二層交換網絡當中的高級內容（可跟做）

1、MUX VLAN

1.1、爲什麼會有MUX VLAN？應用場景？

應用場景？

企業外來訪客、企業員工都能夠訪問企業服務器。
企業員工部門內部可以通信，而企業員工部門之間不能通信。
企業外來訪客間不能通信、外來訪客和企業員工之間不能互訪。

爲什麼需要有MUX VLAN技術

對於企業來說，希望企業內部員工之間可以互相訪問，而企業外來訪客之間是隔離的，可通過配置每個訪客使用不同的VLAN來實現。但如果企業擁有大量的外來訪客員工，此時不但需要耗費大量的VLAN ID，還增加了網絡維護的難度

總結：

MUX VLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信，而企業外來訪客之間的互訪是隔離的

1.2、MUX VLAN的實現原理

MUX VLAN的劃分：

 主VLAN（Principal VLAN）：可以與MUX VLAN內的所有VLAN進行通信。
 隔離型從VLAN（Separate VLAN）：和其他類型的VLAN完全隔離，Separate VLAN內部也完全隔離。
注意點：
1、 MUX VLAN技術中只能將一個VLAN設置爲Separate VLAN，所以可以將外來訪客劃分到Separate VLAN
 互通型從VLAN（Group VLAN）：可以和Principal VLAN進行通信，在同一Group VLAN內的用戶也可互相通信，但不能和其他Group VLAN或Separate VLAN內的用戶通信的VLAN。

1.3、MUX VLAN的配置思路

配置思路

1、 首先在交換機上面創建相應vlan 並把相應的終端設備劃入到對應vlan當中 把終端設備都配置在同一個網段下面 測試連通性 都是可以相互通信的
2、 在主VLAN中配置MUX VLAN的相應配置
3、 在連接相應終端設備的接口下面需要使能MUX VLAN功能
port mux-vlan enable
4、進行實驗測試

SWB交換機的配置文件

sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Client VLAN
vlan 40                                     //在主VLAN下進行配置MUX VLAN的配置
 description Principal VLAN
 mux-vlan                                       //將VLAN 40設置爲Principal VLAN
 subordinate separate 30               //將VLAN 30設置爲Separate VLAN（隔離從vlan）
 subordinate group 10 20              //將VLAN 10與VLAN 20設置爲Group VLAN（互通型vlan）
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 40
 port mux-vlan enable                  //在接口下開啓MUX VLAN功能

SWC交換機的配置文件

sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Cilent VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
 port mux-vlan enable

SWD的配置

sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing
vlan 30
 description Client VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
 port mux-vlan enable

2、端口隔離

2.1、爲什麼會有端口隔離？應用場景？

可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到同一隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案

2.2、端口隔離的原理

同一端口隔離組內的用戶不能進行二層的通信，但是不同端口隔離組內的用戶可以進行正常通行；未劃分端口隔離的用戶也能與端口隔離組內的用戶正常通信

端口隔離分爲二層隔離三層互通和二層三層都隔離兩種模式：

 如果用戶希望隔離同一VLAN內的廣播報文，但是不同端口下的用戶還可以進行三層通信，則可以將隔離模式設置爲二層隔離三層互通。

 如果用戶希望同一VLAN不同端口下用戶徹底無法通信，則可以將隔離模式配置爲二層三層均隔離。

2.3、端口隔離的配置思路

需求：

同項目組的員工都被劃分到VLAN 10中，其中屬於企業內部的員工允許相互通信，屬於企業外部的員工不允許相互通信，外部員工與內部員工之間允許通信

SWC的配置文件

sysname SWC
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
 port-isolate enable
#

SWD的配置文件

sysname SWD
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
#

SWB的配置文件

sysname SWB
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#

查看SWC的端口隔離的鏈路接口

<SWC>display port-isolate group 1 
  The ports in isolate group 1:
GigabitEthernet0/0/1     GigabitEthernet0/0/2 
GigabitEthernet0/0/3     GigabitEthernet0/0/4 

如何實現PC2在vlan 10當中 網關是192.168.1.254 PC5在vlan 20當中 網關是192.168.2.254 通過配置二層隔離三層互通模式來實現（默認情況端口隔離是該模式）PC2和PC5之間的互通

port-isolate mode all

該命令的作用就是配置端口隔離的模式爲二層和三層都無法通信
PC2訪問不了PC5

總結：

配置命令：
 port-isolate enable命令用來使能端口隔離功能，默認將端口劃入隔離組group 1。
 如果希望創建新的group組，使用命令port-isolate enable group後面接所要創建的隔離組組號。
 可以在系統視圖下執行port-isolate mode all命令配置隔離模式爲二層三層都隔離。
 使用display port-isolate group all命令可以查看所有創建的隔離組情況。
 使用display port-isolate group X（組號）命令可以查看具體的某一個隔離組接口情況。

3、端口安全

3.1、爲什麼會有端口安全？應用場景？

端口安全經常使用在下列場景中：

應用在接入層設備，通過配置端口安全可以防止仿冒用戶從其他端口。
應用在匯聚層設備，通過配置端口安全可以控制接入用戶的數量。

3.2、端口安全的技術原理

1、接入層交換機的每個接口都開啓端口安全功能，並綁定接入用戶的MAC地址與VLAN信息，當有非法用戶通過已配置端口安全的接口接入網絡時，交換機會查找對應的MAC地址表，發現非法用戶的MAC地址與表中的不符，將數據包丟棄。
2、匯聚層交換機開啓端口安全功能，並設置每個接口可學習到的最大MAC地址數，當學習到的MAC地址數達到上限時，其他的MAC地址的數據包將被丟棄。

端口安全類型

端口安全（Port Security）通過將接口學習到的動態MAC地址轉換爲安全MAC地址（包括安全動態MAC、安全靜態MAC和Sticky MAC）阻止非法用戶通過本接口和交換機通信，從而增強設備的安全性。

端口安全限制動作

接口上安全MAC地址數達到限制後，如果收到源MAC地址不存在的報文，端口安全則認爲有非法用戶，就會根據配置的動作對接口做保護處理。缺省情況下，保護動作是restrict

3.3、端口安全的配置思路

園區網絡要求保障接入用戶的安全性。財務部人員流動性較低，可以使用端口安全技術靜態綁定接入用戶的MAC與VLAN信息；市場部的人員流動性較高，使用端口安全技術的動態MAC地址學習保證接入用戶的合法性
在SWB上使用命令查看綁定的MAC地址表

<SWB>display mac-address sticky 
MAC address table of slot 0:
--------------------------------------------------------------------------------------------
MAC Address      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID    VSI/SI                                                 MAC-Tunnel  
--------------------------------------------------------------------------------------------
5489-988a-13ee  10            -      -          GE0/0/2                      sticky    -           
5489-983f-24e5  10            -      -      GE0/0/1                      sticky    -           
--------------------------------------------------------------------------------------------

在SWC上使用命令查看動態學習到的MAC地址表：

<SWC>display mac-address security 
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address                      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  VSI/SI                                              MAC-Tunnel  
---------------------------------------------------------------------------------------
5489-9876-42c4 20          -      -                     GE0/0/1                      security            
5489-9897-4520 20          -      -                  GE0/0/2                      security    
--------------------------------------------------------------------------------------------

總結：

 執行命令port-security enable，使能端口安全功能。
缺省情況下，未使能端口安全功能。
 執行命令port-security mac-address sticky，使能接口Sticky MAC功能。
缺省情況下，接口未使能Sticky MAC功能。
 執行命令port-security max-mac-num max-number，配置接口Sticky MAC學習限制數量。
使能接口Sticky MAC功能後，缺省情況下，接口學習的MAC地址限制數量爲1。
 （可選）執行命令port-security protect-action { protect | restrict | shutdown }，配置端口安全保護動作。
缺省情況下，端口安全保護動作爲restrict。
 （可選）執行命令port-security mac-address sticky mac-address vlan vlan-id，手動配置一條sticky-mac表項。