交换机高级特性简介
一、MUX VLAN应用场景
- 概念: 提供通过 VLAN 进行网络资源控制的机制,实现二层流量隔离。其中,Principal VLAN 可与 MUX VLAN 内所有 VLAN 通信;Separate VLAN 只能与 Principal VLAN 通信,内部及与其他 VLAN 隔离;Group VLAN 可与 Principal VLAN 通信,同一 Group 内用户可互访,但不能与其他 Group 或 Separate VLAN 用户通信。
- 应用场景: 隔离相同 VLAN 中不同外来访客之间及企业内部不同部门之间的通信,同时实现服务器资源共享。
- 配置实现: 设置不同类型的 VLAN 并应用于相应端口。
二、Super VLAN(VLAN Aggregation)
- 概念: 使相同子网的 VLAN 实现广播隔离。Super-VLAN 只建立三层接口,是 Sub-VLAN 的集合;Sub-VLAN 包含物理端口,用于隔离广播域,通过 Super-VLAN 实现三层交换。
- 通信原理
- Sub-VLAN 间三层通信: 通过使能 ARP Proxy 功能实现互通。
- Sub-VLAN 与外部网络的二层通信: 基于端口的 VLAN 二层通信中,无针对 Super-VLAN 的报文。
- Sub-VLAN 与外部网络的三层通信: 通过 Super-VLAN 的三层接口实现。
- Sub-VLAN 间三层通信: 通过使能 ARP Proxy 功能实现互通。
三、端口隔离
- 应用场景: 同一 VLAN 内,允许企业内部员工相互通信,禁止外部员工相互通信,但允许内外员工通信。
- 基本概念: 将用户接口加入同一隔离组,实现组内用户二层数据隔离,未划分隔离组的用户可与隔离组内用户正常通信。
- 配置实现: 在接口视图下启用端口隔离并指定隔离组,如port-isolate enable group 1。
四、端口安全
- 应用场景: 防止非法用户通过 MAC 地址攻击,保证接入设备安全性。
- 解决方案: 限制接口接入的用户最大数量,对非法 MAC 地址进行拦截。
- 安全 MAC 地址类型
- 安全动态 MAC 地址: 启用端口安全但未启用 Sticky MAC 时转换,设备重启后丢失,需重新学习,缺省不老化,配置老化时间后可老化。
- 安全静态 MAC 地址: 手工配置,不会老化,保存配置后重启不丢失。
- Sticky MAC 地址: 启用端口安全并启用 Sticky MAC 功能后转换,不会老化,保存配置后重启不丢失。
- 安全动态 MAC 地址: 启用端口安全但未启用 Sticky MAC 时转换,设备重启后丢失,需重新学习,缺省不老化,配置老化时间后可老化。
- 限制动作: 超过安全 MAC 地址限制数后,可配置为 restrict(丢弃报文并告警)、protect(丢弃报文不告警)、shutdown(接口 error-down 并告警,需手动重启恢复),缺省为 restrict。
- 配置实现: 在接口视图下启用端口安全,可设置 Sticky MAC 及绑定具体 MAC 地址,如port-security enable、port-security mac-address sticky。
- 配置验证: 通过display mac-address sticky或display mac-address security查看绑定的 MAC 地址表。