Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
коммутаторов
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Objectives
По окончании данного курса Вы узнаете:
Сценарий применения и конфигурацию MUX VLAN
Сценарий применения и конфигурацию изоляции порта
Сценарий применения и конфигурацию безопасности порта
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации
Уровень Уровень
доступа доступа
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия MUX VLAN
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
Сконфигурируйте VLAN как Group во всех VLAN MUX VLAN.
VLAN.
Устройства в Group VLAN могут Уровень Сконфигурируйте VLAN как
взаимодействовать с устройствами в ядра Separate VLAN.
Principal VLAN. Устройства в одной Устройства в Separate VLAN
VLAN могут взаимодействовать друг с могут взаимодействовать с
другом, но не могут взаимодействовать VLAN: 40 устройствами только в Principal
с устройствами в другой Group VLAN или VLAN. Услуги в Separate VLAN
Separate VLAN. Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.
Уровень Уровень
доступа доступа
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация MUX VLAN
VLAN: 40
SWB Сервер
SWC SWD
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения изоляции портов
Уровень
Уровень доступа
доступа
VLAN 10 VLAN 10
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия изоляции портов
Уровень Уровень
доступа доступа
Группа
VLAN 10 изоляции VLAN 10
портов 1
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация изоляции порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB
SWC SWD
Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения безопасности порта
Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации
Уровень Уровень
доступа доступа
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации
Уровень Уровень
доступа доступа
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы защищенных MAC-адресов
Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
Действие после того, как количество защищенных MAC-адресов достигает предельного значения
Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.
Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация безопасности порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA
SWB SWC
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации безопасности
порта
Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN
Б. Separate VLAN
В. Group VLAN
Г. Subordinate VLAN
Г. Защищенный MAC-адрес
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com