【交换机高级特性】MUX-VLAN、端口隔离、端口安全

 

交换机高级特性

1. MUX-VLAN

   1. 主VLAN Principal VLAN
      1. 可以访问其他所有从VLAN
      2. PS：一个MUX-VLAN只能有一个主VLAN
   2. 子VLAN Sub VLAN
      1. group VLAN ：互通型VLAN，相同的VLAN之间能能互访，也可以访问主VLAN
      2. Separate VLAN：隔离型VLAN，相同的VLAN之间不能互访，但可以访问主VLAN。PS：一个MUX-VLAN只能有一个隔离型VLAN

 

1. 1. 配置
      1. vlan 100  mux-vlan   ###设置该VLAN为主VLAN   subordinate separate 20  ###设置VLAN20为隔离型VLAN  subordinate group 10      ###设置VLAN10为组VLAN interface GigabitEthernet0/0/1   port link-type access   port default vlan 10   port mux-vlan enable   ###启用mux-vlan的功能
   2. 样例：有一台交换机，连着12345678，8台终端同一个网段，我想让12互通、34互通、56互通，但是12、34、56直接相互隔离，包括二层和三层，然后7和8可以和123456都能实现通信。     
   3. 答案： 1与2 ：vlan 10 组vlan          3与4 ：vlan 20 组vlan        5与6 ：vlan 30 组vlan          7与8 ：主vlan

2. 端口隔离

   1. 实现效果
      1. 相同隔离组的终端之间不能互访；
      2. 不同的隔离组的终端之间可以互访（相同VLAN）；
   2. 特点
      1. 端口隔离可以设置隔离二层流量，还可以二层三层流量都隔离
      2. 默认只隔离二层流量
   3. 配置
      1. interface GigabitEthernet0/0/2  port link-type access  port default vlan 10  port-isolate enable group 2    ###设置其属于某个端口隔离组，默认属于隔离组1；  port-isolate mode l2    ###设置端口隔离的模式；

3. 端口安全

   1. 实现原理
      1. 通过对MAC地址进行管理，实现设备的固定接入
   2. 启用了端口安全以后学习到的MAC地址表项的类型
      1. 安全静态MAC：Enable端口安全时手工配置静态MAC地址，保存后设备重启地址不会老化和丢失
      2. 安全动态MAC：Enable端口安全但并未使用Sticky MAC地址，通过动态方式学习到的MAC地址会进行保存。缺省情况下不会老化，但设备地址会丢失，需要重新学习。
      3. Sticky MAC地址：Enable端口安全且使用了Sticky MAC地址，通过动态方式学习到的MAC地址会进行保存。缺省情况下不会老化，且设备重启后不会丢失地址
   3. 如果有非法的MAC地址接入时，可以启用相对应的处理动作
      1. restrict：丢弃源MAC地址不存在的报文，并上报告警
4. 1. 1. protect：只丢弃源MAC地址不存在的报文，不上报告警
5. 1. 1. shutdown：接口状态被置为error-down，并上报告警

PS：默认情况下，接口关闭后不会自动回复，只能由网络管理员在接口视图下restart重启接口进行恢复

1. 1. 配置
      1. interface GigabitEthernet0/0/2  port-security enable       ###启用端口安全的功能  port-security protect-action shutdown    ###学到的MAC地址数量超过了限制就执行处理动作  port-security max-mac-num 3        ###接口限制可学习到的MAC地址数量  port-security mac-address sticky       ###启用Sticky功能  error-down auto-recovery cause ……    ###当接口被error-down动作以后，自动恢复接口