二层交换网络当中的高级内容

1、MUX VLAN

1.1、为什么会有MUX VLAN?应用场景?

 

 

应用场景?

企业外来访客、企业员工都能够访问企业服务器。
企业员工部门内部可以通信,而企业员工部门之间不能通信。
企业外来访客间不能通信、外来访客和企业员工之间不能互访。

为什么需要有MUX VLAN技术

对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度

总结:

MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的

1.2、MUX VLAN的实现原理

MUX VLAN的划分:

 主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
 隔离型从VLAN(Separate VLAN):和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
注意点:
1、 MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN
 互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。

1.3、MUX VLAN的配置思路

配置思路

1、 首先在交换机上面创建相应vlan 并把相应的终端设备划入到对应vlan当中 把终端设备都配置在同一个网段下面 测试连通性 都是可以相互通信的
2、 在主VLAN中配置MUX VLAN的相应配置
3、 在连接相应终端设备的接口下面需要使能MUX VLAN功能
port mux-vlan enable
4、进行实验测试

SWB交换机的配置文件

sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Client VLAN
vlan 40                                     //在主VLAN下进行配置MUX VLAN的配置
 description Principal VLAN
 mux-vlan                                       //将VLAN 40设置为Principal VLAN
 subordinate separate 30               //将VLAN 30设置为Separate VLAN(隔离从vlan)
 subordinate group 10 20              //将VLAN 10与VLAN 20设置为Group VLAN(互通型vlan)
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 40
 port mux-vlan enable                  //在接口下开启MUX VLAN功能

SWC交换机的配置文件

sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Cilent VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
 port mux-vlan enable

SWD的配置

sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing
vlan 30
 description Client VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
 port mux-vlan enable

2、端口隔离

2.1、为什么会有端口隔离?应用场景?

 

 可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案

 

同一端口隔离组内的用户不能进行二层的通信,但是不同端口隔离组内的用户可以进行正常通行;未划分端口隔离的用户也能与端口隔离组内的用户正常通信

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:

 如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。

 如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。

2.3、端口隔离的配置思路

需求:

同项目组的员工都被划分到VLAN 10中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信

SWC的配置文件

sysname SWC
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
 port-isolate enable
#

SWD的配置文件

sysname SWD
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
#

SWB的配置文件

sysname SWB
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10

查看SWC的端口隔离的链路接口

<SWC>display port-isolate group 1 
  The ports in isolate group 1:
GigabitEthernet0/0/1     GigabitEthernet0/0/2 
GigabitEthernet0/0/3     GigabitEthernet0/0/4 

如何实现PC2在vlan 10当中 网关是192.168.1.254 PC5在vlan 20当中 网关是192.168.2.254 通过配置二层隔离三层互通模式来实现(默认情况端口隔离是该模式)PC2和PC5之间的互通

port-isolate mode all

该命令的作用就是配置端口隔离的模式为二层和三层都无法通信
PC2访问不了PC5

总结:

配置命令:
 port-isolate enable命令用来使能端口隔离功能,默认将端口划入隔离组group 1。
 如果希望创建新的group组,使用命令port-isolate enable group后面接所要创建的隔离组组号。
 可以在系统视图下执行port-isolate mode all命令配置隔离模式为二层三层都隔离。
 使用display port-isolate group all命令可以查看所有创建的隔离组情况。
 使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。

3、端口安全

3.1、为什么会有端口安全?应用场景?

端口安全经常使用在下列场景中:

应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口。
应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

3.2、端口安全的技术原理

 

 

1、接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
2、汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。

端口安全类型

端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

端口安全限制动作

 

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict

3.3、端口安全的配置思路

 

 园区网络要求保障接入用户的安全性。财务部人员流动性较低,可以使用端口安全技术静态绑定接入用户的MAC与VLAN信息;市场部的人员流动性较高,使用端口安全技术的动态MAC地址学习保证接入用户的合法性
在SWB上使用命令查看绑定的MAC地址表

<SWB>display mac-address sticky 
MAC address table of slot 0:
--------------------------------------------------------------------------------------------
MAC Address      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID    VSI/SI                                                 MAC-Tunnel  
--------------------------------------------------------------------------------------------
5489-988a-13ee  10            -      -          GE0/0/2                      sticky    -           
5489-983f-24e5  10            -      -      GE0/0/1                      sticky    -           
--------------------------------------------------------------------------------------------

在SWC上使用命令查看动态学习到的MAC地址表:

<SWC>display mac-address security 
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address                      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  VSI/SI                                              MAC-Tunnel  
---------------------------------------------------------------------------------------
5489-9876-42c4 20          -      -                     GE0/0/1                      security            
5489-9897-4520 20          -      -                  GE0/0/2                      security    
--------------------------------------------------------------------------------------------

总结:

 执行命令port-security enable,使能端口安全功能。
缺省情况下,未使能端口安全功能。
 执行命令port-security mac-address sticky,使能接口Sticky MAC功能。
缺省情况下,接口未使能Sticky MAC功能。
 执行命令port-security max-mac-num max-number,配置接口Sticky MAC学习限制数量。
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
 (可选)执行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。
缺省情况下,端口安全保护动作为restrict。
 (可选)执行命令port-security mac-address sticky mac-address vlan vlan-id,手动配置一条sticky-mac表项。

 

posted @ 2020-08-04 14:33  星火撩原  阅读(265)  评论(0编辑  收藏  举报