【交換機高級特性】MUX-VLAN、端口隔離、端口安全

 

交換機高級特性

1. MUX-VLAN

   1. 主VLAN Principal VLAN
      1. 可以訪問其他所有從VLAN
      2. PS：一個MUX-VLAN只能有一個主VLAN
   2. 子VLAN Sub VLAN
      1. group VLAN ：互通型VLAN，相同的VLAN之間能能互訪，也可以訪問主VLAN
      2. Separate VLAN：隔離型VLAN，相同的VLAN之間不能互訪，但可以訪問主VLAN。PS：一個MUX-VLAN只能有一個隔離型VLAN

 

1. 1. 配置
      1. vlan 100  mux-vlan   ###設置該VLAN爲主VLAN   subordinate separate 20  ###設置VLAN20爲隔離型VLAN  subordinate group 10      ###設置VLAN10爲組VLAN interface GigabitEthernet0/0/1   port link-type access   port default vlan 10   port mux-vlan enable   ###啓用mux-vlan的功能
   2. 樣例：有一臺交換機，連着12345678，8臺終端同一個網段，我想讓12互通、34互通、56互通，但是12、34、56直接相互隔離，包括二層和三層，然後7和8可以和123456都能實現通信。     
   3. 答案： 1與2 ：vlan 10 組vlan          3與4 ：vlan 20 組vlan        5與6 ：vlan 30 組vlan          7與8 ：主vlan

2. 端口隔離

   1. 實現效果
      1. 相同隔離組的終端之間不能互訪；
      2. 不同的隔離組的終端之間可以互訪（相同VLAN）；
   2. 特點
      1. 端口隔離可以設置隔離二層流量，還可以二層三層流量都隔離
      2. 默認只隔離二層流量
   3. 配置
      1. interface GigabitEthernet0/0/2  port link-type access  port default vlan 10  port-isolate enable group 2    ###設置其屬於某個端口隔離組，默認屬於隔離組1；  port-isolate mode l2    ###設置端口隔離的模式；

3. 端口安全

   1. 實現原理
      1. 通過對MAC地址進行管理，實現設備的固定接入
   2. 啓用了端口安全以後學習到的MAC地址表項的類型
      1. 安全靜態MAC：Enable端口安全時手工配置靜態MAC地址，保存後設備重啓地址不會老化和丟失
      2. 安全動態MAC：Enable端口安全但並未使用Sticky MAC地址，通過動態方式學習到的MAC地址會進行保存。缺省情況下不會老化，但設備地址會丟失，需要重新學習。
      3. Sticky MAC地址：Enable端口安全且使用了Sticky MAC地址，通過動態方式學習到的MAC地址會進行保存。缺省情況下不會老化，且設備重啓後不會丟失地址
   3. 如果有非法的MAC地址接入時，可以啓用相對應的處理動作
      1. restrict：丟棄源MAC地址不存在的報文，並上報告警
4. 1. 1. protect：只丟棄源MAC地址不存在的報文，不上報告警
5. 1. 1. shutdown：接口狀態被置爲error-down，並上報告警

PS：默認情況下，接口關閉後不會自動回覆，只能由網絡管理員在接口視圖下restart重啓接口進行恢復

1. 1. 配置
      1. interface GigabitEthernet0/0/2  port-security enable       ###啓用端口安全的功能  port-security protect-action shutdown    ###學到的MAC地址數量超過了限制就執行處理動作  port-security max-mac-num 3        ###接口限制可學習到的MAC地址數量  port-security mac-address sticky       ###啓用Sticky功能  error-down auto-recovery cause ……    ###當接口被error-down動作以後，自動恢復接口