ielab网络实验室 MUX VLAN 、 端口隔离 、 端口安全简述

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ielab网络实验室 MUX VLAN 、 端口隔离 、 端口安全简述相关的知识,希望对你有一定的参考价值。

参考技术A MUX VLAN

(Multiplex VLAN )提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。

为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同-VLAN内端口之间的隔离。

在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只到MAC地址的设备通信。

1、MUX VLAN:

对于企业来说。希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工,此时不但需要耗费大量的VLAN ID,还增加了网络维护的难度。MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。

MUX VLAN分为主VLAN和从VLAN,从VLAN又分为隔离型从VLAN和互通型从VLAN。

主VLAN(Principal VLAN):Principal port可以和MUX VLAN内的所有接口进行通信。

隔离型从VLAN(Separate VLAN):Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。

每个隔离型从VLAN必须绑定一个主VLAN。

互通型从VLAN(Group VLAN):Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。每个互通型从VLAN必须绑定一个主VLAN。

2、端口隔离

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:

如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;

如果用户希望同一vlan不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。

端口隔离技术也有缺点,一是计算机之间共享不能实现;二是隔离只能在一台交换机上实现,不能在堆叠交换机之间实现,如果是堆叠环境,只能改成交换机之间 级连 。

[if !supportLists]3、[endif]端口安全

如果说网络中存在非法用户时,可以使用端口安全技术保证网络的安全。一般使用在如下场景:①应用在接口层设备:通过配置端口安全可以防止仿冒用户从其他端口攻击;②应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

端口安全(Port Security),从基本原理上讲,Port Security特性会通过 MAC地址表 记录连接到 交换机 端口的 以太网 MAC地址 ,并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址 泛洪 造成MAC地址表填满。

端口安全的类型:

端口安全( Port Security )通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

1、接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。

2、接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为StickyMAC地址,之后学习到的MAC地址也变为Sticky MAC地址。

3、接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。

4、接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址。

超过安全MAC地址限制后得到的动作:

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。

Restrict:丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。注:设备收到非法MAC地址的报文时,每30s至少警告1次,至多警告2次。

Protect:只丢弃源MAC地址不存在的报文,不上告报警。

Shutdown:接口状态被置为error-down,并上报告警。 默认情况下,接口关闭后不会自动恢复,只能由管理员手动恢复。

MUX VLAN的配置

MUX VLAN的配置

  • 实验拓扑图

在这里插入图片描述

  • 实验要求

如图所示,VLAN10、20、99为公司内部网络,30为访客网络。
1.测试所有PC和服务器能否通信?(YES)
2.在S1上完成配置,使得VLAN10、20内部能够通信且能够访问服务器所在网络VLAN99(不考虑10和20之间互相通信),VLAN30作为访客网络仅能访问服务器所在网络VLAN99,VLAN30内部成员也不能互相访问。
3.测试VLAN10、20、30、99之间通信状况。(VLAN10、20、99内部均能够通信,VLAN30内部不能通信,VLAN10、20、30和 VLAN99能够通信)
4.附加题8分,可使用port-group功能将8个端口放在一个group,一起配置(group编号1)。

备注:VLAN99为主VLAN,VLAN10、20为从VLAN,且为group类型,VLAN30为从VLAN,且为separate类型。

  • 测试
    所有PC ping 服务器,如图都能通信
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 配置
<Huawei>system-view 
[Huawei]vlan batch 10 20 30 99
#配置MUX VLAN中的Group VLAN 和Separate VLAN:	
[Huawei]vlan 99
[Huawei-vlan99]mux-vlan  //1.启动混合型VLAN;2.VLAN99是主VLAN
[Huawei-vlan99]subordinate 
[Huawei-vlan99]subordinate group 10 20
[Huawei-vlan99]subordinate separate 30
[Huawei-vlan99]quit 
[Huawei]port-group 1  //用port-group功能将8个端口放在一个group,一起配置
[Huawei-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/8	
[Huawei-port-group-1]port link-type access 
[Huawei-Ethernet0/0/1]port link-type access 
[Huawei-Ethernet0/0/2]port link-type access 
[Huawei-Ethernet0/0/3]port link-type access 
[Huawei-Ethernet0/0/4]port link-type access 
[Huawei-Ethernet0/0/5]port link-type access 
[Huawei-Ethernet0/0/6]port link-type access 
[Huawei-Ethernet0/0/7]port link-type access 
[Huawei-Ethernet0/0/8]port link-type access 
[Huawei-port-group-1]q
[Huawei]int	
[Huawei]interface Ethernet0/0/1
[Huawei-Ethernet0/0/1]port default vlan 10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port default vlan 20
[Huawei-Ethernet0/0/3] int e0/0/4
[Huawei-Ethernet0/0/4]port default vlan 20
[Huawei-Ethernet0/0/4]int e0/0/5
[Huawei-Ethernet0/0/5]port default vlan 30
[Huawei-Ethernet0/0/5]int e0/0/6
[Huawei-Ethernet0/0/6]port default vlan 30
[Huawei-Ethernet0/0/6]int e0/0/7
[Huawei-Ethernet0/0/7]port default vlan 30
[Huawei-Ethernet0/0/7]int e0/0/8
[Huawei-Ethernet0/0/8]port default vlan 99
[Huawei-Ethernet0/0/8]int e0/0/7
[Huawei-Ethernet0/0/7]port default vlan 99
[Huawei-Ethernet0/0/7]quit 
[Huawei]port-group 1  
[Huawei-port-group-1]port mux-vlan enable 
[Huawei-Ethernet0/0/1]port mux-vlan enable 
[Huawei-Ethernet0/0/2]port mux-vlan enable 
[Huawei-Ethernet0/0/3]port mux-vlan enable 
[Huawei-Ethernet0/0/4]port mux-vlan enable 
[Huawei-Ethernet0/0/5]port mux-vlan enable 
[Huawei-Ethernet0/0/6]port mux-vlan enable 
[Huawei-Ethernet0/0/7]port mux-vlan enable 
[Huawei-Ethernet0/0/8]port mux-vlan enable 
[Huawei-port-group-1]q
[Huawei]q
<Huawei>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Mar 29 2021 17:18:48-08:00 Huawei %%01CFM/4/SAVE(l)[5]:The user chose Y when dec
iding whether to save the configuration to the device.
Save the configuration successfully.

再次测试:VLAN10、20、99内部均能够通信,VLAN10、20、30和 VLAN99能够通信
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
VLAN30内部不能通信
在这里插入图片描述
PC1 ping PC7能够通信,原因:PC7属于主VLAN
在这里插入图片描述
对交换机的E0/0/1和E0/0/8接口进行抓包:
在这里插入图片描述
在这里插入图片描述

以上是关于ielab网络实验室 MUX VLAN 、 端口隔离 、 端口安全简述的主要内容,如果未能解决你的问题,请参考以下文章

MUX VLAN的配置

MUX VLAN的配置

华为设备实施MUX VLAN灵活的控制VLAN间互访同时节省IP地址实施

华为mux-vlan配置步骤

super-vlan 和 mux-vlan

vlan理论04-mux vlan