wps1118

本篇我们来介绍一下华为交换机上的高级功能特性的配置方法。这些高级功能可以帮助用户提高网
络的安全性,实现用户的一些特殊配置需求。前面我们介绍过华为交换机VLAN的基本配置,本篇我
们来介绍一下基于MAC地址以及基于IP子网的VLAN划分方法,同时还有Super-VLAN以及MUX-VLAN的
配置方法。另外,我们还将对端口隔离以及端口安全进行一下配置演示。

VLAN划分方式对比

● 基于接口:根据交换机的接口来划分VLAN。为交换机的每个端口配置不同的PVID,当一个数据帧
进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag。然后数据帧将在指
定PVID中传输。优点是配置简单,缺点是成员移动需要重新配置VLAN。

● 基于MAC地址:根据数据帧的源MAC地址来划分VLAN。预先配置MAC地址和VLAN ID映射关系表,当
交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN
中传输。优点是当用户物理位置发生改变后不需要重新配置,提高灵活性。缺点是前期部署的工作量
较大。

● 基于IP子网:根据数据帧中的源IP地址和子网掩码来划分VLAN。预先配置IP地址和VLAN ID映射关
系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指
定VLAN中传输。优点是当用户物理位置发生改变后不需要重新配置,提高灵活性。同时可以减少网络
通信量,可使广播域跨越多个交换机。缺点是适用性小,使用此方式的前题条件是网络中的用户分布
需要有规律,且多个用户在同一个网段。

配置基于MAC地址的VLAN

1、如下图所示,我们假设SW2与SW3连接的是不同的房间,在每个房间都有PC或者笔记本电脑,PC1与
PC2属于不同的部门,两个部门间使用VLAN 100和VLAN 200进行隔离。要求两台PC无论在哪个房间使
用,均能访问自己部门的服务器,但不能访问对方部门的服务器。

2、我们采用如下步骤进行配置:

2.1 在SW2和SW3上创建VLAN,并将接口加入VLAN,实现二层互通。

2.2 在SW2与SW3上基于MAC地址划分VLAN。

2.3 在SW1上配置VLAN透传,保证两台PC可以访问到各自的服务器。

wps1119

3、首先在SW2上进行如下配置,在SW3上执行相同的配置过程。

vlan batch 100 200

int g0/0/1

port link-type trunk

port trunk allow-pass vlan 100 200

vlan 100

mac-vlan mac-address 5489-981b-46c8

vlan 200

mac-vlan mac-address 5489-9805-15df

int g0/0/2

port link-type hybrid    ##基于MAC划分VLAN只能应用在类型为hybrid的接口

port hybrid untagged vlan 100 200

mac-vlan enable    ##使能接口的MAC-VLAN功能

wps1120wps1121

4、配置SW1的需要使用的4个接口,以下以g0/0/1为例。

vlan batch 100 200

int g0/0/1

port link-type trunk

port trunk allow-pass vlan 100 200

wps1122

5、查看配置结果,在SW2和SW3上执行以下命令,可以看到前面配置的两个MAC地址及对应的VLAN。

display mac-vlan mac-address all

wps1123

6、配置两台PC和两台服务器在同一网段,192.168.1.0/24。

PC1:192.168.1.10 255.255.255.0

PC2:192.168.1.20 255.255.255.0

Server1:192.168.1.1 255.255.255.0

Server2:192.168.1.2 255.255.255.0

wps1124

7、在PC1上验证可以Ping通Server1,但是无法Ping通Server2。

wps1125

8、同样在PC2上可以Ping通Server2,但是无法Ping通Server1。这样就达到了实验的要求,通过MAC
VLAN对流量进行了隔离。

wps1126

配置基于IP地址的VLAN

1、如下图,假设用户拥有多种业务,如IPTV、 VoIP、 Internet等,每种业务使用的IP地址网段各不
相同。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN
中。交换机接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。现需
要将不同类型的业务划分到不同的VLAN中,以便出口路由器Router能通过不同的VLAN分流到不同的业
务服务器上以实现业务互通。

wps1127

2、我们采用如下步骤进行配置:

2.1 创建VLAN并将接口加入VLAN,实现基于IP子网的VLAN可以透传当前接口。

2.2 使能基于IP子网划分VLAN功能,并关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确
定VLAN。

3、首先在SW1上创建VLAN 100 200 300

vlan batch 100 200 300

4、配置SW1上的g0/0/1和g0/0/2接口。

int g0/0/1

port link-type hybrid  ##基于IP子网划分VLAN只能应用在类型为hybrid的接口

port hybrid untagged vlan 100 200 300

ip-subnet-vlan enable  ##使能接口的IP-VLAN功能

int g0/0/2

port link-type trunk

port trunk allow-pass vlan 100 200 300

5、在SW1上为VLAN配置IP子网。

vlan 100

ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2

vlan 200

ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3

vlan 300

ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4

wps1128wps1129

6、在SW1上执行以下命令,查看VLAN信息,可以看到相应的IP子网及对应的VLAN。

display ip-subnet-vlan vlan all

wps1130

7、在SW2上执行相同的配置。

wps1131wps1132

8、六台PC的IP地址配置如下,测试两端的连通性,达到了业务隔离的效果。

PC1:192.168.1.2 255.255.255.0

PC2:192.168.2.2 255.255.255.0

PC3:192.168.3.2 255.255.255.0

PC4:192.168.1.1 255.255.255.0

PC5:192.168.2.1 255.255.255.0

PC6:192.168.3.1 255.255.255.0

wps1133

配置Super-VLAN

1、Super VLAN(即VLAN聚合)的主要功能就是节约IP地址,隔离广播风暴,控制端口二层互访。
Super VLAN下关联多个Sub VLAN, Sub VLAN之间二层隔离。所有Sub VLAN共用Super VLAN的
VLANIF接口IP地址与外网通信,并且可以通过Super VLAN的VLANIF接口三层互通,从而节约IP
地址。

2、Super VLAN适用于用户多,VLAN多,大量VLAN的IP地址在同一个网段,但是又要实现不同VLAN
之间二层隔离的场景。VLAN之间如果有互访的需求,可以对Super VLAN开启ARP代理。

3、与MUX VLAN隔离功能相比,Super VLAN属于三层功能,需要三层交换机支持。MUX VLAN属于二
层交换机功能。Super VLAN的配置较为简单,MUX VLAN配置较为复杂,但对用户间的访问控制灵活
性不如MUX VLAN,Super VLAN内需要查询部分暂时离线的用户时,网关需要在每个子VLAN内广播发
送报文,可能较大的消耗设备CPU资源。

4、如下图拓扑,假设用户为了提升业务安全性,将不同部门的用户划分到不同VLAN中,VLAN2和VLAN3
属于不同部门。各部门均需要可以访问Internet,同时由于业务需要,不同部门间的用户需要互通。

wps1134

5、我们采用如下步骤进行配置:

5.1 可以在SW2上部署VLAN聚合,将不同部门的VLAN聚合到Super-VLAN中,这样不同部门的用户可通
过Super-VLAN访问Internet。同时,为使部门间用户互通,在SuperVLAN上部署Proxy ARP功能。

5.2 在SW1和SW2上配置VLAN和接口,将不同部门用户划分到不同VLAN中,并透传各VLAN到SW2。

5.3 在SW2上配置Super-VLAN及其对应的VLANIF接口、上行路由,使不同部门能够访问Internet。

5.4 在SW2上启用Super-VLAN的Proxy ARP功能,使不同部门的用户间三层互通。

6、在SW1上配置各相关接口

vlan batch 2 3

int g0/0/1

port link-type access

port default vlan 2

int g0/0/2

port link-type access

port default vlan 2

int g0/0/3

port link-type access

port default vlan 3

int g0/0/4

port link-type access

port default vlan 3

int g0/0/5

port link-type trunk

port trunk allow-pass vlan 2 3

wps1135

7、在SW2上创建VLAN,并配置其与SW1的接口,使VLAN2和VLAN3透传到SW2。

vlan batch 2 3 4 10

int g0/0/1

port link-type trunk

port trunk allow-pass vlan 2 3

8、在SW2上配置Super-VLAN 4,并将VLAN2和VLAN3加入到Super-VLAN 4,作为其Sub-VLAN。

vlan 4

aggregate-vlan

access-vlan 2 3

9、在SW2上配置VLANIF4接口IP地址,使VLAN2和VLAN3可以通过Super-VLAN访问互联网。

int vlanif 4

ip address 10.1.1.1 24

10、配置SW2的上行接口g0/0/2,透传SW2与出口网关Router的互连VLAN。

int g0/0/2

port link-type hybird

port hybird untagged vlan 10

port hybird pvid vlan 10

11、在SW2上配置VLANIF10接口的IP地址。

int vlanif 10

ip address 10.10.1.1 24

12、在SW2上配置一条到出口网关Router的缺省静态路由,使VLAN2和VLAN3能够访问互联网。

ip route-static 0.0.0.0 0.0.0.0 10.10.1.2

wps1136

13、如下图配置好路由器R1,用其来模拟互联网。

wps1137

14、分别为各用户配置IP地址,并使它们和VLANIF 4的IP地址10.1.1.1/24处于同一网段。配置成功
后,各部门用户可以访问Internet,但VLAN 2的用户与VLAN 3的用户间不可以相互Ping通。如下图以
PC1为例,PC1可以与R1通信,另外三台PC也同样可以访问R1。

wps1138

15、现在相同VLAN间的PC可以与通,不同VLAN间的PC三层无法访问。

wps1139

16、在SW2上的Super-VLAN 4下面配置Proxy ARP,让VLAN2和VLAN3实现三层互通。

int vlanif 4

arp-proxy inter-sub-vlan-proxy enable

wps1140

17、测试PC1已经可以Ping通PC3,VLAN2与VLAN3之间实现了三层互通。

wps1141

配置MUX-VLAN

1、MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通信,也可实现
VLAN内的用户相互隔离。常见的场景有宾馆酒店,小区宽带接入和企业内部。他们的特点是一个宾馆
或者一个小区或一个公司同用一个VLAN,但每个房间,每户人家,每个部门又彼此隔离。

2、与Super VLAN相比,MUX VLAN属于二层交换机功能, Super VLAN属于三层功能,需要三层交换
机支持。MUX VLAN对用户间的访问控制灵活性好,但MUX VLAN配置较为复杂。

3、配置MUX-VLAN的注意事项:

● 如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在Super-VLAN、 Sub-VLAN的配置中使
用,不建议在VLAN Mapping、 VLAN Stacking的配置中使用。

● 如果指定VLAN已经用于Group VLAN或Separate VLAN,那么该VLAN不能再用于创建VLANIF接口,或
者在Super-VLAN、Sub-VLAN的配置中使用,不建议在VLAN Mapping、VLAN Stacking的配置中使用。

● 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。

● 不能在同一接口上配置MUX VLAN和接口安全功能。

● 不能在同一接口上配置MUX VLAN和MAC认证功能。

● 不能在同一接口上配置MUX VLAN和802.1x认证功能。

● 接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN、Stacking。

4、MUX-VLAN分为:Principal VLAN (主VLAN)和 Subordinate VLAN(从VLAN),从VLAN分为
Group VLAN(互通型从VLAN)和 Separate VLAN(隔离型从VLAN)。它们之间的通信关系如下表。

wps1142

5、下面我们通过下面的拓扑来演示一下MUX-VLAN的配置方法,Server1位于主VLAN,PC1和PC4位于互
通型VLAN,PC2、PC3和PC5位于隔离型VLAN。

wps1143

6、配置SW1,创建相关VLAN并启用MUX-VLAN。

vlan batch 2 3 4

int g0/0/2

port link-type access

port default vlan 3

port mux-vlan enable

int g0/0/3

port link-type access

port default vlan 4

port mux-vlan enable

int g0/0/4

port link-type access

port default vlan 4

port mux-vlan enable

int g0/0/1

port link-type trunk

port trunk allow-pass vlan 2 3 4

vlan 2

mux-vlan

subordinate separate 4

subordinate group 3

7、同样在SW2上进行相应的配。这里不再赘述。

wps1144wps1145

8、为所有PC及Server配置相同的IP地址段。

PC1: 192.168.1.1 /24

PC2: 192.168.1.2 /24

PC3: 192.168.1.3 /24

PC4: 192.168.1.4 /24

PC5: 192.168.1.5 /24

Server1: 192.168.1.6 /24

9、PC1无法Ping通PC2,因为从VLAN之间不能能信。但PC1可以与PC4通信,因为它们在互通型VLAN内,
符合规则。

wps1146

10、PC2无法与同组同VLAN的PC3通信,但可以与同VLAN不同组的PC5通信,符合规则。

wps1147

11、所有PC都可以Ping通Server1主机,说明所有从VLAN都可以与主VLAN通信,符合规则。

wps1148wps1149wps1150

配置端口隔离

1、为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的
VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔
离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵
活的组网方案。

2、端口隔离分为二层隔离三层互通和二层三层都隔离两种模式,如果用户希望隔离同一VLAN内的广播
报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。如
果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。华为
交换机设备缺省端口隔离模式为二层隔离三层互通,只需要将接口加入到隔离组中,就可以实现隔离
组内接口之间二层数据的隔离。

3、端口隔离的配置比较简单,如下图,我们将PC1与PC2添加到隔离组中,这样PC1与PC2就无法通信,
但是都可以与PC3通信,同时也可以访问互联网,三个PC都在同一个VLAN当中。

wps1151

4、在SW1中创建VLAN并配置各个端口。

vlan 10

int g0/0/1

port link-type access

vlan default vlan 10

port-isolate enable  ##缺省加入隔离组1,模式为二层隔离三层互通。

int g0/0/2

port link-type access

vlan default vlan 10

port-isolate enable

int g0/0/3

port link-type access

vlan default vlan 10

wps1152

5、现在PC1与PC2虽然在同一个VLAN内,但由于被隔离,所以它们之间是无法互通的。

wps1153

6、这里配置Router地址为192.168.1.5,确认被隔离的PC主机可以访问互联网。同时也可以
与PC3互通。

wps1154

配置端口安全

1、端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态
MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,一般使用在接入层设备,
实现用户和接口的绑定,同时控制接口的用户接入数。相比通过静态MAC地址和user-bind手动配置用
户静态绑定,端口安全可以实现用户和接口的动态绑定。

2、相比通过DHCP snooping实现的用户和接口的动态绑定,端口安全的配置比较简单。另外端口安全
还可以提供限制用户接入数量的功能。

3、我们以下图为例,对g0/0/1端口进行端口安全配置。

wps1155

4、首先配置VLAN,实现二层转发。

int g0/0/1

port link-type access

port devault vlan 10

int g0/0/2

port link-type access

port devault vlan 10

int g0/0/3

port link-type access

port devault vlan 10

5、在接口g0/0/1上配置端口安全,这里限制数为1,实际中需要结合实际情况进行修改。

int g0/0/1

port-security enable

port-security mac-address sticky

port-security max-mac-num 1

wps1156

6、创建一个VLANIF 10的接口地址设置为192.168.1.254做为网关地址。PC1设置为192.168.1.1。
现在PC1可以ping通VLANIV 10接口地址。此时MAC地址为5489-982F-6863。

wps1157

7、现在我们将MAC地址进行更改,来模拟此端口接入了一台新的设备。我们将MAC地址后两位修改为
66,此时可以发现PC1已经无法ping通网关地址。

wps1158

8、同时在交换机上可以看到告警信息。提示g0/0/1端口的MAC地址变化已经超出限制并被屏蔽。同样
如果我们再次MAC地址改回去,PC1立即就可以再次Ping通网关。保存配置后,重启交换机,此配置依
然有效。

wps1159

Last modification:March 23rd, 2020 at 11:39 am
如果觉得我的文章对你有用,请随意赞赏