本文介绍了MuxVLAN和SuperVLAN技术在网络隔离中的应用,包括不同VLAN间的通信隔离和聚合,以及端口隔离和端口安全配置方法,提高了网络资源控制与安全性。
前言
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址设备接入网络;当学习到的MAC地址数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。
Mux VLAN
MUX VLAN的划分:
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
如图所示,根据MUX VLAN特性,解决方案如下:
企业管理员可以将服务器划分到Principal VLAN。
MUX VLAN技术中只能将一个VLAN设置为Separate VLAN,所以可以将外来访客划分到Separate VLAN。
由于可以将多个VLAN设置为Group VLAN,所以可以将企业员工划分到Group VLAN,企业内部不同部门之间通过划分到不同的VLAN进行隔离。
这样就能够实现:
企业外来访客、企业员工都能够访问企业服务器。
企业员工部门内部可以通信,而企业员工部门之间不能通信。
企业外来访客间不能通信、外来访客和企业员工之间不能互访。
根据上面的方案配置
sysname SWB
#
vlan batch 10 20 30 40
#
vlan 10
description Financial VLAN
vlan 20
description Marketing VLAN
vlan 30
description Client VLAN
vlan 40
description Principal VLAN
mux-vlan //将VLAN 40设置为Principal VLAN
subordinate separate 30 //将VLAN 30设置为Separate VLAN
subordinate group 10 20 //将VLAN 10与VLAN 20设置为Group VLAN
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass
扫一扫
1759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
