计算机网络——华为vlan Mapping及其实验配置
创作不易,记得点赞哦
目录
1.什么是vlan-mapping?
1.2 vlan-mapping中所运用到的技术
2.eNSP实验
2.1 vlan一层转换实验
2.2 隔离组实验
3.镜像技术的应用
3.1 镜像技术的由来
3.2 镜像概述
3.3 eNSP镜像配置实验
3.3.1 简单的镜像配置实验
3.3.2 配置远程观察端口实验
3.3.3 配置基于MQC的本地镜像
3.3.4配置基于acl的本地镜像流
4.端口安全
4.1端口安全类型:
4.2端口安全配置实现实验
1.什么是vlan-mapping?
VLAN Mapping也叫做VLAN translation,可以实现在用户VLAN ID(私有VLAN)和运营商VLAN ID(业务VLAN,也被叫做公有VLAN)之间相互转换的一个功能。
例子:
比如 当在交换机端口上配置了VLAN 100和VLAN10的映射后,端口在向外发送VLAN100的帧时,将帧中的VLAN Tag替换成VLAN10的VLAN Tag;在接收VLAN 10 的帧时,将帧中的VLAN Tag替换成VLAN100的VLAN Tag,这样VLAN100和VLAN10就实现了互相通信。
1.2 vlan-mapping中所运用到的技术
端口隔离:
端口隔离是交换机端口之间的一种访问安全控制机制。
实现不同端口接入的PC之间不能互访(PC属于相同的VLAN),而所有的PC都能够通过上行的交换机访问网络。 可以配置VLAN内的用户间的相互隔离或者互通。
命令行:
配置隔离组
port-isolate mode all-----全局使能隔离模式
interface GigabitEthernet0/0/1 //在端口下配置相应的VLAN
port link-type access
port default vlan 3
port-isolate enable group 1-----属于相同组不能互通,未被隔离和隔离的端口可以互通,不同组可以互通
配置观察端口
observe-port interface Ethernet0/0/1 //配置为被观察的端口
interface Ethernet0/0/2
mirror to observe-port inbound //将被观察端口的入方向的操作作为镜像输出到该端口
interface Ethernet0/0/3
mirror to observe-port outbound //将被观察端口的出方向的操作作为镜像输出到该端口
配置ACL来匹配镜像观察端口
observe-port interface Ethernet0/0/1
acl number 2000 //一个ACL的固定模式
rule 5 permit source 192.168,3,10 0 //允许IP地址为192.168.3.10 的IP地址通过,IP地址后的配置为反掩码
traffic classifier c1 operator or if-match acl 2000 //配置流类型为c1或者匹配acl 2000的规则
traffic behavior b1 mirror to observe-port //配置行为类型为b1,并且作为被观察端口的镜像
traffic policy d1 classifier c1 behavior b1 //配置策略类型为d1,并且绑定流行为c1和行为类型b1
配置观察端口
interface Ethernet1/0/1
traffic-policy d1 inbound //将该端口配置为Ethernet0/0/1端口的观察端口,并且配置的策略为d1
2.eNSP实验
2.1 vlan一层转换实验
拓扑图:下面各交换机端口参照下一个拓扑图
实验目的:PC1与PC3处于vlan10,PC2与PC4处于vlan20,终端通过Internet来进行通信,Internet内部有自己的内部VLAN进行通信,本实验就是实现进入Internet之前实现vlan转换。 vlan内部可以通信,同一vlan内的终端可以共享同一网段
PC1配置
PC2配置
PC3配置
PC4配置
SW1配置
sysname SW1
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
SW2配置
sysname SW2
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
SW3配置
sysname SW3
vlan batch 100
vlan batch 200
interface GigabitEthernet0/0/1
qinq vlan-translation enable
port link-type trunk
port trunk allow-pass vlan 100
port trunk allow-pass vlan 200
port vlan-mapping vlan 10 map-vlan 100
port vlan-mapping vlan 20 map-vlan 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
port trunk allow-pass vlan 200
SW4配置
sysname SW4
vlan batch 100
vlan batch 200
interface GigabitEthernet0/0/1
qinq vlan-translation enable
port link-type trunk
port trunk allow-pass vlan 100
port trunk allow-pass vlan 200
port vlan-mapping vlan 10 map-vlan 100
port vlan-mapping vlan 20 map-vlan 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
port trunk allow-pass vlan 200
效果图:
port-isolate的模式:三层
ALL:在同一个组中的端口之间不能进行2、3层互通
L2:在同一个组中的端口之间不能进行2层互通,但是可以进行3层互通
注:在同一个隔离组中的端口之间不能互通,但是可以和其它组的端口或者没加组的端口间互通
2.2 隔离组实验
拓扑图:
实验目的:PC1与PC5处于同一个VLAN,同一个隔离组,但是相互不能通信
port-isolate mode l2
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-isolate enable group 1
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
port-isolate enable group 1
3.镜像技术的应用
3.1 镜像技术的由来
在网络维护的过程中会遇到需要对报文进行获取和分析的情况,比如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。
镜像技术可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。
镜像技术是为了进行数据采集,从而分析数据来达到科学合理的管控网络中的内容的效果。
3.2 镜像概述
镜像定义:将镜像端口(源端口)的报文复制一份到观察端口(目的端口)
镜像作用 :获取完整报文用于分析网络状况
镜像优点:①不影响原有网络,快捷方便 ②采集的是实时数据流,真实可靠
3.3 eNSP镜像配置实验
3.3.1 简单的镜像配置实验
拓扑图:
实验目的:配置一个镜像端口和多个观察端口,利用观察端口来监视镜像端口的流量数据
实验一:配置一对一,即一个镜像端口对一个观察端口
第一步:配置观察端口
observe-port 1 interface GigabitEthernet0/0/1
第二步:配置镜像端口
interface GigabitEthernet0/0/4
port-mirroring to observe-port 1 inbound
第三步:验证配置结果
[SWITCH]dis observe-port
----------------------------------------------------------------------
Index : 1
Interface: GigabitEthernet0/0/1
Used : 1
----------------------------------------------------------------------
实验二:配置多对一,即多个镜像端口对一个观察端口
第一步:配置观察端口
observe-port 1 interface GigabitEthernet0/0/1
第二步:配置镜像端口
interface GigabitEthernet0/0/4
port-mirroring to observe-port 1 inbound
interface GigabitEthernet0/0/3
port-mirroring to observe-port 1 inbound
return
3.3.2 配置远程观察端口实验
拓扑图:
实验目的:SW1的g/0/0/1口为镜像口,g/0/0/3为观察口,将观察口接收到的报文转发给远程在vlan10 的终端,即PC8
SW1配置:
observe-port 1 interface GigabitEthernet0/0/3 vlan 10 //配置观察端口接收到的镜像报文像vlan10转发,不需要在观察端口下进行接口加入vlan的操作
interface GigabitEthernet0/0/1
port-mirroring to observe-port 1 inbound //配置该镜像端口发送该端口入方向的报文复制一份到观察端口
SW2配置
vlan batch 10 //创建vlan10
interface GigabitEthernet0/0/1 //将接口接入vlan10
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
3.3.3 配置基于MQC的本地镜像
拓扑图:
SW1配置
observe-port 1 interface GigabitEthernet0/0/3
acl number 3000
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
traffic classifier b1 operator or
if-match acl 3000
if-match acl 3001
traffic behavior c1
mirroring to observe-port 1
traffic policy p1
classifier b1 behavior c1
interface GigabitEthernet0/0/1
traffic-policy p1 inbound
port-mirroring to observe-port 1 inbound
3.3.4配置基于acl的本地镜像流
4.端口安全
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换我诶安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信,这样可以阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性。
4.1端口安全类型:
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
| 类型 | 定义 | 特点 |
|---|---|---|
| 安全动态MAC地址 | 使能端口安全而未能使Sticky MAC功能时转换的MAC地址 | 设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化 |
| 安全静态MAC地址 | 使能端口安全时手工配置的静态MAC地址 | 不会被老化,手动保存配置后重启设备不会丢失 |
| Sticky MAC地址 | 使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址 | 不会被老化,手动保存配置后重启设备不会丢失 |
端口安全:
说明:接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址
接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址
接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址
端口安全限制动作
超过安全MAC地址限制数后的动作
| 动作 | 实现说明 |
|---|---|
| Restrict (限制) | 丢弃源MAC地址不存在的报文并上。推荐使用restrict动作报告警 |
| Protect (保护 ) | 只丢弃源MAC地址不存在的报文,不上报告警 |
| shutdown(关闭) | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复 |
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
4.2端口安全配置实现实验
网络端口安全,比如封闭的园区网络要求保障接入用户的安全性。财务部人员流动性较低,可以使用端口安全技术静态的绑定接入用户的MAC与VLAN信息;市场部的人员流动性较高,使用端口安全技术的动态MAC地址学习保证接入用户的合法性。
[SW2-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-security enable //开启端口安全
port-security protect-action shutdown //配置违规后的动作为shutdown
port-security max-mac-num 5 //接口下可以学习的MAC地址数量为5条
port-security mac-address sticky //MAC地址学习的方式为粘贴
return
[SW2-GigabitEthernet0/0/1]port-security aging-time 15 type ?
absolute Absolute time //绝对时间,MAC地址绑定时间到期后会被清除
inactivity Inactivity time //不活动时间,绑定的MAC地址在规定时间内没有发送数据帧,绑定关系会被清除