防止 VLAN 成员之间的网络自动发现

网络工程 VLAN 播送
2021-07-07 21:56:24

在我们的 ISP 处,我们使用华为 s5300 交换机,我们希望升级我们的设置以完成以下操作:

  1. 将多个不同的客户/用户置于同一 VLAN 下。
  2. 为每个客户端/客户分配一个静态公共 IP 地址,并防止他们使用来自同一子网的另一个 IP 地址。
  3. 隔离同一 VLAN 中的每个客户端/接口,有效地将它们视为不同 VLAN 的一部分。目标是防止基于广播的网络自动发现协议可以定位同一广播域下的所有主机。

想法是:a) 节省 IP 地址,因为如果我们将每个客户端放在单独的 VLAN 中,我们将“丢失”至少 3 个 IP,并且 b) 由于配置复杂性,避免使用 MUX VLAN(Cisco 术语中的专用 VLAN)。

我们停留在第 3 点。如果客户终止了服务器上的公共 IP,那么例如客户 A 可以在 Windows 网络文件夹中看到客户 B、C、D 的服务器。这是连接到接口 0/0/3 和 0/0/4 的客户端的示例配置。正如我们从网上了解到的,命令“port-isolate enable group 1”可能会起作用,但对我们来说它没有效果——我们需要隔离才能在多个交换机上工作。

[Huawei Router]
interface Vlanif2 (The subnet is based on public IP addresses)
ip address X.X.X.X 255.255.255.0
........
[Huawei Switch 1]
user-bind static ip-address X.X.X.19 interface GigabitEthernet0/0/3
interface GigabitEthernet0/0/3
  port link-type access
  port default vlan 2
  port-isolate enable group 1
  arp anti-attack check user-  bind enable
[Huawei Switch 2]
user-bind static ip-address X.X.X.20 interface GigabitEthernet0/0/4
interface GigabitEthernet0/0/4
  port link-type access
  port default vlan 2
  port-isolate enable group 1
  arp anti-attack check user-bind enable
</code>

提前致谢。

[编辑] 1. 代码片段已更改 - 命令分为更多设备。2. 添加了端口隔离应跨多个交换机工作的信息。

4个回答

“port-isolate enable group 1”命令丢弃成员端口之间的通信,只与非成员端口通信。您所做的配置是正确的,但如果您只有一台交换机,您可以在您的网络中实现它,否则它对您没有用处。通常这应该会中断 A 和 B 之间的通信。如果您在网络中只使用一台交换机,请尝试 ping A 到 B 和 B 到 A,如果即使在实施端口隔离后也能互相 ping 通,那么联系 TAC 可能是IOS 中的一个错误。

如果您有多个开关,那么它的工作方式会有所不同,请查看下面以获得更好的主意。设想:

  1. A、B 在 vlan 10 上的 switch1 和端口隔离
  2. C、D 在 vlan 10 上的 swtich2 和端口隔离
  3. 一个 IP xxx10
  4. 乙 IP xxx11
  5. C IP xxx12
  6. D IP xxx13

这里A可以与C和D通信,但不能与B通信。C可以与A和B通信,但不能与D通信。

配置受保护的端口

某些应用程序要求在同一交换机上的端口之间的第 2 层没有流量转发,以便一个邻居看不到另一个邻居生成的流量。在这种环境中,使用受保护端口可确保交换机上的这些端口之间不会交换单播、广播或多播流量。

不确定你的华为交换机有这个功能。它似乎是第 2 层交换机。我打算推荐 ACL 来实现它,但如果只有第 2 层,它可能不会有。

文档中的以下部分提供了解决方案

5.5.2 配置设备间MUX VLAN示例

您是否尝试过 L2 访问列表?

Allow all traffic to and from default-gateway mac.
Block all other traffic.

把它放在每个客户端口上。

其它你可能感兴趣的问题
上一篇这是有效的 OSPF 拓扑吗? 下一篇为什么我们不能创建集线器的层次结构?