Расширенные возможности

коммутаторов
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Введение
 MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
 Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
 В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Objectives
 По окончании данного курса Вы узнаете:
 Сценарий применения и конфигурацию MUX VLAN
 Сценарий применения и конфигурацию изоляции порта
 Сценарий применения и конфигурацию безопасности порта

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации

Уровень Уровень
доступа доступа

Финансовый Маркетинговы Компания A Компания B

отдел й отдел
Сотрудники Посетители

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Основные понятия MUX VLAN
Сконфигурируйте VLAN как Group
VLAN.
Устройства в Group VLAN могут
взаимодействовать с устройствами в
Principal VLAN. Устройства в одной
VLAN могут взаимодействовать друг с
другом, но не могут взаимодействовать
с устройствами в другой Group VLAN или
Separate VLAN.
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
во всех VLAN MUX VLAN.
Уровень Сконфигурируйте VLAN как
ядра Separate VLAN.
Устройства в Separate VLAN
могут взаимодействовать с
VLAN: 40 устройствами только в Principal
VLAN. Услуги в Separate VLAN
Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.

Уровень Уровень
доступа доступа

VLAN: 10 VLAN: 20 VLAN: 30 VLAN: 30

Финансовый Маркетинго Компания A Компания B

отдел вый отдел
Сотрудники Посетители

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Конфигурация MUX VLAN

SWA Principal VLAN

VLAN: 40

SWB Сервер

SWC SWD

Group VLAN Separate VLAN

VLAN 10 VLAN 20 VLAN 30 VLAN 30

Финансовый Маркетинговый Компания Компания

отдел отдел
Сотрудники предприятия Посетители

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Сценарий применения изоляции портов

Сотрудники одной и той же проектной

группы назначаются VLAN 10.
Допускается связь между внутренними
сотрудниками и между внутренними
Уровень
сотрудниками с внешними ядра Трафик связи разрешен
сотрудниками, а связь между внешними
работниками не допускается. Как Трафик связи запрещен
выполняется это требование?
Уровень
агрегации

Уровень
Уровень доступа
доступа

VLAN 10 VLAN 10

Внешние сотрудники Внутренние сотрудники

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Основные понятия изоляции портов

Для реализации изоляции на Уровень

втором уровне между этими ядра
интерфейсами необходимо только
добавить пользовательские Пользователи, не относящиеся к
интерфейсы в одну и ту же группу группе изоляции портов, могут
изоляции портов. взаимодействовать с пользователями
Уровень в группе изоляции портов.
агрегации

Уровень Уровень
доступа доступа
Группа
VLAN 10 изоляции VLAN 10
портов 1

Внешние сотрудники Внутренние сотрудники

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Конфигурация изоляции порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB

SWC SWD

Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4

Внешние сотрудники Внутренние сотрудники

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Сценарий применения безопасности порта

Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации

Уровень Уровень
доступа доступа

Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации

Уровень Уровень
доступа доступа
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20

Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь
MAC：54-89-98-34-12-E4

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Типы защищенных MAC-адресов
 Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание

Динамические защищенные MAC-адреса будут потеряны после

Mac-адрес, полученный на интерфейсе,
Динамический безопасный
где включена защита порта, но функция
MAC-адрес
Sticky MAC отключена
перезапуска устройства, и их необходимо будет снова узнать.
Динамические безопасные MAC-адреса никогда не будут
устаревать по умолчанию и могут быть устаревшими только в
том случае, если для них установлено время старения.

Mac-адрес, конфигурируемый вручную

Статический безопасный Не будет устаревать. Данные сохраняются вручную и не
на интерфейсе, где включена защита
MAC-адрес теряются после перезапуска устройства.
порта

Mac-адрес, который получен на

Не будет устаревать. Данные сохраняются вручную и не
Адрес Sticky MAC интерфейсе, где включена безопасность
теряются после перезапуска устройства.
порта и функция sticky MAC.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
 Действие после того, как количество защищенных MAC-адресов достигает предельного значения

Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.

 Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Конфигурация безопасности порта

interface GigabitEthernet0/0/1
port link-type access
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA

SWB SWC

G0/0/1 G0/0/3 G0/0/1 G0/0/3

VLAN 10 VLAN 20
G0/0/2
G0/0/2

Пользователи финансового отдела Пользователи маркетингового отдела

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Проверка конфигурации безопасности
порта
 Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------

 Выполните следующую команду для проверки динамически полученного MAC-адреса на

SWC:
<SWC>display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
---------------------------------------------------------------------------------------

5489-9876-42c4 20 - - GE0/0/1 security -

5489-9897-4520 20 - - GE0/0/2 security -
--------------------------------------------------------------------------------------------------------------------------------------------

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN

Б. Separate VLAN

В. Group VLAN

Г. Subordinate VLAN

2. Сколько типов защищенных MAC-адресов в безопасности порта?

А. Динамический безопасный MAC-адрес

Б. Статический безопасный MAC-адрес

В. Адрес Sticky MAC

Г. Защищенный MAC-адрес
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
 Спасибо!
www.huawei.com