计算机网络之华为vlan Mapping

  • 时间:
  • 来源:互联网
  • 文章标签:

1.什么是vlan-mapping? 

VLAN Mapping也叫做VLAN translation,可以实现在用户VLAN ID(私有VLAN)和运营商VLAN ID(业务VLAN,也被叫做公有VLAN)之间相互转换的一个功能。 

例子:

比如当在交换机端口上配置了VLAN 100和VLAN10的映射后,端口在向外发送VLAN100的帧时,将帧中的VLAN Tag替换成VLAN10的VLAN Tag;在接收VLAN 10 的帧时,将帧中的VLAN Tag替换成VLAN100的VLAN Tag,这样VLAN100和VLAN10就实现了互相通信。

1.2 vlan-mapping中所运用到的技术

端口隔离: 

端口隔离是交换机端口之间的一种访问安全控制机制。 

实现不同端口接入的PC之间不能互访(PC属于相同的VLAN),而所有的PC都能够通过上行的交换机访问网络。 可以配置VLAN内的用户间的相互隔离或者互通。

 

命令行:

配置隔离组

port-isolate mode all-----全局使能隔离模式

interface GigabitEthernet0/0/1   //在端口下配置相应的VLAN

port link-type access

port default vlan 3

port-isolate enable group 1-----属于相同组不能互通,未被隔离和隔离的端口可以互通,不同组可以互通  

配置观察端口

observe-port interface Ethernet0/0/1 //配置为被观察的端口

 

interface Ethernet0/0/2 

mirror to observe-port inbound  //将被观察端口的入方向的操作作为镜像输出到该端口

 

interface Ethernet0/0/3

mirror to observe-port outbound  //将被观察端口的出方向的操作作为镜像输出到该端口

 

配置ACL来匹配镜像观察端口

observe-port interface Ethernet0/0/1

acl  number 2000  //一个ACL的固定模式

rule 5 permit source 192.168,3,10  0 //允许IP地址为192.168.3.10 的IP地址通过,IP地址后的配置为反掩码

traffic classifier c1 operator or if-match acl 2000   //配置流类型为c1或者匹配acl 2000的规则

traffic behavior b1 mirror to  observe-port //配置行为类型为b1,并且作为被观察端口的镜像

traffic policy d1 classifier c1 behavior b1 //配置策略类型为d1,并且绑定流行为c1和行为类型b1

 

配置观察端口

interface Ethernet1/0/1

traffic-policy d1 inbound  //将该端口配置为Ethernet0/0/1端口的观察端口,并且配置的策略为d1

2.eNSP实验

 

2.1 vlan一层转换实验

拓扑图:下面各交换机端口参照下一个拓扑图

实验目的:PC1与PC3处于vlan10,PC2与PC4处于vlan20,终端通过Internet来进行通信,Internet内部有自己的内部VLAN进行通信,本实验就是实现进入Internet之前实现vlan转换。 vlan内部可以通信,同一vlan内的终端可以共享同一网段 

PC1配置

PC2配置

 

PC3配置

PC4配置

 

 SW1配置

sysname SW1
#
vlan batch 10 20
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
 

SW2配置

#
sysname SW2
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 20
 

SW3配置

#
sysname SW3
#
vlan batch 100

vlan batch 200
#

interface GigabitEthernet0/0/1
 qinq vlan-translation enable
 port link-type trunk
 port trunk allow-pass vlan 100

 port trunk allow-pass vlan 200
 port vlan-mapping vlan 10 map-vlan 100
 port vlan-mapping vlan 20 map-vlan 200
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100

 port trunk allow-pass vlan 200
#

SW4配置

#
sysname SW4
#
vlan batch 100

vlan batch 200
#
interface GigabitEthernet0/0/1
 qinq vlan-translation enable
 port link-type trunk
 port trunk allow-pass vlan 100

 port trunk allow-pass vlan 200

 port vlan-mapping vlan 10 map-vlan 100
 port vlan-mapping vlan 20 map-vlan 200
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100

 port trunk allow-pass vlan 200
#

效果图:

 

 

port-isolate的模式:三层

ALL:在同一个组中的端口之间不能进行2、3层互通

L2:在同一个组中的端口之间不能进行2层互通,但是可以进行3层互通

注:在同一个隔离组中的端口之间不能互通,但是可以和其它组的端口或者没加组的端口间互通

2.2  隔离组实验

拓扑图:

实验目的:PC1与PC5处于同一个VLAN,同一个隔离组,但是相互不能通信

port-isolate mode l2
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
 port-isolate enable group 1
#
 

3.镜像技术的应用

3.1 镜像技术的由来

在网络维护的过程中会遇到需要对报文进行获取和分析的情况,比如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。

镜像技术可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。 

镜像技术是为了进行数据采集,从而分析数据来达到科学合理的管控网络中的内容的效果。

 

 

3.2 镜像概述

镜像定义:将镜像端口(源端口)的报文复制一份到观察端口(目的端口)

镜像作用 :获取完整报文用于分析网络状况

镜像优点:①不影响原有网络,快捷方便 ②采集的是实时数据流,真实可靠

 

 

 

 3.3 eNSP镜像配置实验

 

3.3.1 简单的镜像配置实验

 

拓扑图:

实验目的:配置一个镜像端口和多个观察端口,利用观察端口来监视镜像端口的流量数据

实验一:配置一对一,即一个镜像端口对一个观察端口 

第一步:配置观察端口

#
observe-port 1 interface GigabitEthernet0/0/1
#
第二步:配置镜像端口

#
interface GigabitEthernet0/0/4
 port-mirroring to observe-port 1 inbound
#
第三步:验证配置结果

[SWITCH]dis observe-port
  ----------------------------------------------------------------------
  Index    : 1
  Interface: GigabitEthernet0/0/1
  Used     : 1
  ----------------------------------------------------------------------

实验二:配置多对一,即多个镜像端口对一个观察端口

第一步:配置观察端口

#
observe-port 1 interface GigabitEthernet0/0/1
#

第二步:配置镜像端口

#
interface GigabitEthernet0/0/4
 port-mirroring to observe-port 1 inbound
#

#
interface GigabitEthernet0/0/3
 port-mirroring to observe-port 1 inbound
#
return

 

3.3.2 配置远程观察端口实验

拓扑图:

实验目的:SW1的g/0/0/1口为镜像口,g/0/0/3为观察口,将观察口接收到的报文转发给远程在vlan10 的终端,即PC8

SW1配置:
 

 #
observe-port 1 interface GigabitEthernet0/0/3 vlan 10  //配置观察端口接收到的镜像报文像vlan10转发,不需要在观察端口下进行接口加入vlan的操作
#

#
interface GigabitEthernet0/0/1
 port-mirroring to observe-port 1 inbound  //配置该镜像端口发送该端口入方向的报文复制一份到观察端口
#
 

SW2配置

#
vlan batch 10   //创建vlan10
#
#
interface GigabitEthernet0/0/1   //将接口接入vlan10
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
 

 

 

 3.3.3 配置基于MQC的本地镜像

 拓扑图:

 

SW1配置

#
observe-port 1 interface GigabitEthernet0/0/3
#
#
acl number 3000
 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
acl number 3001
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
traffic classifier b1 operator or
 if-match acl 3000
 if-match acl 3001
#
#
traffic behavior c1
 mirroring to observe-port 1
#
#
traffic policy p1
 classifier b1 behavior c1
#

#
interface GigabitEthernet0/0/1
 traffic-policy p1 inbound
 port-mirroring to observe-port 1 inbound
#
 

 

 

 

3.3.4配置基于acl的本地镜像流 

 

 

 

 

4.端口安全

在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换我诶安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信,这样可以阻止其他非信任用户通过本接口和交换机通信,提高设备与网络的安全性。

4.1端口安全类型: 

端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

类型定义特点
安全动态MAC地址使能端口安全而未能使Sticky MAC功能时转换的MAC地址设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化
安全静态MAC地址使能端口安全时手工配置的静态MAC地址不会被老化,手动保存配置后重启设备不会丢失
Sticky MAC地址使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址不会被老化,手动保存配置后重启设备不会丢失
   

 

 

端口安全:

说明:接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。 

接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址

接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址

接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转换为安全动态MAC地址

 

端口安全限制动作 

超过安全MAC地址限制数后的动作

动作实现说明

Restrict

(限制)

丢弃源MAC地址不存在的报文并上。推荐使用restrict动作报告警

Protect

(保护 )

只丢弃源MAC地址不存在的报文,不上报告警
shutdown(关闭)接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。 

4.2端口安全配置实现实验

 网络端口安全,比如封闭的园区网络要求保障接入用户的安全性。财务部人员流动性较低,可以使用端口安全技术静态的绑定接入用户的MAC与VLAN信息;市场部的人员流动性较高,使用端口安全技术的动态MAC地址学习保证接入用户的合法性。

[SW2-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 port-security enable   //开启端口安全
 port-security protect-action shutdown   //配置违规后的动作为shutdown
 port-security max-mac-num 5  //接口下可以学习的MAC地址数量为5条
 port-security mac-address sticky  //MAC地址学习的方式为粘贴
#
return
 

 

[SW2-GigabitEthernet0/0/1]port-security aging-time 15 type ?
  absolute    Absolute time  //绝对时间,MAC地址绑定时间到期后会被清除
  inactivity  Inactivity time  //不活动时间,绑定的MAC地址在规定时间内没有发送数据帧,绑定关系会被清除
 

 

 

 

 

 

本文链接http://www.taodudu.cc/news/show-1781933.html