交换机高级特性简介

MUX VLAN(Multiplex VLAN):是通过VLAN(二层流量隔离)进行网络资源控制的机制

   应用场景:服务器与汇聚层交换机直接相连,服务器的资源共享,企业希望隔离相同VLAN中不同外来访客之间的通信,同时隔离企业内部不同部门之间的通信
    作用:
           可以实现企业内部员工之间互相通信,而隔离企业外来访客之间的互访
    分类:
           1.主VLAN(Principal vlan) :可以和从vlan互相通信
           2.从VLAN(Subordinate vlan):不同从vlan不能通信
                            互通型vlan:同一vlan内设备可以互相通信
                            隔离型vlan:同一vlan内设备可以互相隔离
      配置:所有配置在主vlan配置
     每个接口:port mux-vlan enable
     在主vlan下配置:
         mux-vlan    将该vlan设置为主vlan
         subordinate separate 10        将vlan10 设置为隔离型vlan
         subordinate group  20           将vlan 20设置为互通型vlan

端口隔离:
问题: 实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。
解决:采用端口隔离功能

  作用:         
      可以实现同一VLAN内端口之间的隔离
      为用户提供了更安全、更灵活的组网方案
 应用场景:
       同一项目组的员工都被划分到同一VLAN中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信
 端口分类:
       隔离端口
       普通端口
    (多个隔离端口为一个隔离组)
  特性:
       隔离端口之间互相隔离,不能通信
       隔离端口与普通端口互不隔离,可以通信
       同隔离组内端口互相隔离,不同隔离组之间端口可以通信
  配置:
       接口视图下配置:
           port-isolate enable + group X    将该接口加入隔离组X
                     (默认将端口划入隔离组group 1)

端口安全:接入控制技术
应用:
应用在接入层设备,可以防止仿冒用户从其他端口攻击
应用在汇聚层设备,可以控制接入用户的数量
实现:
绑定接入用户的MAC地址与VLAN信息,将接口学习到的MAC地址转换为安全MAC地址,当有非法用户通过已配置端口安全的接口接入网时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃
(当学习到的MAC地址数量达到上限(10个)后不再学习新的MAC地址,只允许学习到MAC地址的设备通信)
作用:
阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性
端口安全类型:将接口学习到的动态MAC地址转换为安全MAC地址
交换机高级特性简介

 端口安全限制动作:收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。

交换机高级特性简介

配置:
接口下配置
port-security enable 使能端口安全功能
port-security mac-address sticky 使能接口Sticky MAC功能(默认未使能)(需手动配置一条sticky-mac表项,不然为安全静态)
port-security mac-address sticky 5489-983F-24E5 vlan 10 手动配置一条sticky-mac表项

display mac-address sticky 查看绑定的MAC地址表
display mac-address security 查看动态学习到的MAC地址表

上一篇:VLAN和三层交换


下一篇:【ENSP】同网段不同vlan如何ping通的问题