交换机的高级特性

四个安全特性：

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUXVLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只允许学习到MAC地址的设备通信。

super vlan

 

 

 

 

 

 

 

 

配置：

服务器VLAN 40主VLAN

 

 

 

 

 

 

 #SWB　　:

#
Vlan 10
description Financial VLAN
Vlan 20
description Marketing VLAN
Vlan 30
description Client VLAN
Vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#

 

 SWD:

vlan 10
description Financial VLAN
Vlan 20
description Marketing
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#

 SWC:同上

<SWC>dis cu inter g0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable     #每个接口都需要配置，配trunk接口的时候是不需要启用的

#

 

#MUX VLAN不支持三层接口

 

 

问题：PC1 ping 通PC3怎么做？

在SWB上加入一个R1

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24  #网关

[R1-GigabitEthernet0/0/0]arp-proxy enable

[SWB-GigabitEthernet0/0/4]port link-type access

[SWB-GigabitEthernet0/0/4]p d v 40

[SWB-GigabitEthernet0/0/4]port mux-vlan enable 

#此时PC1ping .254通了，但1.3没通，why？这个 时候路由式的代理是无用的，所以用VLAN间的代理来做

 

 

 

#加入一个新的交换机SW4  （R1down掉）

 [SW4-Vlanif40]ip add 192.168.1.254 24  #记得把Rshutdown

 [SW4-Vlanif40]p l a

 [SW4-Vlanif40]p d v 40 

[SW4-Vlanif40]dis this interface Vlanif40
ip address 192.168.1.254255.255.255.0

arp-proxy inner-sub-vlan-proxy enable

#SWB

interface GigabitEthernet0/0/5
port link-type access
port default vlan 40

[SWB-GigabitEthernet0/0/5]port mux-vlan

 

 

 

 

启用端口隔离后，交换机收到数据包不会进行转发

 二层隔离，还是可以通过代理ARP互访---[SW1-Vlanifl]arp-proxy inner-sub-vlan-proxy enable

要将代理ARP的方式也禁止的话可做三层隔离---在全局下面进行隔离---[SW1]port-isolate mode all

 

 

 

 

 

 端口安全两种模式：①设置接入的用户最大数量  ②MAC地址表中添加安全的用户，把动态的MAC地址转换成安全的MAC地址，只允许安全的MAC地址发送数据

 

 

 

 

 

 

 

 

 

 

[SWA-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
port-security enable                                                                                 #安全动态MAC地址

 [SWA-GigabitEthernet0/0/1]port-security max-mac-num 1    #控制学习MAC地址的数量

 

 

 

 

 

 

 

 

这是VLAN2不能访问VLAN3，在主vlan下面启动一个VLAN间的代理即可访问