MUX VLAN
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
MUX VLAN的划分
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
简单的mux vlan实验
大致过程
SW1配置
sysname SW1
vlan batch 10 20 30 40
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan //将VLAN 40设置为Principal VLAN
subordinate separate 30 //将VLAN 30设置为Separate VLAN
subordinate group 10 20 //将VLAN 10与VLAN 20设置为Group VLAN
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable //在接口下开启MUX VLAN功能
SW2配置
sysname SW2
vlan batch 10 20 30 40
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Cilent VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
SW3配置
sysname SW3
vlan batch 10 20 30 40
vlan 10
description Financial VLAN
vlan 20
description Marketing
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface Ethernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
interface Ethernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
SUPER VLAN(IDC核心)
VLAN Aggregation(VLAN聚合,也称Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN 属于同一个子网。
Super-VLAN:和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。
Sub-VLAN:只包含物理端口,用于隔离广播域的VLAN,不能建立三层VLAN接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。
一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
简单的实验
mux-vlan和super vlan的区别
mux-vlan在同一个wlan中,需要二层控制;super vlan 是不同用户属于不同vlan,然后聚合
端口隔离
为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
简单的实验
端口安全
当网络中存在非法用户时,可以使用端口安全技术保证网络的安全。
端口安全经常使用在下列场景中:
应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
简单的实验
