交换机高级特性简介

交换机高级特性简介

    • MUX VLAN
      • MUX VLAN的应用场景
      • MUX VLAN的基本概念
      • MUX VLAN配置实现
    • 端口隔离
        • 端口隔离应用场景
        • 端口隔离的基本概念
        • 端口隔离配置实现
    • 端口安全
        • 端口安全的应用场景
        • 端口安全解决方案
        • 端口安全类型
        • 端口安全限制动作
        • 端口安全配置实现

前言: 本节主要介绍交换机的一些高级特效,包括MUX VLAN(Multiplex VLAN),端口隔离端口安全三个机制。

MUX VLAN

MUX VLAN的应用场景

如下图所示:
交换机高级特性简介_第1张图片

  • 假设这是某企业的网络拓扑图,对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID(每个公司至少消耗一个VLAN ID),还增加了网络维护的难度。
  • MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。

MUX VLAN的基本概念

MUX VLAN的划分

  • 主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。

  • 隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型
    的VLAN完全隔离,Separate VLAN内部也完全隔离。MUX VLAN技术中只能将一个VLAN设置为Separate VLAN

  • 互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group
    VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用
    户通信的VLAN。

结合MUX VLAN几种类型的性质,可以对上图的企业网络进行如下规划:

  1. 由于企业外来用户和企业内部用户都需要访问服务器,故可以将
    服务器部分设为主VLAN(Principal VLAN)
  2. 企业外来用户之间不需要互相通信且不能与企业内部员工互访,故将外来访客划分到隔离型从VLAN(Separate VLAN)
  3. 企业内部员工部门之间需要互相通信且部门之间不能通信,故将每个员工部门划分到互通型从VLAN(Group VLAN) 中。

MUX VLAN配置实现

交换机高级特性简介_第2张图片
LSW1的配置

[Huawei]sysname LSW1
[LSW1]vlan batch 10 20 30 40
[LSW1]vlan 40
[LSW1-vlan40]mux-vlan          #将VLAN 40设置为主 VLAN
[LSW1-vlan40]subordinate group 10                   #将VLAN 10和20设为互通型VLAN
[LSW1-vlan40]subordinate group 20         
[LSW1-vlan40]subordinate separate 30             #将VLAN 30设为隔离型VLAN
###
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 40
[LSW1-GigabitEthernet0/0/2]port mux-vlan enable 
[LSW1-GigabitEthernet0/0/2]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[LSW1-GigabitEthernet0/0/1]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk 
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20 30 40

LSW3的配置

[Huawei]sysname LSW3
[LSW3]vlan batch 10 20 30 40
[LSW3] vlan 40
[LSW3-vlan40]mux-vlan 
[LSW3-vlan40]subordinate group 10
[LSW3-vlan40]subordinate group 20
[LSW3-vlan40]subordinate separate 30
[LSW3-vlan40]int e0/0/1
[LSW3-Ethernet0/0/1]port link-type access 
[LSW3-Ethernet0/0/1]port default vlan 10
[LSW3-Ethernet0/0/1]port mux-vlan enable 
[LSW3-Ethernet0/0/1]int e0/0/2
[LSW3-Ethernet0/0/2]port link-type access 
[LSW3-Ethernet0/0/2]port default vlan 10
[LSW3-Ethernet0/0/2]port mux-vlan enable 
[LSW3-Ethernet0/0/2]int e0/0/3
[LSW3-Ethernet0/0/3]port link-type access 
[LSW3-Ethernet0/0/3]port default vlan 20
[LSW3-Ethernet0/0/3]port mux-vlan enable 
[LSW3-Ethernet0/0/3]int e0/0/4
[LSW3-Ethernet0/0/4]port link-type access 
[LSW3-Ethernet0/0/4]port default vlan 20
[LSW3-Ethernet0/0/4]port mux-vlan enable
[LSW3-Ethernet0/0/4]int e0/0/5
[LSW3-Ethernet0/0/5]port link-type trunk 
[LSW3-Ethernet0/0/5]port trunk allow-pass vlan 10 20 30 40

LSW2的配置

[Huawei]sysname LSW2
[LSW2]vlan batch 10 20 30 40
[LSW2]vlan 40
[LSW2-vlan40]mux-vlan
[LSW2-vlan40]subordinate group 10 20
[LSW2-vlan40]subordinate separate 30
[LSW2-Ethernet0/0/5]port link-type trunk 
[LSW2-Ethernet0/0/5]port trunk allow-pass vlan 10 20 30 40
[LSW2-Ethernet0/0/5]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access 
[LSW2-Ethernet0/0/1]port default vlan 30
[LSW2-Ethernet0/0/1]port mux-vlan enable 
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access 
[LSW2-Ethernet0/0/2]port default vlan 30
[LSW2-Ethernet0/0/2]port mux-vlan enable 
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type access 
[LSW2-Ethernet0/0/3]port default vlan 30
[LSW2-Ethernet0/0/3]port mux-vlan enable 
[LSW2-Ethernet0/0/3]int e0/0/4
[LSW2-Ethernet0/0/4]port link-type access 
[LSW2-Ethernet0/0/4]port default vlan 30
[LSW2-Ethernet0/0/4]port mux-vlan enable 

利用命令display mux-vlan 分别在LSW1、LSW2和LSW3上查看配置的效果

交换机高级特性简介_第3张图片
交换机高级特性简介_第4张图片
交换机高级特性简介_第5张图片

端口隔离

端口隔离应用场景

交换机高级特性简介_第6张图片
为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的
VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端
口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为
用户提供了更安全、更灵活的组网方案。

端口隔离的基本概念

同一端口隔离组内的用户不能进行二层的通信,但是不同端口隔离组内的用户可以进行正常通行;未划分端口隔离的用户也能与端口隔离组内的用户正常通信。

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:

  • 如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层
    通信,则可以将隔离模式设置为二层隔离三层互通。
  • 如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二
    层三层均隔离。

端口隔离配置实现

拓扑图如下所示:
交换机高级特性简介_第7张图片
将VLAN 30中的PC1和PC2放在同一隔离组,PC3和PC4放在同一隔离组,LSW2的配置如下所示:

[LSW2]vlan 30
[LSW2-vlan30]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access 
[LSW2-Ethernet0/0/1]port default vlan 30
[LSW2-Ethernet0/0/1]port-isolate enable group 1
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access 
[LSW2-Ethernet0/0/2]port default vlan 30
[LSW2-Ethernet0/0/2]port-isolate enable group 1
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type access 
[LSW2-Ethernet0/0/3]port default vlan 30
[LSW2-Ethernet0/0/3]port-isolate enable group 2
[LSW2-Ethernet0/0/3]int e0/0/4
[LSW2-Ethernet0/0/4]port link-type access 
[LSW2-Ethernet0/0/4]port default vlan 30
[LSW2-Ethernet0/0/4]port-isolate enable group 2

查看隔离组
在这里插入图片描述
在这里插入图片描述
测试隔离的效果:

  1. 使用PC1去ping PC2
    交换机高级特性简介_第8张图片
  2. 使用PC1去ping PC3
    交换机高级特性简介_第9张图片
    结果分析:同一VLAN的同一隔离组之间无法通信,不同的隔离组之间可以通信。

端口安全

端口安全的应用场景

交换机高级特性简介_第10张图片
如图所示,当网络中存在非法用户时,可以使用端口安全技术保证网络的安全。
端口安全经常使用在下列场景中:

  1. 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
  2. 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

端口安全解决方案

在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC
地址转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,
只允许学习到MAC地址的设备通信。这样可以阻止其他非信任用户通过本接口和交换机通
信,提高设备与网络的安全性。
交换机高级特性简介_第11张图片
做法如下:

  • 接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN
    信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的
    MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
  • 汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当
    学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。

端口安全类型

类型 定义 特点
安全动态MAC地址 使能端口安全而未使能Sticky MAC功能时装换的MAC地址 设备重启后需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化
安全静态MAC地址 使能端口安全时手工配置的静态MAC地址 不会被老化,手动保存配置后重启设备不会丢失
Stciky MAC地址 使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址 不会被老化,手工配置后重启设备不会丢失
  • 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
  • 接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为StickyMAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
  • 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
  • 接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址。

端口安全限制动作

动作 实现说明
restrict 丢弃源MAC地址不存在的报文并上警告
protect 只丢弃源MAC地址不存在的报文,不上报报警
shutdown 接口状态被置为error-down,并上报报警。默认情况下,接口关闭后不会自动恢复

端口安全配置实现

交换机高级特性简介_第12张图片
以LSW3为例

[LSW3]int e0/0/1
[LSW3-Ethernet0/0/1]port link-type access 
[LSW3-Ethernet0/0/1]port default vlan 10
[LSW3-Ethernet0/0/1]port-security enable
[LSW3-Ethernet0/0/1]port-security mac-address sticky
[LSW3-Ethernet0/0/1]port-security mac-address sticky 5489-98c6-5200 vlan 10
...(其他端口一样)

查看在LSW3上绑定的MAC地址表(只绑定了1 2 接口)
交换机高级特性简介_第13张图片
(资料来源华为手册)

你可能感兴趣的:(路由交换)