本次博客將會介紹交換機的高級特性,主要有3個技術,分別是MUX VLAN、端口隔離和端口安全功能。
MUX VLAN(Multiplex VLAN)提供了一種通過VLAN進行網絡資源控制的機制。通過MUX VLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信,而企業外來訪客之間的互訪是隔離的。
爲了實現報文之間的二層隔離,用戶可以將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源,VLAN可用的數量只有4096個,其中還有一些vlan是不能用的。採用端口隔離功能,可以實現同一VLAN內端口之間的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案。
在安全性要求較高的網絡中,交換機可以開啓端口安全功能,禁止非法MAC地址設備接入網絡;當學習到的MAC地址數量達到上限後不再學習新的MAC地址,只允許學習到MAC地址的設備通信。
MUX VLAN應用場景
如下圖所示,服務器與匯聚層交換機相連,爲了實現所有用戶都可訪問企業服務器,可通過配置VLAN間通信來實現。對於企業來說,希望企業內部員工之間可以互相訪問,而企業外來訪客之間是隔離的,可通過配置每個訪客使用不同的VLAN來實現。但如果企業擁有大量的外來訪客員工,此時不但需要耗費大量的VLAN ID,還增加了網絡維護的難度。MUX VLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信,而企業外來訪客之間的互訪是隔離的。
MUX VLAN基本概念
在MUX VLAN裏面有以下幾種vlan的類型,
主VLAN(Principal VLAN):可以與MUX VLAN內的所有VLAN進行通信。
隔離型從VLAN(Separate VLAN):只能和Principal VLAN進行通信,和其他類型的VLAN完全隔離,Separate VLAN內部也完全隔離。
互通型從VLAN(Group VLAN):可以和Principal VLAN進行通信,在同一Group VLAN內的用戶也可互相通信,但不能和其他Group VLAN或Separate VLAN內的用戶通信的VLAN。
如下圖所示,根據MUX VLAN特性,解決方案如下:
企業管理員可以將服務器劃分到Principal VLAN。MUX VLAN技術中只能將一個VLAN設置爲Separate VLAN,所以可以將外來訪客劃分到Separate VLAN。由於可以將多個VLAN設置爲Group VLAN,所以可以將企業員工劃分到Group VLAN,企業內部不同部門之間通過劃分到不同的VLAN進行隔離。
這樣就能夠實現:企業外來訪客、企業員工都能夠訪問企業服務器。企業員工部門內部可以通信,而企業員工部門之間不能通信。企業外來訪客間不能通信、外來訪客和企業員工之間不能互訪。
如下圖所示:
LSW1上的配置
[LSW1]dis cu
#
sysname LSW1
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan //將VLAN 40設置爲Principal VLAN
subordinate separate 30 //將VLAN 30設置爲Separate VLAN
subordinate group 10 20 //將VLAN 10與VLAN 20設置爲Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 40
port mux-vlan enable //在接口下開啓MUX VLAN功能
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
LSW2上的配置
<LSW2>dis cu
#
sysname LSW2
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
LSW3上的配置
<LSW3>dis cu
#
sysname LSW3
#
vlan batch 10 20 30 40
#
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 30
port mux-vlan enable
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
結果驗證:
1.對於所有用戶都可訪問企業服務器,在VLAN 10,VLAN 20 VLAN 30的員工都可以訪問服務器,如下圖所示
2.企業員工部門內部可以通信,而企業員工部門之間不能通信
處於同一個部門的pc1和pc2可以互訪,但是和不同部門的pc3不能互訪
3.企業外來訪客間不能通信、外來訪客和企業員工之間不能互訪
端口隔離應用場景
如下圖所示,爲了實現用戶之間的二層隔離,可以將不同的用戶加入不同的VLAN,但這樣會浪費有限的VLAN資源。採用端口隔離功能,可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到同一隔離組中,就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案。
端口隔離基本概念
使用display port-isolate group X(組號)命令可以查看具體的某一個隔離組接口情況。
如下圖所示:
在LSW2上的配置如下
[LSW2]dis cu
#
sysname LSW2
#
vlan batch 10
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1 //使能端口隔離功能,默認將端口劃入隔離組group 1
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/4
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface Ethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10
結果驗證:
外部員工192.168.1.1和192.168.1.2之間不能通信,但是外部員工192.168.1.1可以和內部員工192.168.1.5通信
內部員工192.168.1.5和192.168.1.6之間是可以通信的
端口安全應用場景
如下圖所示,爲了保證接入設備安全性,如何防止非法用戶的攻擊?爲了保證匯聚設備的安全性,如何防止非法用戶的攻擊?
端口安全解決方案
在對接入用戶的安全性要求較高的網絡中,可以配置端口安全功能,將接口學習到的MAC地址轉換爲安全MAC地址,接口學習的最大MAC數量達到上限後不再學習新的MAC地址,只允許學習到MAC地址的設備通信。這樣可以阻止其他非信任用戶通過本接口和交換機通信,提高設備與網絡的安全性。
如圖所示,
解決方案如下:
接入層交換機的每個接口都開啓端口安全功能,並綁定接入用戶的MAC地址與VLAN信息,當有非法用戶通過已配置端口安全的接口接入網絡時,交換機會查找對應的MAC地址表,發現非法用戶的MAC地址與表中的不符,將數據包丟棄。
匯聚層交換機開啓端口安全功能,並設置每個接口可學習到的最大MAC地址數,當學習到的MAC地址數達到上限時,其他的MAC地址的數據包將被丟棄。
端口安全類型
端口安全(Port Security)通過將接口學習到的動態MAC地址轉換爲安全MAC地址(包括安全動態MAC、安全靜態MAC和Sticky MAC)阻止非法用戶通過本接口和交換機通信,從而增強設備的安全性。
類型 |
定義 |
特點 |
安全動態MAC地址 |
使能端口安全而未使能Sticky MAC功能時轉換的MAC地址。 |
設備重啓後表項會丟失,需要重新學習。 缺省情況下不會被老化,只有在配置安全MAC的老化時間後纔可以被老化。 |
安全靜態MAC地址 |
使能端口安全時手工配置的靜態MAC地址。 |
不會被老化,手動保存配置後重啓設備不會丟失。 |
Sticky MAC地址 |
使能端口安全後又同時使能Sticky MAC功能後轉換得到的MAC地址。 |
不會被老化,手動保存配置後重啓設備不會丟失。 |
端口安全限制動作
超過安全MAC地址限制數後的動作:
動作 |
實現說明 |
restrict |
丟棄源MAC地址不存在的報文並上報告警。推薦使用restrict動作。 |
protect |
只丟棄源MAC地址不存在的報文,不上報告警。 |
shutdown |
接口狀態被置爲error-down,並上報告警。默認情況下,接口關閉後不會自動恢復,只能由網絡管理人員在接口視圖下使用restart命令重啓接口進行恢復。 |
接口上安全MAC地址數達到限制後,如果收到源MAC地址不存在的報文,端口安全則認爲有非法用戶攻擊,就會根據配置的動作對接口做保護處理。缺省情況下,保護動作是restrict。
端口安全配置實現
LSW2上的配置
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
port-security mac-address sticky 5489-983F-24E5 vlan 10
LSW2上的配置
interface Ethernet0/0/1
port link-type access
port default vlan 20
port-security enable