HCIP-四、MUX-vlan&Super-vlan+端口安全

四、MUX-vlan&Super-vlan+端口安全

  • MUX-vlan
    • 实验拓扑
    • 实验需求及解法
      • [1. 在SW1/2/3分别创建vlan10 20 30 40](#1. 在SW1/2/3分别创建vlan10 20 30 40)
      • [2. SW1/2/3之间使用trunk链路,仅允许vlan10 20 30 40 通过。](#2. SW1/2/3之间使用trunk链路,仅允许vlan10 20 30 40 通过。)
      • [3. SW与PC/Server之间使用access链路。](#3. SW与PC/Server之间使用access链路。)
      • [4. ping验证:](#4. ping验证:)
  • Super-vlan+端口安全
    • 实验拓扑
    • 实验需求及解法
      • [1.SW1 创建 vlan10,vlan3001 和 vlan3002](#1.SW1 创建 vlan10,vlan3001 和 vlan3002)
      • [2.SW2/3 创建 vlan3001 和 vlan3002](#2.SW2/3 创建 vlan3001 和 vlan3002)
      • [3.SW1/2/3 之间使用 trunk 链路,并仅允许 vlan3001 和 3002 通过。](#3.SW1/2/3 之间使用 trunk 链路,并仅允许 vlan3001 和 3002 通过。)
      • [4.SW2/3 与 PC 之间使用 access 链路,并划入对应 vlan。](#4.SW2/3 与 PC 之间使用 access 链路,并划入对应 vlan。)
      • 5.验证通信:
      • [6.在网关 vlanif10 中开启 vlan 间代理 ARP 功能。](#6.在网关 vlanif10 中开启 vlan 间代理 ARP 功能。)
      • 7.验证通信:
      • [8.为保证企业内网安全,需要在 vlan3001 中开启端口安全,完成以下需求:](#8.为保证企业内网安全,需要在 vlan3001 中开启端口安全,完成以下需求:)

MUX-vlan

实验拓扑

实验需求及解法

  • 本实验模拟某企业内部网络,有财务、市场两个部门,另有访客网络。
  • 现需要对内网流量进行控制,完成以下需求:

1. 在SW1/2/3分别创建vlan10 20 30 40

javascript 复制代码
 vlan40设置为mux-vlan
 vlan10和20设置为Group-vlan
 vlan30设置为Separate-vlan
SW1/2/3:
vlan batch 10 20 30 40
vlan 40
mux-vlan
subordinate separate 30
subordinate group 10 20

2. SW1/2/3之间使用trunk链路,仅允许vlan10 20 30 40 通过。

javascript 复制代码
SW1:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
SW2:
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
SW3:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40

3. SW与PC/Server之间使用access链路。

javascript 复制代码
 //财务部划入vlan10
 //市场部划入vlan20
 //访客划入vlan30
SW1:
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable
#
SW2:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
port mux-vlan enable
#
SW3:
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable

4. ping验证:

  • 确保财务内部可以通信,市场内部可以通信,而财务与市场部不通。
  • 确保访客内部不能通信,且访客与财务/市场都不能通信。
  • 确保 Server1 可以与所有 PC 通信。

Super-vlan+端口安全

实验拓扑

实验需求及解法

本实验模拟某企业内网,多个部门分隔为不同的 vlan,但是每个部门主机数量都较少。

为了简化 IP 地址规划,节省 IP 地址,需配置 Super-vlan。请完成以下需求:

1.SW1 创建 vlan10,vlan3001 和 vlan3002

  • 将 vlan10 设置为 Super-vlan,vlan3001 和 3002 为子 vlan。
javascript 复制代码
SW1:
vlan batch 10 3001 3002
vlan 10
aggregate-vlan
access-vlan 3001 to 3002

2.SW2/3 创建 vlan3001 和 vlan3002

javascript 复制代码
SW2/3:
vlan batch 3001 3002

3.SW1/2/3 之间使用 trunk 链路,并仅允许 vlan3001 和 3002 通过。

javascript 复制代码
SW1:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3001 to 3002
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 3001 to 3002
#
SW2:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3001 to 3002
#
SW3:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3001 to 3002

4.SW2/3 与 PC 之间使用 access 链路,并划入对应 vlan。

javascript 复制代码
SW2:
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3001
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3001
#
SW3:
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3002
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3002

5.验证通信:

  • PC1 可以与 PC2 通信,PC3 可以与 PC4 通信
  • PC1/2 不能与 PC3/4 通信。

6.在网关 vlanif10 中开启 vlan 间代理 ARP 功能。

javascript 复制代码
SW1:
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable

7.验证通信:

  • PC1 可以与 PC3 通信,且使用 tracert 命令验证需先经过网关。
  • PC1>tracert 192.168.10.3
bash 复制代码
traceroute to 192.168.10.3, 8 hops max
(ICMP), press Ctrl+C to stop
	1 192.168.10.254 47 ms 47 ms 31 ms
	2 192.168.10.3 62 ms 109 ms 94 ms

8.为保证企业内网安全,需要在 vlan3001 中开启端口安全,完成以下需求:

  • 8.1 最大学习 mac 地址数量为 5 个。
  • 8.2 学习到的 mac 地址永不超时,且端口关闭或设备重启后不会删除。
  • 8.3 当学习的 mac 地址数量超过 5 个时,会自动关闭端口。
javascript 复制代码
SW2:
interface GigabitEthernet0/0/2
port-security enable
port-security protect-action shutdown
port-security max-mac-num 5
port-security mac-address sticky
interface GigabitEthernet0/0/3
port-security enable
port-security protect-action shutdown
port-security max-mac-num 5
port-security mac-address sticky
相关推荐
小林ixn7 小时前
从“玩具工具”到“跨语言利器”:MCP 协议实战解析
运维·服务器·网络
xixixi777778 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525298 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567898 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708319 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
青岛前景互联信息技术有限公司10 小时前
以新标准为底座,前景互联打造高危场景智能接处警新体系
大数据·网络·人工智能
大飞记Python10 小时前
Linux命令速查手册(测试开发4年实战总结,附PDF)
linux·网络·pdf
AFinalStone10 小时前
Android 7系统网络(四)Native层(下)—netd Controller详解
android·网络
冰茶丿10 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
Sirius Wu10 小时前
OpenClaw(UpClaw)三层Tool全链路治理深度详解
网络·人工智能·架构·aigc