交换机高级特性
-
MUX-VLAN
- 主VLAN Principal VLAN
- 可以访问其他所有从VLAN
- PS:一个MUX-VLAN只能有一个主VLAN
- 子VLAN Sub VLAN
- group VLAN :互通型VLAN,相同的VLAN之间能能互访,也可以访问主VLAN
- Separate VLAN:隔离型VLAN,相同的VLAN之间不能互访,但可以访问主VLAN。PS:一个MUX-VLAN只能有一个隔离型VLAN
- 主VLAN Principal VLAN
-
- 配置
- vlan 100 mux-vlan ###设置该VLAN为主VLAN subordinate separate 20 ###设置VLAN20为隔离型VLAN subordinate group 10 ###设置VLAN10为组VLAN interface GigabitEthernet0/0/1 port link-type access port default vlan 10 port mux-vlan enable ###启用mux-vlan的功能
- 样例:有一台交换机,连着12345678,8台终端同一个网段,我想让12互通、34互通、56互通,但是12、34、56直接相互隔离,包括二层和三层,然后7和8可以和123456都能实现通信。
- 答案: 1与2 :vlan 10 组vlan 3与4 :vlan 20 组vlan 5与6 :vlan 30 组vlan 7与8 :主vlan
- 配置
-
端口隔离
- 实现效果
- 相同隔离组的终端之间不能互访;
- 不同的隔离组的终端之间可以互访(相同VLAN);
- 特点
- 端口隔离可以设置隔离二层流量,还可以二层三层流量都隔离
- 默认只隔离二层流量
- 配置
- interface GigabitEthernet0/0/2 port link-type access port default vlan 10 port-isolate enable group 2 ###设置其属于某个端口隔离组,默认属于隔离组1; port-isolate mode l2 ###设置端口隔离的模式;
- 实现效果
-
端口安全
- 实现原理
- 通过对MAC地址进行管理,实现设备的固定接入
- 启用了端口安全以后学习到的MAC地址表项的类型
- 安全静态MAC:Enable端口安全时手工配置静态MAC地址,保存后设备重启地址不会老化和丢失
- 安全动态MAC:Enable端口安全但并未使用Sticky MAC地址,通过动态方式学习到的MAC地址会进行保存。缺省情况下不会老化,但设备地址会丢失,需要重新学习。
- Sticky MAC地址:Enable端口安全且使用了Sticky MAC地址,通过动态方式学习到的MAC地址会进行保存。缺省情况下不会老化,且设备重启后不会丢失地址
- 如果有非法的MAC地址接入时,可以启用相对应的处理动作
- restrict:丢弃源MAC地址不存在的报文,并上报告警
- 实现原理
-
-
- protect:只丢弃源MAC地址不存在的报文,不上报告警
-
-
-
- shutdown:接口状态被置为error-down,并上报告警
-
PS:默认情况下,接口关闭后不会自动回复,只能由网络管理员在接口视图下restart重启接口进行恢复
-
- 配置
- interface GigabitEthernet0/0/2 port-security enable ###启用端口安全的功能 port-security protect-action shutdown ###学到的MAC地址数量超过了限制就执行处理动作 port-security max-mac-num 3 ###接口限制可学习到的MAC地址数量 port-security mac-address sticky ###启用Sticky功能 error-down auto-recovery cause …… ###当接口被error-down动作以后,自动恢复接口
- 配置