本次博客将会介绍交换机的高级特性,主要有3个技术,分别是MUX VLAN、端口隔离和端口安全功能。
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源,VLAN可用的数量只有4096个,其中还有一些vlan是不能用的。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
MUX VLAN应用场景
如下图所示,服务器与汇聚层交换机相连,为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信来实现。对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度。MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN基本概念
在MUX VLAN里面有以下几种vlan的类型,
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
如下图所示,根据MUX VLAN特性,解决方案如下:
企业管理员可以将服务器划分到Principal VLAN。MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
这样就能够实现:企业外来访客、企业员工都能够访问企业服务器。企业员工部门内部可以通信,而企业员工部门之间不能通信。企业外来访客间不能通信、外来访客和企业员工之间不能互访。
如下图所示:
LSW1上的配置
[LSW1]dis cu
#
sysname LSW1
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan //将VLAN 40设置为Principal VLAN
subordinate separate 30 //将VLAN 30设置为Separate VLAN
subordinate group 10 20 //将VLAN 10与VLAN 20设置为Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 40
port mux-vlan enable //在接口下开启MUX VLAN功能
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
LSW2上的配置
<LSW2>dis cu
#
sysname LSW2
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
LSW3上的配置
<LSW3>dis cu
#
sysname LSW3
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
结果验证:
1.对于所有用户都可访问企业服务器,在VLAN 10,VLAN 20 VLAN 30的员工都可以访问服务器,如下图所示
2.企业员工部门内部可以通信,而企业员工部门之间不能通信
处于同一个部门的pc1和pc2可以互访,但是和不同部门的pc3不能互访
3.企业外来访客间不能通信、外来访客和企业员工之间不能互访
端口隔离应用场景
如下图所示,为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离基本概念
使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。
如下图所示:
在LSW2上的配置如下
[LSW2]dis cu
#
sysname LSW2
#
vlan batch 10
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1 //使能端口隔离功能,默认将端口划入隔离组group 1
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/4
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10
结果验证:
外部员工192.168.1.1和192.168.1.2之间不能通信,但是外部员工192.168.1.1可以和内部员工192.168.1.5通信
内部员工192.168.1.5和192.168.1.6之间是可以通信的
端口安全应用场景
如下图所示,为了保证接入设备安全性,如何防止非法用户的攻击?为了保证汇聚设备的安全性,如何防止非法用户的攻击?
端口安全解决方案
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。这样可以阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性。
如图所示,
解决方案如下:
接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。
端口安全类型
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
| 类型 | 定义 | 特点 |
| 安全动态MAC地址 | 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。 | 设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 |
| 安全静态MAC地址 | 使能端口安全时手工配置的静态MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
| Sticky MAC地址 | 使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
端口安全限制动作
超过安全MAC地址限制数后的动作:
| 动作 | 实现说明 |
| restrict | 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 |
| protect | 只丢弃源MAC地址不存在的报文,不上报告警。 |
| shutdown | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。 |
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
端口安全配置实现
LSW2上的配置
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
port-security mac-address sticky 5489-983F-24E5 vlan 10
LSW2上的配置
interface Ethernet0/0/1
port link-type access
port default vlan 20
port-security enable
1072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
