企业网络交换机高级特性

  • MUX VLANMultiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
  • 为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
  • 在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。

MUX VLAN应用场景

企业网络交换机高级特性_第1张图片

  •  如图所示,服务器与汇聚层交换机相连,为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信来实现。
  • 对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度。
  • MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。

MUX VLAN基本概念

企业网络交换机高级特性_第2张图片

  •  MUX VLAN的划分:
  1. VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
  2. 隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
  3. 互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLANSeparate VLAN内的用户通信的VLAN
  • 如图所示,根据MUX VLAN特性,解决方案如下:
  1. 企业管理员可以将服务器划分到Principal VLAN
  2. MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN
  3. 由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
  4. 这样就能够实现:

     1)企业外来访客、企业员工都能够访问企业服务器。

     2)企业员工部门内部可以通信,而企业员工部门之间不能通信。

     3)企业外来访客间不能通信、外来访客和企业员工之间不能互访。

MUX VLAN配置实现

企业网络交换机高级特性_第3张图片

  • 如图所示,希望实现企业外来访客、企业员工都能够访问企业服务器,而企业同部门员工可以通信,不同部门员工不能通信;企业外来访客间不能通信;企业外来访客和企业员工之间不能互访。
  • 将企业服务器划分到Principal VLANPrincipal VLANVLAN 40
  • 企业外来访客划分到Separate VLANSeparate VLANVLAN 30
  • 企业员工划分到Group VLANGroup VLANVLAN 10VLAN 20VLAN 10分配给财务部,VLAN 20分配给市场部,各部门之间二层隔离。

SWB配置:

sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN

#
vlan 30
 description Client VLAN
vlan 40
 description Principal VLAN
 mux-vlan                                       //将VLAN 40设置为Principal VLAN
 subordinate separate 30               //将VLAN 30设置为Separate VLAN
 subordinate group 10 20              //将VLAN 10与VLAN 20设置为Group VLAN
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 40
 port mux-vlan enable                  //在接口下开启MUX VLAN功能

SWC配置:
sysname SWC
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing VLAN
vlan 30
 description Cilent VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
 port mux-vlan enable
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
 port mux-vlan enable
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
 port mux-vlan enable

SWD配置:
sysname SWD
#
vlan batch 10 20 30 40
#
vlan 10
 description Financial VLAN
vlan 20
 description Marketing
vlan 30
 description Client VLAN
vlan 40
 description Principal VLAN
 mux-vlan
 subordinate separate 30
 subordinate group 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 30
 port mux-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
 port mux-vlan enable

端口隔离应用场景

企业网络交换机高级特性_第4张图片

  • 为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 

端口隔离基本概念

企业网络交换机高级特性_第5张图片

  •  如图所示,同一端口隔离组内的用户不能进行二层的通信,但是不同端口隔离组内的用户可以进行正常通行;未划分端口隔离的用户也能与端口隔离组内的用户正常通信。
  • 端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
  • 如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。
  • 如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。
  • 配置注意事项:
  • S系列交换机均支持配置二层隔离三层互通模式。
  • S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机仅V100R006C05版本仅S2700SIS2700EI不支持二层三层都隔离模式,V100R002及后续版本S1720S2720S2750EIS5700LIS5700S-LI不支持二层三层都隔离模式。
  • 如果不是特殊情况要求,建议用户不要将上行口和下行口加入到同一端口隔离组中,否则上行口和下行口之间不能相互通信。

端口隔离配置实现

企业网络交换机高级特性_第6张图片

  • 如图所示,同项目组的员工都被划分到VLAN 10中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信。
  • 配置命令:
  • port-isolate enable命令用来使能端口隔离功能,默认将端口划入隔离组group 1
  • 如果希望创建新的group组,使用命令port-isolate enable group后面接所要创建的隔离组组号。
  • 可以在系统视图下执行port-isolate mode all命令配置隔离模式为二层三层都隔离。
  • 查看命令:
  • 使用display port-isolate group all命令可以查看所有创建的隔离组情况。
  • 使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。

 端口安全应用场景

企业网络交换机高级特性_第7张图片

  •  如图所示,当网络中存在非法用户时,可以使用端口安全技术保证网络的安全。
  • 端口安全经常使用在下列场景中:
  • 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
  • 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

端口安全解决方案 

企业网络交换机高级特性_第8张图片

  • 在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。这样可以阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性。
  • 如图所示,解决方案如下:
  • 接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
  • 汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。

端口安全类型

  • 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MACSticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

企业网络交换机高级特性_第9张图片

  • 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
  • 接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
  • 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
  • 接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址。

端口安全限制动作

  •  超过安全MAC地址限制数后的动作:

企业网络交换机高级特性_第10张图片

  •  接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict

端口安全配置实现 

企业网络交换机高级特性_第11张图片

  • 如图所示,园区网络要求保障接入用户的安全性。财务部人员流动性较低,可以使用端口安全技术静态绑定接入用户的MACVLAN信息;市场部的人员流动性较高,使用端口安全技术的动态MAC地址学习保证接入用户的合法性。
  • 命令解释:
  1. 执行命令interface interface-type interface-number,进入接口视图。
  2. 执行命令port-security enable,使能端口安全功能。
  3. 缺省情况下,未使能端口安全功能。
  4. 执行命令port-security mac-address sticky,使能接口Sticky MAC功能。
  5. 缺省情况下,接口未使能Sticky MAC功能。
  6. 执行命令port-security max-mac-num max-number,配置接口Sticky MAC学习限制数量。
  7. 使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1
  8. (可选)执行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。
  9. 缺省情况下,端口安全保护动作为restrict
  10. (可选)执行命令port-security mac-address sticky mac-address vlan vlan-id,手动配置一条sticky-mac表项。

端口安全配置验证

企业网络交换机高级特性_第12张图片

 思考题

1.MUX VLAN中,可以与所有VLAN进行通信的是下列哪个选项?(  A   )  

  A. Principal VLAN                   B.   Separate VLAN

 C.   Group VLAN                      D.   Subordinate VLAN

2.端口安全技术中安全MAC 地址类型有以下哪几种? ( ABC )
A.   安全动态 MAC 地址           B.   安全静态 MAC 地址

           C.   Sticky MAC地址              D.   Protect MAC地址

你可能感兴趣的:(网络,服务器,运维,网络协议,tcp/ip,信息与通信,网络安全)