二層交換網絡當中的高級內容(可跟作)

時間  2019-11-27
標籤 二層 交換 網絡 當中 高級 內容 欄目 系統網絡 简体版
原文   原文鏈接

一、MUX VLAN

1.一、爲何會有MUX VLAN?應用場景?

二層交換網絡當中的高級內容(可跟作)

應用場景?

企業外來訪客、企業員工都可以訪問企業服務器。
企業員工部門內部能夠通訊,而企業員工部門之間不能通訊。
企業外來訪客間不能通訊、外來訪客和企業員工之間不能互訪。安全

爲何須要有MUX VLAN技術

對於企業來講,但願企業內部員工之間能夠互相訪問,而企業外來訪客之間是隔離的,可經過配置每一個訪客使用不一樣的VLAN來實現。但若是企業擁有大量的外來訪客員工,此時不但須要耗費大量的VLAN ID,還增長了網絡維護的難度服務器

總結:

MUX VLAN提供的二層流量隔離的機制能夠實現企業內部員工之間互相通訊,而企業外來訪客之間的互訪是隔離的網絡

1.二、MUX VLAN的實現原理

二層交換網絡當中的高級內容(可跟作)

MUX VLAN的劃分:

 主VLAN(Principal VLAN):能夠與MUX VLAN內的全部VLAN進行通訊。
 隔離型從VLAN(Separate VLAN):和其餘類型的VLAN徹底隔離,Separate VLAN內部也徹底隔離。
注意點:
一、 MUX VLAN技術中只能將一個VLAN設置爲Separate VLAN,因此能夠將外來訪客劃分到Separate VLAN
 互通型從VLAN(Group VLAN):能夠和Principal VLAN進行通訊,在同一Group VLAN內的用戶也可互相通訊,但不能和其餘Group VLAN或Separate VLAN內的用戶通訊的VLAN。ide

1.三、MUX VLAN的配置思路

二層交換網絡當中的高級內容(可跟作)

配置思路

一、 首先在交換機上面建立相應vlan 並把相應的終端設備劃入到對應vlan當中 把終端設備都配置在同一個網段下面 測試連通性 都是能夠相互通訊的
二、 在主VLAN中配置MUX VLAN的相應配置
三、 在鏈接相應終端設備的接口下面須要使能MUX VLAN功能
port mux-vlan enable
四、進行實驗測試學習

SWB交換機的配置文件

sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Client VLAN
vlan 40                                     //在主VLAN下進行配置MUX VLAN的配置
 description Principal VLAN
 mux-vlan                                       //將VLAN 40設置爲Principal VLAN
 subordinate separate 30               //將VLAN 30設置爲Separate VLAN(隔離從vlan)
 subordinate group 10 20              //將VLAN 10與VLAN 20設置爲Group VLAN(互通型vlan)
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 40
 port mux-vlan enable                  //在接口下開啓MUX VLAN功能

SWC交換機的配置文件

sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Cilent VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
 port mux-vlan enable

SWD的配置

sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing
vlan 30
 description Client VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
 port mux-vlan enable

二、端口隔離

2.一、爲何會有端口隔離?應用場景?

二層交換網絡當中的高級內容(可跟作)
能夠實現同一VLAN內端口之間的隔離。用戶只須要將端口加入到同一隔離組中,就能夠實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案測試

2.二、端口隔離的原理

二層交換網絡當中的高級內容(可跟作)
同一端口隔離組內的用戶不能進行二層的通訊,可是不一樣端口隔離組內的用戶能夠進行正常通行;未劃分端口隔離的用戶也能與端口隔離組內的用戶正常通訊rest

端口隔離分爲二層隔離三層互通和二層三層都隔離兩種模式:

 若是用戶但願隔離同一VLAN內的廣播報文,可是不一樣端口下的用戶還能夠進行三層通訊,則能夠將隔離模式設置爲二層隔離三層互通。 code

 若是用戶但願同一VLAN不一樣端口下用戶完全沒法通訊,則能夠將隔離模式配置爲二層三層均隔離。blog

2.三、端口隔離的配置思路

二層交換網絡當中的高級內容(可跟作)

需求:

同項目組的員工都被劃分到VLAN 10中,其中屬於企業內部的員工容許相互通訊,屬於企業外部的員工不容許相互通訊,外部員工與內部員工之間容許通訊接口

SWC的配置文件

sysname SWC
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
 port-isolate enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
 port-isolate enable
#

SWD的配置文件

sysname SWD
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 10
#

SWB的配置文件

sysname SWB
#
vlan 10
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#

查看SWC的端口隔離的鏈路接口

<SWC>display port-isolate group 1 
  The ports in isolate group 1:
GigabitEthernet0/0/1     GigabitEthernet0/0/2 
GigabitEthernet0/0/3     GigabitEthernet0/0/4

如何實現PC2在vlan 10當中 網關是192.168.1.254 PC5在vlan 20當中 網關是192.168.2.254 經過配置二層隔離三層互通模式來實現(默認狀況端口隔離是該模式)PC2和PC5之間的互通

port-isolate mode all

該命令的做用就是配置端口隔離的模式爲二層和三層都沒法通訊
PC2訪問不了PC5

總結:

配置命令:
 port-isolate enable命令用來使能端口隔離功能,默認將端口劃入隔離組group 1。
 若是但願建立新的group組,使用命令port-isolate enable group後面接所要建立的隔離組組號。
 能夠在系統視圖下執行port-isolate mode all命令配置隔離模式爲二層三層都隔離。
 使用display port-isolate group all命令能夠查看全部建立的隔離組狀況。
 使用display port-isolate group X(組號)命令能夠查看具體的某一個隔離組接口狀況。

三、端口安全

3.一、爲何會有端口安全?應用場景?

二層交換網絡當中的高級內容(可跟作)

端口安全常常使用在下列場景中:

應用在接入層設備,經過配置端口安全能夠防止仿冒用戶從其餘端口。
應用在匯聚層設備,經過配置端口安全能夠控制接入用戶的數量。

3.二、端口安全的技術原理

二層交換網絡當中的高級內容(可跟作)
一、接入層交換機的每一個接口都開啓端口安全功能,並綁定接入用戶的MAC地址與VLAN信息,當有非法用戶經過已配置端口安全的接口接入網絡時,交換機會查找對應的MAC地址表,發現非法用戶的MAC地址與表中的不符,將數據包丟棄。
二、匯聚層交換機開啓端口安全功能,並設置每一個接口可學習到的最大MAC地址數,當學習到的MAC地址數達到上限時,其餘的MAC地址的數據包將被丟棄。

端口安全類型

端口安全(Port Security)經過將接口學習到的動態MAC地址轉換爲安全MAC地址(包括安全動態MAC、安全靜態MAC和Sticky MAC)阻止非法用戶經過本接口和交換機通訊,從而加強設備的安全性。
二層交換網絡當中的高級內容(可跟作)

端口安全限制動做

二層交換網絡當中的高級內容(可跟作)
接口上安全MAC地址數達到限制後,若是收到源MAC地址不存在的報文,端口安全則認爲有非法用戶,就會根據配置的動做對接口作保護處理。缺省狀況下,保護動做是restrict

3.三、端口安全的配置思路

二層交換網絡當中的高級內容(可跟作)
園區網絡要求保障接入用戶的安全性。財務部人員流動性較低,可使用端口安全技術靜態綁定接入用戶的MAC與VLAN信息;市場部的人員流動性較高,使用端口安全技術的動態MAC地址學習保證接入用戶的合法性
在SWB上使用命令查看綁定的MAC地址表

<SWB>display mac-address sticky 
MAC address table of slot 0:
--------------------------------------------------------------------------------------------
MAC Address      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID    VSI/SI                                                 MAC-Tunnel  
--------------------------------------------------------------------------------------------
5489-988a-13ee  10            -      -          GE0/0/2                      sticky    -           
5489-983f-24e5  10            -      -      GE0/0/1                      sticky    -           
--------------------------------------------------------------------------------------------

在SWC上使用命令查看動態學習到的MAC地址表:

<SWC>display mac-address security 
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address                      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  VSI/SI                                              MAC-Tunnel  
---------------------------------------------------------------------------------------
5489-9876-42c4 20          -      -                     GE0/0/1                      security            
5489-9897-4520 20          -      -                  GE0/0/2                      security    
--------------------------------------------------------------------------------------------

總結:

 執行命令port-security enable,使能端口安全功能。 缺省狀況下,未使能端口安全功能。 執行命令port-security mac-address sticky,使能接口Sticky MAC功能。 缺省狀況下,接口未使能Sticky MAC功能。 執行命令port-security max-mac-num max-number,配置接口Sticky MAC學習限制數量。 使能接口Sticky MAC功能後,缺省狀況下,接口學習的MAC地址限制數量爲1。 (可選)執行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保護動做。 缺省狀況下,端口安全保護動做爲restrict。 (可選)執行命令port-security mac-address sticky mac-address vlan vlan-id,手動配置一條sticky-mac表項。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程