1、MUX VLAN

1.1、為什么會(huì)有MUX VLAN？應(yīng)用場景？

應(yīng)用場景？

企業(yè)外來訪客、企業(yè)員工都能夠訪問企業(yè)服務(wù)器。
企業(yè)員工部門內(nèi)部可以通信，而企業(yè)員工部門之間不能通信。
企業(yè)外來訪客間不能通信、外來訪客和企業(yè)員工之間不能互訪。

為什么需要有MUX VLAN技術(shù)

對(duì)于企業(yè)來說，希望企業(yè)內(nèi)部員工之間可以互相訪問，而企業(yè)外來訪客之間是隔離的，可通過配置每個(gè)訪客使用不同的VLAN來實(shí)現(xiàn)。但如果企業(yè)擁有大量的外來訪客員工，此時(shí)不但需要耗費(fèi)大量的VLAN ID，還增加了網(wǎng)絡(luò)維護(hù)的難度

總結(jié)：

MUX VLAN提供的二層流量隔離的機(jī)制可以實(shí)現(xiàn)企業(yè)內(nèi)部員工之間互相通信，而企業(yè)外來訪客之間的互訪是隔離的

1.2、MUX VLAN的實(shí)現(xiàn)原理

配置思路

1、 首先在交換機(jī)上面創(chuàng)建相應(yīng)vlan 并把相應(yīng)的終端設(shè)備劃入到對(duì)應(yīng)vlan當(dāng)中 把終端設(shè)備都配置在同一個(gè)網(wǎng)段下面 測(cè)試連通性 都是可以相互通信的
2、 在主VLAN中配置MUX VLAN的相應(yīng)配置
3、 在連接相應(yīng)終端設(shè)備的接口下面需要使能MUX VLAN功能
port mux-vlan enable
4、進(jìn)行實(shí)驗(yàn)測(cè)試

SWB交換機(jī)的配置文件

SWC交換機(jī)的配置文件

sysname SWC#vlan batch 10 20 30 40#vlan 10 description Financial VLANvlan 20 description Marketing VLANvlan 30 description Cilent VLANvlan 40 description Principal VLAN mux-vlan subordinate separate 30 subordinate group 10 20#interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20 30 40#interface GigabitEthernet0/0/2 port link-type access port default vlan 10 port mux-vlan enable#interface GigabitEthernet0/0/3 port link-type access port default vlan 10 port mux-vlan enable#interface GigabitEthernet0/0/4 port link-type access port default vlan 20 port mux-vlan enable#interface GigabitEthernet0/0/5 port link-type access port default vlan 20 port mux-vlan enable

SWD的配置

2、端口隔離

2.1、為什么會(huì)有端口隔離？應(yīng)用場景？

可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到同一隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案

同一端口隔離組內(nèi)的用戶不能進(jìn)行二層的通信，但是不同端口隔離組內(nèi)的用戶可以進(jìn)行正常通行；未劃分端口隔離的用戶也能與端口隔離組內(nèi)的用戶正常通信

端口隔離分為二層隔離三層互通和二層三層都隔離兩種模式：

• 如果用戶希望隔離同一VLAN內(nèi)的廣播報(bào)文，但是不同端口下的用戶還可以進(jìn)行三層通信，則可以將隔離模式設(shè)置為二層隔離三層互通。

• 如果用戶希望同一VLAN不同端口下用戶徹底無法通信，則可以將隔離模式配置為二層三層均隔離。

2.3、端口隔離的配置思路

需求：

同項(xiàng)目組的員工都被劃分到VLAN 10中，其中屬于企業(yè)內(nèi)部的員工允許相互通信，屬于企業(yè)外部的員工不允許相互通信，外部員工與內(nèi)部員工之間允許通信

SWC的配置文件

sysname SWC#vlan 10#interface GigabitEthernet0/0/1 port link-type access port default vlan 10#interface GigabitEthernet0/0/2 port link-type access port default vlan 10 port-isolate enable#interface GigabitEthernet0/0/3 port link-type access port default vlan 10 port-isolate enable#interface GigabitEthernet0/0/4 port link-type access port default vlan 10 port-isolate enable#interface GigabitEthernet0/0/5 port link-type access port default vlan 10 port-isolate enable#

SWD的配置文件

SWB的配置文件

sysname SWB#vlan 10#interface GigabitEthernet0/0/1 port link-type access port default vlan 10#interface GigabitEthernet0/0/2 port link-type access port default vlan 10

查看SWC的端口隔離的鏈路接口

如何實(shí)現(xiàn)PC2在vlan 10當(dāng)中 網(wǎng)關(guān)是192.168.1.254 PC5在vlan 20當(dāng)中 網(wǎng)關(guān)是192.168.2.254 通過配置二層隔離三層互通模式來實(shí)現(xiàn)（默認(rèn)情況端口隔離是該模式）PC2和PC5之間的互通

port-isolate mode all

該命令的作用就是配置端口隔離的模式為二層和三層都無法通信
PC2訪問不了PC5

總結(jié)：

配置命令：

• port-isolate enable命令用來使能端口隔離功能，默認(rèn)將端口劃入隔離組group 1。

• 如果希望創(chuàng)建新的group組，使用命令port-isolate enable group后面接所要?jiǎng)?chuàng)建的隔離組組號(hào)。

• 可以在系統(tǒng)視圖下執(zhí)行port-isolate mode all命令配置隔離模式為二層三層都隔離。

• 使用display port-isolate group all命令可以查看所有創(chuàng)建的隔離組情況。

• 使用display port-isolate group X（組號(hào)）命令可以查看具體的某一個(gè)隔離組接口情況。

3、端口安全

3.1、為什么會(huì)有端口安全？應(yīng)用場景？

端口安全經(jīng)常使用在下列場景中：

應(yīng)用在接入層設(shè)備，通過配置端口安全可以防止仿冒用戶從其他端口。
應(yīng)用在匯聚層設(shè)備，通過配置端口安全可以控制接入用戶的數(shù)量。

3.2、端口安全的技術(shù)原理

1、接入層交換機(jī)的每個(gè)接口都開啟端口安全功能，并綁定接入用戶的MAC地址與VLAN信息，當(dāng)有非法用戶通過已配置端口安全的接口接入網(wǎng)絡(luò)時(shí)，交換機(jī)會(huì)查找對(duì)應(yīng)的MAC地址表，發(fā)現(xiàn)非法用戶的MAC地址與表中的不符，將數(shù)據(jù)包丟棄。
2、匯聚層交換機(jī)開啟端口安全功能，并設(shè)置每個(gè)接口可學(xué)習(xí)到的最大MAC地址數(shù)，當(dāng)學(xué)習(xí)到的MAC地址數(shù)達(dá)到上限時(shí)，其他的MAC地址的數(shù)據(jù)包將被丟棄。

端口安全類型

端口安全（Port Security）通過將接口學(xué)習(xí)到的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動(dòng)態(tài)MAC、安全靜態(tài)MAC和Sticky MAC）阻止非法用戶通過本接口和交換機(jī)通信，從而增強(qiáng)設(shè)備的安全性。

端口安全限制動(dòng)作

接口上安全MAC地址數(shù)達(dá)到限制后，如果收到源MAC地址不存在的報(bào)文，端口安全則認(rèn)為有非法用戶，就會(huì)根據(jù)配置的動(dòng)作對(duì)接口做保護(hù)處理。缺省情況下，保護(hù)動(dòng)作是restrict

3.3、端口安全的配置思路

 園區(qū)網(wǎng)絡(luò)要求保障接入用戶的安全性。財(cái)務(wù)部人員流動(dòng)性較低，可以使用端口安全技術(shù)靜態(tài)綁定接入用戶的MAC與VLAN信息；市場部的人員流動(dòng)性較高，使用端口安全技術(shù)的動(dòng)態(tài)MAC地址學(xué)習(xí)保證接入用戶的合法性
在SWB上使用命令查看綁定的MAC地址表

在SWC上使用命令查看動(dòng)態(tài)學(xué)習(xí)到的MAC地址表：

<SWC>display mac-address security MAC address table of slot 0:-------------------------------------------------------------------------------MAC Address                      VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  VSI/SI                                              MAC-Tunnel  ---------------------------------------------------------------------------------------5489-9876-42c4 20          -      -                     GE0/0/1                      security            5489-9897-4520 20          -      -                  GE0/0/2                      security    --------------------------------------------------------------------------------------------

總結(jié)：

• 執(zhí)行命令port-security enable，使能端口安全功能。缺省情況下，未使能端口安全功能。

• 執(zhí)行命令port-security mac-address sticky，使能接口Sticky MAC功能。缺省情況下，接口未使能Sticky MAC功能。

• 執(zhí)行命令port-security max-mac-num max-number，配置接口Sticky MAC學(xué)習(xí)限制數(shù)量。使能接口Sticky MAC功能后，缺省情況下，接口學(xué)習(xí)的MAC地址限制數(shù)量為1。

• （可選）執(zhí)行命令port-security protect-action { protect | restrict | shutdown }，配置端口安全保護(hù)動(dòng)作。缺省情況下，端口安全保護(hù)動(dòng)作為restrict。

• （可選）執(zhí)行命令port-security mac-address sticky mac-address vlan vlan-id，手動(dòng)配置一條sticky-mac表項(xiàng)。