不能通信、外来访客和企业员工之间不能互访。