mux-vlan原理_三层交换机配置实例

大家好，又见面了，我是你们的朋友全栈君。

MUX VLAN(Multiplex VLAN )提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

b97e0a22ae47a8bb596372f071633f69.png

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同-VLAN内端口之间的隔离。

在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只到MAC地址的设备通信。

1、MUX VLAN：

对于企业来说。希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度。

MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

MUX VLAN分为主VLAN和从VLAN，从VLAN又分为隔离型从VLAN和互通型从VLAN。

主VLAN(PrincipalVLAN)：Principal port可以和MUX VLAN内的所有接口进行通信。

隔离型从VLAN(SeparateVLAN)：Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个隔离型从VLAN必须绑定一个主VLAN。

互通型从VLAN(Group VLAN)：Group port可以和Principalport进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个互通型从VLAN必须绑定一个主VLAN。

2、端口隔离

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式：

如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；

如果用户希望同一vlan不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离；

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

3、端口安全

如果说网络中存在非法用户时，可以使用端口安全技术保证网络的安全。一般使用在如下场景：

①应用在接口层设备：通过配置端口安全可以防止仿冒用户从其他端口攻击；

②应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

端口安全(Port Security)，从基本原理上讲，PortSecurity特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址，并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。

使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。

端口安全的类型：

端口安全( Port Security )通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

1、接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

2、接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为StickyMAC地址，之后学习到的MAC地址也变为StickyMAC地址。

3、接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

4、接口去使能Sticky MAC功能时，接口上的StickyMAC地址会转换为安全动态MAC地址。

超过安全MAC地址限制后得到的动作：

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。

Restrict：丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。 注：设备收到非法MAC地址的报文时，每30s至少警告1次，至多警告2次。

Protect：只丢弃源MAC地址不存在的报文，不上告报警。

Shutdown：接口状态被置为error-down，并上报告警。 默认情况下，接口关闭后不会自动恢复，只能由管理员手动恢复。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/191762.html原文链接：https://javaforall.cn