交換機(jī)高級(jí)特性簡(jiǎn)介

交換機(jī)高級(jí)特性簡(jiǎn)介MUXVLAN（MultiplexVLAN）提供了一種通過(guò)VLAN進(jìn)行網(wǎng)絡(luò)資源控制的機(jī)制。通過(guò)MUXVLAN提供的二層流量隔離的機(jī)制可以實(shí)現(xiàn)企業(yè)內(nèi)部員工之間互相通信，而企業(yè)外來(lái)訪客之間的互訪是隔離的。為了實(shí)現(xiàn)報(bào)文之間的二層隔離，用戶(hù)可以將不同的端口加入不同的VLAN，但這樣會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離功能，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。端口隔離功能為用戶(hù)提供了更安全、更靈活的組網(wǎng)方案。在安全性要求較高的網(wǎng)絡(luò)中，交換機(jī)可以開(kāi)啟端口安全功能，禁止非法MAC地址設(shè)備接入網(wǎng)絡(luò)；當(dāng)學(xué)習(xí)到的MAC地址數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址，只允許學(xué)習(xí)到MAC地址的設(shè)備通信。學(xué)完本課程后，您將能夠：掌握MUXVLAN應(yīng)用場(chǎng)景及配置掌握端口隔離應(yīng)用場(chǎng)景及配置掌握端口安全應(yīng)用場(chǎng)景及配置MUXVLAN端口隔離端口安全MUXVLAN應(yīng)用場(chǎng)景財(cái)務(wù)部企業(yè)內(nèi)部員工服務(wù)器核心層市場(chǎng)部外來(lái)訪客匯聚層接入層A公司B公司接入層服務(wù)器與匯聚層交換機(jī)直接相連，服務(wù)器的資源共享，企業(yè)希望隔離相同VLAN中不同外來(lái)訪客之間的通信，同時(shí)隔離企業(yè)內(nèi)部不同部門(mén)之間的通信，該如何實(shí)現(xiàn)？訪問(wèn)服務(wù)器流量用戶(hù)互訪流量服務(wù)器MUXVLAN基本概念財(cái)務(wù)部企業(yè)內(nèi)部員工核心層市場(chǎng)部外來(lái)訪客匯聚層接入層A公司B公司接入層VLAN10VLAN20VLAN30VLAN30VLAN40設(shè)置VLAN為PrincipalVLAN可以與MUXVLAN內(nèi)的所有VLAN進(jìn)行通信。設(shè)置VLAN為SeparateVLAN只能和PrincipalVLAN進(jìn)行通信，和其他VLAN實(shí)現(xiàn)隔離，VLAN內(nèi)部也隔離。設(shè)置VLAN為GroupVLAN可以和PrincipalVLAN進(jìn)行通信，在同一VLAN內(nèi)的用戶(hù)也可互相通信，但不能和其他GroupVLAN或SeparateVLAN內(nèi)的用戶(hù)通信。服務(wù)器MUXVLAN配置實(shí)現(xiàn)財(cái)務(wù)部企業(yè)內(nèi)部員工SWA市場(chǎng)部外來(lái)訪客SWBSWCA公司B公司SWDVLAN10VLAN20VLAN30VLAN30VLAN40PrincipalVLANGroupVLANSeparateVLANMUXVLAN端口隔離端口安全端口隔離應(yīng)用場(chǎng)景外部員工核心層內(nèi)部員工匯聚層接入層接入層同一項(xiàng)目組的員工都被劃分到VLAN10中，其中屬于企業(yè)內(nèi)部的員工允許相互通信，屬于企業(yè)外部的員工不允許相互通信，外部員工與內(nèi)部員工之間允許通信，該如何實(shí)現(xiàn)？允許互訪的流量不允許互訪的流量VLAN10VLAN10端口隔離基本概念外部員工核心層內(nèi)部員工匯聚層接入層接入層VLAN10VLAN10只需要將用戶(hù)接口加入到同一隔離組中，就可以實(shí)現(xiàn)同一隔離組內(nèi)用戶(hù)之間二層數(shù)據(jù)的隔離。隔離組Group1未劃分端口隔離的用戶(hù)能與端口隔離組內(nèi)的用戶(hù)正常通信。端口隔離配置實(shí)現(xiàn)外部員工SWA內(nèi)部員工SWBSWCSWDVLAN10VLAN10隔離組Group1interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan10

port-isolateenablegroup1#interfaceGigabitEthernet0/0/2

portlink-typeaccess

portdefaultvlan10

port-isolateenablegroup1……<SWC>displayport-isolategroup1

Theportsinisolategroup1:GigabitEthernet0/0/1GigabitEthernet0/0/2GigabitEthernet0/0/3GigabitEthernet0/0/4G0/0/1G0/02G0/0/3G0/0/4G0/0/1G0/02G0/0/3G0/0/4MUXVLAN端口隔離端口安全端口安全應(yīng)用場(chǎng)景財(cái)務(wù)部用戶(hù)核心層非法用戶(hù)匯聚層接入層市場(chǎng)部用戶(hù)非法用戶(hù)接入層為了保證匯聚設(shè)備的安全性，如何防止非法用戶(hù)的攻擊？為了保證接入設(shè)備安全性，如何防止非法用戶(hù)的攻擊？端口安全解決方案財(cái)務(wù)部用戶(hù)核心層非法用戶(hù)匯聚層接入層市場(chǎng)部用戶(hù)非法用戶(hù)接入層用戶(hù)接口MACVLAN154-89-98-3F-24-E520254-89-98-8A-13-EE20354-89-98-76-42-C420454-89-98-97-45-2020MAC：54-89-98-34-12-E4VLAN10VLAN201234設(shè)置接入的用戶(hù)的最大數(shù)量當(dāng)接口有非法用戶(hù)接入時(shí)，不再允許其接入。1234端口安全類(lèi)型端口安全（PortSecurity）通過(guò)將接口學(xué)習(xí)到的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動(dòng)態(tài)MAC、安全靜態(tài)MAC和StickyMAC）阻止非法用戶(hù)通過(guò)本接口和交換機(jī)通信，從而增強(qiáng)設(shè)備的安全性。類(lèi)型定義特點(diǎn)安全動(dòng)態(tài)MAC地址使能端口安全而未使能StickyMAC功能時(shí)轉(zhuǎn)換的MAC地址。設(shè)備重啟后表項(xiàng)會(huì)丟失，需要重新學(xué)習(xí)。缺省情況下不會(huì)被老化，只有在配置安全MAC的老化時(shí)間后才可以被老化。安全靜態(tài)MAC地址使能端口安全時(shí)手工配置的靜態(tài)MAC地址。不會(huì)被老化，手動(dòng)保存配置后重啟設(shè)備不會(huì)丟失。StickyMAC地址使能端口安全后又同時(shí)使能StickyMAC功能后轉(zhuǎn)換得到的MAC地址。不會(huì)被老化，手動(dòng)保存配置后重啟設(shè)備不會(huì)丟失。端口安全限制動(dòng)作超過(guò)安全MAC地址限制數(shù)后的動(dòng)作：接口上安全MAC地址數(shù)達(dá)到限制后，如果收到源MAC地址不存在的報(bào)文，端口安全則認(rèn)為有非法用戶(hù)攻擊，就會(huì)根據(jù)配置的動(dòng)作對(duì)接口做保護(hù)處理。缺省情況下，保護(hù)動(dòng)作是restrict。動(dòng)作實(shí)現(xiàn)說(shuō)明restrict丟棄源MAC地址不存在的報(bào)文并上報(bào)告警。推薦使用restrict動(dòng)作。protect只丟棄源MAC地址不存在的報(bào)文，不上報(bào)告警。shutdown接口狀態(tài)被置為error-down，并上報(bào)告警。默認(rèn)情況下，接口關(guān)閉后不會(huì)自動(dòng)恢復(fù)，只能由網(wǎng)絡(luò)管理人員在接口視圖下使用restart命令重啟接口進(jìn)行恢復(fù)。端口安全配置實(shí)現(xiàn)財(cái)務(wù)部用戶(hù)RTASWASWB市場(chǎng)部用戶(hù)SWCVLAN10VLAN20interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan10

port-securityenable

port-securitymac-addressstickyport-securitymac-addresssticky5489-983F-24E5vlan10……其他接口的配置類(lèi)似，略interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan20

port-securityenable……其他接口的配置類(lèi)似，略G0/0/1G0/0/2G0/0/3G0/0/1G0/0/2G0/0/3端口安全配置驗(yàn)證在SWB上使用命令查看綁定的MAC地址表：<SWB>displaymac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID

VSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-988a-13ee10--GE0/0/2sticky-5489-983f-24e510--GE0/0/1sticky--------------------------------------------------------------------------------<SWC>displaymac-addresssecurityMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9876-42c420--GE0/0/1security-5489-9897-452020--GE0/0/2security---------------------------------------------------------------------------------------------------------------------------------------------在SWC上使用命令查看動(dòng)態(tài)學(xué)習(xí)到的MAC地址表：在MUXVLAN中，可以與所有VLAN進(jìn)行通信的是下列哪個(gè)選項(xiàng)？（）Principa