ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

交换机高级特性简介

2021-10-24 11:31:40  阅读:109  来源: 互联网

标签:VLAN 隔离 简介 vlan 端口 地址 特性 MAC 交换机


MUX VLAN(Multiplex VLAN):是通过VLAN(二层流量隔离)进行网络资源控制的机制

   应用场景:服务器与汇聚层交换机直接相连,服务器的资源共享,企业希望隔离相同VLAN中不同外来访客之间的通信,同时隔离企业内部不同部门之间的通信
    作用:
           可以实现企业内部员工之间互相通信,而隔离企业外来访客之间的互访
    分类:
           1.主VLAN(Principal vlan) :可以和从vlan互相通信
           2.从VLAN(Subordinate vlan):不同从vlan不能通信
                            互通型vlan:同一vlan内设备可以互相通信
                            隔离型vlan:同一vlan内设备可以互相隔离
      配置:所有配置在主vlan配置
     每个接口:port mux-vlan enable
     在主vlan下配置:
         mux-vlan    将该vlan设置为主vlan
         subordinate separate 10        将vlan10 设置为隔离型vlan
         subordinate group  20           将vlan 20设置为互通型vlan

端口隔离:
问题: 实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。
解决:采用端口隔离功能

  作用:         
      可以实现同一VLAN内端口之间的隔离
      为用户提供了更安全、更灵活的组网方案
 应用场景:
       同一项目组的员工都被划分到同一VLAN中,其中属于企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信
 端口分类:
       隔离端口
       普通端口
    (多个隔离端口为一个隔离组)
  特性:
       隔离端口之间互相隔离,不能通信
       隔离端口与普通端口互不隔离,可以通信
       同隔离组内端口互相隔离,不同隔离组之间端口可以通信
  配置:
       接口视图下配置:
           port-isolate enable + group X    将该接口加入隔离组X
                     (默认将端口划入隔离组group 1)

端口安全:接入控制技术
应用:
应用在接入层设备,可以防止仿冒用户从其他端口攻击
应用在汇聚层设备,可以控制接入用户的数量
实现:
绑定接入用户的MAC地址与VLAN信息,将接口学习到的MAC地址转换为安全MAC地址,当有非法用户通过已配置端口安全的接口接入网时,交换机会查找对应的MAC地址表,发现非法用户的MAC地址与表中的不符,将数据包丢弃
(当学习到的MAC地址数量达到上限(10个)后不再学习新的MAC地址,只允许学习到MAC地址的设备通信)
作用:
阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性
端口安全类型:将接口学习到的动态MAC地址转换为安全MAC地址

 端口安全限制动作:收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。

配置:
接口下配置
port-security enable 使能端口安全功能
port-security mac-address sticky 使能接口Sticky MAC功能(默认未使能)(需手动配置一条sticky-mac表项,不然为安全静态)
port-security mac-address sticky 5489-983F-24E5 vlan 10 手动配置一条sticky-mac表项

display mac-address sticky 查看绑定的MAC地址表
display mac-address security 查看动态学习到的MAC地址表

标签:VLAN,隔离,简介,vlan,端口,地址,特性,MAC,交换机
来源: https://blog.csdn.net/qq_43704340/article/details/120931574

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有