交换机高级特性简介:MUX VLAN、端口隔离功能、端口安全功能简单原理与配置
文章目录
MUX VLAN
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN应用场景
如上图要求,为了实现所有用户可以与服务器通信,我可以可以用VLAN间路由来实现。
对于企业来说,希望企业内部员工之间可以互相访问,但是为了保证客户隐私而企业外来访客之间是隔离的,我们可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID(VLAN范围:0~4095),还增加了网络维护的难度。
MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN基本概念
MUX VLAN可以分为:
- 主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
- 隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
- 互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
注意:MUX VLAN技术中只能将一个VLAN设置为Separate VLAN。可以将多个VLAN设置为Group VLAN。
实验配置
根据MUX VLAN的原理以及实验要求,那么我们就可以提出以下解决方案:
- 将服务器所在VLAN设置为:Principal VLAN
- 将企业内部员工划分到:Group VLAN
- 将外来访客划分到:Separate VLAN
配置命令
SWB:
sysname SWB
#
vlan batch 10 20 30 40 //创建VLAN 10 20 30 40
#
vlan 10
description Financial VLAN //添加描述信息,以便管理员查看
vlan 20
description Marketing VLAN
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan //将VLAN 40 设置为Principal VLAN
subordinate separate 30 //将VLAN 30 设置为separate VLAN
subordinate group 10 20 //将VLAN 10 20 设置为Group VLAN
#
interface GigabitEthernet0/0/1 //进入物理接口
port link-type trunk //设置端口类型为Trunk
port trunk allow-pass vlan 10 20 30 40 //设备允许通过列表
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3 //进入物理接口
port link-type access //设置端口类型为Access
port default vlan 40 //设置该端口属于VLAN 40
port mux-vlan enable //在接口下开启MUX VLAN功能
接入层交换机(SWC、SWD)配置相同,这里以SWC为例:
sysname SWC
#
vlan batch 10 20 30 40
# /进入各VLAN添加描述信息
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Cilent VLAN
vlan 40
description Principal VLAN
mux-vlan //将VLAN 40 设置为Principal VLAN
subordinate separate 30 //将VLAN 30 设置为separate VLAN
subordinate group 10 20 //将VLAN 10 20 设置为Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable //在接口下开启MUX VLAN功能
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 20
port mux-vlan enable
验证: 用PING命令验证,各主机可以与服务器通信;企业内部相同部门可以通信,不同部门不能通信;外部访客之间不能通信。
端口隔离
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离基本概念
如下图要求:
我们可以通过端口隔离做到,将外部员工设置成一个隔离组就可以了:同一端口隔离组内的用户不能进行二层的通信,但是不同端口隔离组内的用户可以进行正常通行;未划分端口隔离的用户也能与端口隔离组内的用户正常通信。
端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
- 如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。
- 如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。
配置注意事项:
不是特殊情况要求,建议用户不要将上行口和下行口加入到同一端口隔离组中,否则上行口和下行口之间不能相互通信。
实验配置
根据实验要求,我们可以将外部员工设置隔离组,然后将交换机相应端口添加进去就可以了。
配置命令
VLAN基础配置这里以LSW5为例:
sysname SW5
#
vlan 10 //创建VLAN 10
#
interface GigabitEthernet0/0/5 //进入端口
port link-type trunk //宣告端口类型为Trunk
port trunk allow-pass vlan 10 //设置允许通过列表(LSW6两个端口同样配置,这里不再赘述)
#
interface GigabitEthernet0/0/1
port link-type access //宣告端口类型为Access
port default vlan 10 //将端口添加到VLAN 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
#
设置隔离组,这里以SW4为例:
sysname SW4
#
vlan batch 10
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable //开启端口隔离功能,默认将端划入隔离组 1(Group 1)
//与上命令相同:port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-isolate enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
port-isolate enable
#
注意:
- 如果希望创建新的group组,使用命令
port-isolate enable group [组号]后面接所要创建的隔离组组号。 - 可以在系统视图下执行
port-isolate mode all命令配置隔离模式为二层三层都隔离。
查看命令:
- 使用
display port-isolate group all命令可以查看所有创建的隔离组情况。 - 使用
display port-isolate group [组号]命令可以查看具体的某一个隔离组接口情况。
[SW4]display port-isolate group 1
The ports in isolate group 1:
GigabitEthernet0/0/1 GigabitEthernet0/0/2 GigabitEthernet0/0/3
GigabitEthernet0/0/4
[SW4]
可以通过ping命令验证。
端口安全(Port Security)
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
端口安全基本概念
当网络中存在非法用户时,可以使用端口安全技术保证网络的安全。
端口安全经常使用在下列场景中:
- 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
- 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。这样可以阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性。
如图所示,解决方案如下:
- 接入层交换机的每个接口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的接口接入网络时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃。
- 汇聚层交换机开启端口安全功能,并设置每个接口可学习到的最大MAC地址数,当学习到的MAC地址数达到上限时,其他的MAC地址的数据包将被丢弃。
端口安全类型:
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
| 类型 | 定义 | 特点 |
|---|---|---|
| 安全动态MAC地址 | 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。 | 设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 |
| 安全静态MAC地址 | 使能端口安全时手工配置的静态MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
| Sticky MAC地址 | 使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
注意:
- 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
- 接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
- 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
- 接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址。
端口安全限制动作
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。
| 动作 | 实现说明 |
|---|---|
| restrict | 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。(默认动作) |
| protect | 只丢弃源MAC地址不存在的报文,不上报告警。 |
| shutdown | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。 |
实验配置
VLAN配置这里不再赘述。
我们在LSW8上配置端口安全静态绑定技术:
sysname SW8
#
vlan batch 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-security enable //使能端口安全功能
port-security mac-address sticky //使能端口Sticky MAC功能,缺省为安全动态MAC地址
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
我们在LSW9上配置端口安全动态MAC地址技术:
sysname SW9
#
vlan batch 20
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
port-security enable //使能端口安全功能
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
port-security enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port-security enable
#
注意:
执行命令port-security mac-address sticky,使能接口Sticky MAC功能。 缺省情况下,接口未使能Sticky MAC功能。
执行命令port-security max-mac-num [max-number],配置接口Sticky MAC学习限制数量。 缺省情况下,接口学习的MAC地址限制数量为1。
(可选)执行命令port-security protect-action [protect | restrict | shutdown],配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。
(可选)执行命令port-security mac-address sticky [mac-address] vlan [vlan-id],手动配置一条sticky-mac表项。
查看:
注意,直接查看会发现MAC地址表中无信息,可以通过ping命令进行一次数据通信之后,再查看交换机MAC地址表。
在LSW8上使用display mac-address sticky查看绑定的MAC地址表信息:
[SW8]display mac-address sticky
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9813-35e1 10 - - GE0/0/3 sticky -
5489-984d-1eae 10 - - GE0/0/1 sticky -
5489-98e2-3466 10 - - GE0/0/2 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
在LSW9上使用display mac-address security查看绑定的MAC地址表信息:
[SW9]dis mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98a8-5559 20 - - GE0/0/1 security -
5489-986f-218f 20 - - GE0/0/3 security -
5489-98d8-56d4 20 - - GE0/0/2 security -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
下一篇: 深圳首个机器人创客空间启动