1、MUX VLAN
1.1、爲什麼會有MUX VLAN?應用場景?
應用場景?
企業外來訪客、企業員工都能夠訪問企業服務器。
企業員工部門內部可以通信,而企業員工部門之間不能通信。
企業外來訪客間不能通信、外來訪客和企業員工之間不能互訪。
爲什麼需要有MUX VLAN技術
對於企業來說,希望企業內部員工之間可以互相訪問,而企業外來訪客之間是隔離的,可通過配置每個訪客使用不同的VLAN來實現。但如果企業擁有大量的外來訪客員工,此時不但需要耗費大量的VLAN ID,還增加了網絡維護的難度
總結:
MUX VLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信,而企業外來訪客之間的互訪是隔離的
1.2、MUX VLAN的實現原理
MUX VLAN的劃分:
主VLAN(Principal VLAN):可以與MUX VLAN內的所有VLAN進行通信。
隔離型從VLAN(Separate VLAN):和其他類型的VLAN完全隔離,Separate VLAN內部也完全隔離。
注意點:
1、 MUX VLAN技術中只能將一個VLAN設置爲Separate VLAN,所以可以將外來訪客劃分到Separate VLAN
互通型從VLAN(Group VLAN):可以和Principal VLAN進行通信,在同一Group VLAN內的用戶也可互相通信,但不能和其他Group VLAN或Separate VLAN內的用戶通信的VLAN。
1.3、MUX VLAN的配置思路
配置思路
1、 首先在交換機上面創建相應vlan 並把相應的終端設備劃入到對應vlan當中 把終端設備都配置在同一個網段下面 測試連通性 都是可以相互通信的
2、 在主VLAN中配置MUX VLAN的相應配置
3、 在連接相應終端設備的接口下面需要使能MUX VLAN功能
port mux-vlan enable
4、進行實驗測試
SWB交換機的配置文件
sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Client VLAN
vlan 40 //在主VLAN下進行配置MUX VLAN的配置
description Principal VLAN
mux-vlan //將VLAN 40設置爲Principal VLAN
subordinate separate 30 //將VLAN 30設置爲Separate VLAN(隔離從vlan)
subordinate group 10 20 //將VLAN 10與VLAN 20設置爲Group VLAN(互通型vlan)
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable //在接口下開啓MUX VLAN功能
SWC交換機的配置文件
sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Cilent VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 20
port mux-vlan enable
SWD的配置
sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
2、端口隔離
2.1、爲什麼會有端口隔離?應用場景?
可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到同一隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案
2.2、端口隔離的原理
同一端口隔離組內的用戶不能進行二層的通信,但是不同端口隔離組內的用戶可以進行正常通行;未劃分端口隔離的用戶也能與端口隔離組內的用戶正常通信
端口隔離分爲二層隔離三層互通和二層三層都隔離兩種模式:
如果用戶希望隔離同一VLAN內的廣播報文,但是不同端口下的用戶還可以進行三層通信,則可以將隔離模式設置爲二層隔離三層互通。
如果用戶希望同一VLAN不同端口下用戶徹底無法通信,則可以將隔離模式配置爲二層三層均隔離。
2.3、端口隔離的配置思路
需求:
同項目組的員工都被劃分到VLAN 10中,其中屬於企業內部的員工允許相互通信,屬於企業外部的員工不允許相互通信,外部員工與內部員工之間允許通信
SWC的配置文件
sysname SWC
#
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-isolate enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
port-isolate enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 10
port-isolate enable
#
SWD的配置文件
sysname SWD
#
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 10
#
SWB的配置文件
sysname SWB
#
vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
查看SWC的端口隔離的鏈路接口
<SWC>display port-isolate group 1
The ports in isolate group 1:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
GigabitEthernet0/0/3 GigabitEthernet0/0/4
如何實現PC2在vlan 10當中 網關是192.168.1.254 PC5在vlan 20當中 網關是192.168.2.254 通過配置二層隔離三層互通模式來實現(默認情況端口隔離是該模式)PC2和PC5之間的互通
port-isolate mode all
該命令的作用就是配置端口隔離的模式爲二層和三層都無法通信
PC2訪問不了PC5
總結:
配置命令:
port-isolate enable命令用來使能端口隔離功能,默認將端口劃入隔離組group 1。
如果希望創建新的group組,使用命令port-isolate enable group後面接所要創建的隔離組組號。
可以在系統視圖下執行port-isolate mode all命令配置隔離模式爲二層三層都隔離。
使用display port-isolate group all命令可以查看所有創建的隔離組情況。
使用display port-isolate group X(組號)命令可以查看具體的某一個隔離組接口情況。
3、端口安全
3.1、爲什麼會有端口安全?應用場景?
端口安全經常使用在下列場景中:
應用在接入層設備,通過配置端口安全可以防止仿冒用戶從其他端口。
應用在匯聚層設備,通過配置端口安全可以控制接入用戶的數量。
3.2、端口安全的技術原理
1、接入層交換機的每個接口都開啓端口安全功能,並綁定接入用戶的MAC地址與VLAN信息,當有非法用戶通過已配置端口安全的接口接入網絡時,交換機會查找對應的MAC地址表,發現非法用戶的MAC地址與表中的不符,將數據包丟棄。
2、匯聚層交換機開啓端口安全功能,並設置每個接口可學習到的最大MAC地址數,當學習到的MAC地址數達到上限時,其他的MAC地址的數據包將被丟棄。
端口安全類型
端口安全(Port Security)通過將接口學習到的動態MAC地址轉換爲安全MAC地址(包括安全動態MAC、安全靜態MAC和Sticky MAC)阻止非法用戶通過本接口和交換機通信,從而增強設備的安全性。
端口安全限制動作
接口上安全MAC地址數達到限制後,如果收到源MAC地址不存在的報文,端口安全則認爲有非法用戶,就會根據配置的動作對接口做保護處理。缺省情況下,保護動作是restrict
3.3、端口安全的配置思路
園區網絡要求保障接入用戶的安全性。財務部人員流動性較低,可以使用端口安全技術靜態綁定接入用戶的MAC與VLAN信息;市場部的人員流動性較高,使用端口安全技術的動態MAC地址學習保證接入用戶的合法性
在SWB上使用命令查看綁定的MAC地址表
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI MAC-Tunnel
--------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------
在SWC上使用命令查看動態學習到的MAC地址表:
<SWC>display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI MAC-Tunnel
---------------------------------------------------------------------------------------
5489-9876-42c4 20 - - GE0/0/1 security
5489-9897-4520 20 - - GE0/0/2 security
--------------------------------------------------------------------------------------------
總結:
執行命令port-security enable,使能端口安全功能。
缺省情況下,未使能端口安全功能。
執行命令port-security mac-address sticky,使能接口Sticky MAC功能。
缺省情況下,接口未使能Sticky MAC功能。
執行命令port-security max-mac-num max-number,配置接口Sticky MAC學習限制數量。
使能接口Sticky MAC功能後,缺省情況下,接口學習的MAC地址限制數量爲1。
(可選)執行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保護動作。
缺省情況下,端口安全保護動作爲restrict。
(可選)執行命令port-security mac-address sticky mac-address vlan vlan-id,手動配置一條sticky-mac表項。