交换机高级特性
MUX VLAN
MUX VLAN应用场景
MUX VLAN 混杂vlan
二层流量控制的方法
是根据vlan编号控制的
- 如图所示,服务器与汇聚层交换机相连,为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信来实现。
- 对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度。
- MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN基本概念
- 如图所示,根据MUX VLAN特性,解决方案如下:
- 企业管理员可以将服务器划分到Principal VLAN。
- MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。
- 由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
这样就能够实现: -
- 企业外来访客、企业员工都能够访问企业服务器。
-
- 企业员工部门内部可以通信,而企业员工部门之间不能通信。
-
- 企业外来访客间不能通信、外来访客和企业员工之间不能互访。
MUX VLAN配置实现
//如图所示,希望实现企业外来访客、企业员工都能够访问企业服务器,而企业同部门员工可以通信,不同部门员工不能通信;企业外来访客间不能通信;企业外来访客和企业员工之间不能互访。
//将企业服务器划分到Principal VLAN,Principal VLAN为VLAN 40;
//企业外来访客划分到Separate VLAN,Separate VLAN为VLAN 30;
//企业员工划分到Group VLAN,Group VLAN为VLAN 10与VLAN 20,VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。
SWB配置:
sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan //将VLAN 40设置为Principal VLAN
subordinate separate 30 //将VLAN 30设置为Separate VLAN
subordinate group 10 20 //将VLAN 10与VLAN 20设置为Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable //在接口下开启MUX VLAN功能
SWC配置:
sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Cilent VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 20
port mux-vlan enable
SWD配置:
sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
实验
//设置mux-vlan 为主vlan
[SWB-vlan40]mux-vlan
//设置从vlan的 小组vlan
[SWB-vlan40]subordinate group 10 20
//设置从vlan的 隔离 vlan
[SWB-vlan40]subordinate separate 30
//需要在每台交换机都配置此命令
//端口上开启mux-vlan 先配置link-type
[SWB-GigabitEthernet0/0/3]port mux-vlan enable
Super vlan
超级vlan,聚合vlan
需求: 解决了IP地址划分的问题 为了节约IP
设计思想:把不同vlan聚合成一个super vlan
这样他们就可以使用同一个网段,共用同一个网关
并且保持不同的子vlan之间隔离广播
Super和mux 之间有一些共同的地方,,mux也可以实现super的有些功能 但是这里就例如(洗衣机可以洗衣服,手搓版也可以洗
空调可以制冷,风扇也可以)专业的事情交给专业的东西去做 Super更倾向于公网上用,做IP地址节约使用(ISP IDC机房)
Mux更倾向于内网做二层隔离使用,二层控制(企业内网)
VLAN Aggregation - 通信原理
//开启子vlan之间的arp代理功能
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable
实验
//配置主vlan
[SW1-vlan10]aggregate-vlan
//配置子vlan
[SW1-vlan10]access-vlan 3001 3002
端口隔离
交换机本地物理隔离
轻量级,不影响其他交换机
端口隔离应用场景
- 为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离基本概念
- 端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
- 如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。
- 如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。
端口隔离配置实现
- 如图所示,同项目组的员工都被划分到VLAN 10中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信。
- 配置命令:
- port-isolate enable命令用来使能端口隔离功能,默认将端口划入隔离组group 1。
- 如果希望创建新的group组,使用命令port-isolate enable group后面接所要创建的隔离组组号。
- 可以在系统视图下执行port-isolate mode all命令配置隔离模式为二层三层都隔离。
- 查看命令:
- 使用display port-isolate group all命令可以查看所有创建的隔离组情况。
- 使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。
实验
//加入隔离组,把接口加入通一个隔离组 那么他们在物理上就被隔离了 广播和单播都不通
[SW2-GigabitEthernet0/0/1]port-isolate enable group 1
//开启vlan内部arp代理
[SW1-Vlanif10]arp-proxy inner-sub-vlan-proxy enable
端口安全
- 一个接口可以对应多个mac
- 一个mac只能对应一个接口
端口安全应用场景
- 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
- 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
端口安全类型
- 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
- 接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
- 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
- 接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址。
端口安全限制动作
端口安全配置实现
- 如图所示,园区网络要求保障接入用户的安全性。财务部人员流动性较低,可以使用端口安全技术静态绑定接入用户的MAC与VLAN信息;市场部的人员流动性较高,使用端口安全技术的动态MAC地址学习保证接入用户的合法性。
命令解释:
interface interface-type interface-number //进入接口视图。
port-security enable//使能端口安全功能。
//缺省情况下,未使能端口安全功能。
port-security mac-address sticky//使能接口Sticky MAC功能。
//缺省情况下,接口未使能Sticky MAC功能。
port-security max-mac-num max-number//配置接口Sticky MAC学习限制数量。
//使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
port-security protect-action { protect | restrict | shutdown }//配置端口安全保护动作。可选
//缺省情况下,端口安全保护动作为restrict。
port-security mac-address sticky mac-address vlan vlan-id//手动配置一条sticky-mac表项。 可选
端口安全配置验证
配置命令、实验
//正常一个动态mac地址对应一个接口 经过300秒会老化, 重启交换机和关闭端口都会清空mac地址表
//查看mac地址表
[SW1]dis mac-address
//配置端口mac的老化时间
[SW1-GigabitEthernet0/0/1]port-security aging-time
//允许最大mac地址数量 为2个
[SW1-GigabitEthernet0/0/1]port-security max-mac-num 2
//开启端口安全
[SW1-GigabitEthernet0/0/1]port-securit enable
//当接口超过可学习mac地址数量时,采取保护措施。
//protect表示丢弃数据帧
//restrict表示丢弃数据帧并向网管设备告警
//shutdown表示关闭端口,需要使用restart命令重新开启端口.
[SW1-GigabitEthernet0/0/1]port-security protect-action shutdown
//让mac地址表不老化,重启交换机也不会老化
[SW1-GigabitEthernet0/0/1]port-security mac-address sticky
//删除mac地址表中的某个mac
[SW1]undo mac-address 5489-98b5-4636 vlan 10
4227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
