MUX VLAN(Multiplex VLAN):是通过VLAN(二层流量隔离)进行网络资源控制的机制
应用场景:服务器与汇聚层交换机直接相连,服务器的资源共享,企业希望隔离相同VLAN中不同外来访客之间的通信,同时隔离企业内部不同部门之间的通信
作用:
可以实现企业内部员工之间互相通信,而隔离企业外来访客之间的互访
分类:
1.主VLAN(Principal vlan) :可以和从vlan互相通信
2.从VLAN(Subordinate vlan):不同从vlan不能通信
互通型vlan:同一vlan内设备可以互相通信
隔离型vlan:同一vlan内设备可以互相隔离
配置:所有配置在主vlan配置
每个接口:port mux-vlan enable
在主vlan下配置:
mux-vlan 将该vlan设置为主vlan
subordinate separate 10 将vlan10 设置为隔离型vlan
subordinate group 20 将vlan 20设置为互通型vlan
端口隔离:
问题: 实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。
解决:采用端口隔离功能
作用:
可以实现同一VLAN内端口之间的隔离
为用户提供了更安全、更灵活的组网方案
应用场景:
同一项目组的员工都被划分到同一VLAN中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信
端口分类:
隔离端口
普通端口
(多个隔离端口为一个隔离组)
特性:
隔离端口之间互相隔离,不能通信
隔离端口与普通端口互不隔离,可以通信
同隔离组内端口互相隔离,不同隔离组之间端口可以通信
配置:
接口视图下配置:
port-isolate enable + group X 将该接口加入隔离组X
(默认将端口划入隔离组group 1)
端口安全:接入控制技术
应用:
应用在接入层设备,可以防止仿冒用户从其他端口攻击
应用在汇聚层设备,可以控制接入用户的数量
实现:
绑定接入用户的MAC地址与VLAN信息,将接口学习到的MAC地址转换为安全MAC地址,当有非法用户通过已配置端口安全的接口接入网时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃
(当学习到的MAC地址数量达到上限(10个)后不再学习新的MAC地址,只允许学习到MAC地址的设备通信)
作用:
阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性
端口安全类型:将接口学习到的动态MAC地址转换为安全MAC地址
端口安全限制动作:收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
配置:
接口下配置
port-security enable 使能端口安全功能
port-security mac-address sticky 使能接口Sticky MAC功能(默认未使能)(需手动配置一条sticky-mac表项,不然为安全静态)
port-security mac-address sticky 5489-983F-24E5 vlan 10 手动配置一条sticky-mac表项
display mac-address sticky 查看绑定的MAC地址表
display mac-address security 查看动态学习到的MAC地址表