交换机高级特性

Mux VLAN(multiplex vlan)
Mux VLAN(multiplex vlan)实现二层流量的弹性管控。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
主VLAN: Principal VLAN 可以和所有mux vlan内的所有接口进行通信。
从VLAN: Subordinate VLAN :
互通型:Group VLAN:group port可以与principal port通信,可以group vlan间二层通信,不同group vlan间不能通信,不能与separete vlan通信。
隔离型:Separate VLAN:只能与pricipal vlan通信,无法与其他接口类型通信。
每个从VLAN都必须与一个principal vlan绑定
配置注意事项
如果指定VLAN已经用于主VLAN或从VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
不能在同一接口上配置MUX VLAN和接口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。
端口安全
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
可以配置限制接口的mac地址的学习数量,并配置出现违规行为时的惩罚机制。

类型 定义 特点
安全动态MAC地址 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。 设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。
安全静态MAC地址 使能端口安全时手工配置的静态MAC地址。 不会被老化,手动保存配置后重启设备不会丢失。
Sticky MAC地址 使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址。 不会被老化,手动保存配置后重启设备不会丢失。

- 超过安全MAC地址限制数后的动作:

动作 实现说明
restrict 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect 只丢弃源MAC地址不存在的报文,不上报告警。
shutdown 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
VLAN aggregation
Vlan aggregation 技术允许网络管理员将一个ip网段用于多个vlan。
Super vlan
VLAN Aggregation使处于相同子网的VLAN实现广播隔离
Super-VLAN,只建立三层接口,不包含物理端口,用于将sub-vlan进行聚合,提供三层接口(VLANIF)。
Sub-VLAN,只包含物理端口,不能创建三层接口,用于隔离广播域的VLAN,通过Super-VLAN与外部实现三层交换。
Sub-vlan间三层通信:使能sub-vlan间的arp proxy功能,实现sub-vlan间互通。在super vlan接口下使能arp。

你可能感兴趣的:(计算机原理,深信服网络竞赛,网络原理,华为网络竞赛,华为深信服网络竞赛网络协议原理)