TKE_cendy

华为路由与交换--交换机高级特性简介

本次博客将会介绍交换机的高级特性，主要有3个技术，分别是MUX VLAN、端口隔离和端口安全功能。

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源，VLAN可用的数量只有4096个，其中还有一些vlan是不能用的。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只允许学习到MAC地址的设备通信。

MUX VLAN应用场景

如下图所示，服务器与汇聚层交换机相连，为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信来实现。对于企业来说，希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度。MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

MUX VLAN基本概念

在MUX VLAN里面有以下几种vlan的类型，

主VLAN（Principal VLAN）：可以与MUX VLAN内的所有VLAN进行通信。

隔离型从VLAN（Separate VLAN）：只能和Principal VLAN进行通信，和其他类型的VLAN完全隔离，Separate VLAN内部也完全隔离。

互通型从VLAN（Group VLAN）：可以和Principal VLAN进行通信，在同一Group VLAN内的用户也可互相通信，但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。

如下图所示，根据MUX VLAN特性，解决方案如下：

企业管理员可以将服务器划分到Principal VLAN。MUX VLAN技术中只能将一个VLAN设置为Separate VLAN，所以可以将外来访客划分到Separate VLAN。由于可以将多个VLAN设置为Group VLAN，所以可以将企业员工划分到Group VLAN，企业内部不同部门之间通过划分到不同的VLAN进行隔离。

这样就能够实现：企业外来访客、企业员工都能够访问企业服务器。企业员工部门内部可以通信，而企业员工部门之间不能通信。企业外来访客间不能通信、外来访客和企业员工之间不能互访。

如下图所示：

LSW1上的配置

[LSW1]dis cu
#
sysname LSW1
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan //将VLAN 40设置为Principal VLAN
subordinate separate 30 //将VLAN 30设置为Separate VLAN
subordinate group 10 20 //将VLAN 10与VLAN 20设置为Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 40
port mux-vlan enable //在接口下开启MUX VLAN功能
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 40

LSW2上的配置

dis cu
#
sysname LSW2
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40

LSW3上的配置

dis cu
#
sysname LSW3
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
结果验证：

1.对于所有用户都可访问企业服务器，在VLAN 10,VLAN 20 VLAN 30的员工都可以访问服务器，如下图所示

2.企业员工部门内部可以通信，而企业员工部门之间不能通信

处于同一个部门的pc1和pc2可以互访，但是和不同部门的pc3不能互访

3.企业外来访客间不能通信、外来访客和企业员工之间不能互访

端口隔离应用场景

如下图所示，为了实现用户之间的二层隔离，可以将不同的用户加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离基本概念

如下图所示，同一端口隔离组内的用户不能进行二层的通信，但是不同端口隔离组内的用户可以进行正常通行；未划分端口隔离的用户也能与端口隔离组内的用户正常通信。

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式 ：

如果用户希望隔离同一 VLAN 内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通。

如果用户希望同一 VLAN 不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离。

配置注意事项：

S 系列交换机均支持配置二层隔离三层互通模式。

S 系列框式交换机均支持二层三层都隔离模式， S 系列盒式交换机仅 V100R006C05 版本仅 S2700SI 、 S2700EI 不支持二层三层都隔离模式， V100R002 及后续版本 S1720 、 S2720 、 S2750EI 、 S5700LI 、 S5700S-LI 不支持二层三层都隔离模式。

如果不是特殊情况要求，建议用户 不要将上行口和下行口加入到同一端口隔离组 中，否则上行口和下行口之间不能相互通信。

配置命令：

port-isolate enable命令用来使能端口隔离功能，默认将端口划入隔离组group 1。

如果希望创建新的 group 组，使用命令 port-isolate enable group 后面接所要创建的隔离组组号。

可以在系统视图下执行 port-isolate mode all命令配置隔离模式为二层三层都隔离。

查看命令：

使用 display port-isolate group all 命令可以查看所有创建的隔离组情况。

使用display port-isolate group X（组号）命令可以查看具体的某一个隔离组接口情况。

如下图所示：

在LSW2上的配置如下

[LSW2]dis cu
#
sysname LSW2
#
vlan batch 10
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1 //使能端口隔离功能，默认将端口划入隔离组group 1
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/4
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10

结果验证：

外部员工192.168.1.1和192.168.1.2之间不能通信，但是外部员工192.168.1.1可以和内部员工192.168.1.5通信

内部员工192.168.1.5和192.168.1.6之间是可以通信的

端口安全应用场景

如下图所示，为了保证接入设备安全性，如何防止非法用户的攻击？为了保证汇聚设备的安全性，如何防止非法用户的攻击？

端口安全经常使用在下列场景中：

应用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。

应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

端口安全解决方案

在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全MAC地址，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许学习到MAC地址的设备通信。这样可以阻止其他非信任用户通过本接口和交换机通信，提高设备与网络的安全性。

如图所示，

解决方案如下：

接入层交换机的每个接口都开启端口安全功能，并绑定接入用户的MAC地址与VLAN信息，当有非法用户通过已配置端口安全的接口接入网络时，交换机会查找对应的MAC地址表，发现非法用户的MAC地址与表中的不符，将数据包丢弃。

汇聚层交换机开启端口安全功能，并设置每个接口可学习到的最大MAC地址数，当学习到的MAC地址数达到上限时，其他的MAC地址的数据包将被丢弃。

端口安全类型

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

类型	定义	特点
安全动态MAC地址	使能端口安全而未使能Sticky MAC功能时转换的MAC地址。	设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。
安全静态MAC地址	使能端口安全时手工配置的静态MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。

说明：

接口使能端口安全功能时，接口上之前学习到的动态 MAC 地址表项将被删除，之后学习到的 MAC 地址将变为安全动态 MAC 地址。

接口使能 Sticky MAC 功能时，接口上的安全动态 MAC 地址表项将转化为 Sticky MAC 地址，之后学习到的 MAC 地址也变为 Sticky MAC 地址。

接口去使能端口安全功能时，接口上的安全动态 MAC 地址将被删除，重新学习动态 MAC 地址。

接口去使能 Sticky MAC 功能时，接口上的 Sticky MAC 地址会转换为安全动态 MAC 地址。

端口安全限制动作

超过安全MAC地址限制数后的动作：

动作	实现说明
restrict	丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect	只丢弃源MAC地址不存在的报文，不上报告警。
shutdown	接口状态被置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。

端口安全配置实现

执行命令 interface interface-type interface-number ，进入接口视图。

执行命令 port-security enable ，使能端口安全功能。

缺省情况下，未使能端口安全功能。

执行命令 port-security mac-address sticky，使能接口Sticky MAC功能。

缺省情况下，接口未使能Sticky MAC功能。

执行命令 port-security max-mac- num max-number ，配置接口 Sticky MAC 学习限制数量。

使能接口 Sticky MAC 功能后，缺省情况下，接口学习的 MAC 地址限制数量为 1 。

（可选）执行命令 port-security protect-action { protect | restrict | shutdown } ，配置端口安全保护动作。

缺省情况下，端口安全保护动作为 restrict 。

（可选）执行命令 port-security mac-address sticky mac-address vlan vlan -id ，手动配置一条 sticky-mac 表项。

如下图所示，园区网络要求保障接入用户的安全性。财务部人员流动性较低，可以使用端口安全技术静态绑定接入用户的 MAC 与 VLAN 信息；市场部的人员流动性较高，使用端口安全技术的动态 MAC 地址学习保证接入用户的合法性。

LSW2上的配置

interface Ethernet0/0/1

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

port-security mac-address sticky 5489-983F-24E5 vlan 10