配置VLAN的安全属性
为了保证用户报文安全传输,可为VLAN部署安全属性。目前NE20E支持两种安全属性配置,请根据实际情况选择合适的安全属性配置。
应用环境
VLAN的安全属性应用环境如表7-4所示。
VLAN的安全性方案 |
说明 |
优点 |
缺点 |
应用场景 |
|---|---|---|---|---|
禁止端口向VLAN内的其他端口广播报文 |
当VLAN中的一个端口收到广播报文或未知单播报文时,将向VLAN内的其他端口广播该报文。如果是恶意广播报文或恶意未知单播报文,将会占用设备资源,导致设备性能下降甚至瘫痪。禁止端口向VLAN内的其他端口广播接收到的报文可预防设备受到恶意攻击。 |
- |
- |
适用于网络环境固定的场景或已经配置了静态MAC地址明确转发路径的场景。 |
禁止VLAN内的MAC地址学习功能 |
当设备上只有一个入接口和出接口时,为了节约MAC地址表项,可禁止VLAN内的MAC地址学习功能。 |
|
对应用场景有约束:网络中的用户固定且已经成功建立转发路径(通过动态MAC地址学习或部署静态MAC地址)。 若是通过部署静态MAC地址,如果有大量的用户接入二层设备,需要对每一个用户进行初始配置,建立静态转发路径,使得网络管理者的任务量加大。 此功能将导致新用户无法访问网络。 |
适用于网络环境固定的场景或已经配置了静态MAC地址明确转发路径的场景。 |
前置任务
VLAN已经创建
禁止端口向VLAN内的其他端口广播报文
禁止VLAN内的MAC地址学习功能
当设备上只有一个入接口和出接口或网络环境固定的情况下,为了节约MAC地址表项,可禁止VLAN内的MAC地址学习功能。
背景信息
某公司拥有多个部门且分散在不同的楼层,同一部门划分到同一VLAN中,不同部门划分到不同VLAN中,从而实现同一部门中的用户可以互相通信,不同部门相互隔离。
如图7-10所示,公司的部门1划分到VLAN2,部门2划分到VLAN3,公共部门划分到VLAN10。网络部署完成后,VLAN2、VLAN3中的用户均可访问VLAN10,VLAN2中的用户可以互相通信,VLAN2和VLAN3相互隔离。经过一段时间,公司的网络形成了固定网络。为了节约核心交换设备的MAC地址表项,同时防止外来者访问公司网络,可在CE1和CE2上禁止VLAN内的MAC地址学习功能。
禁止VLAN内的MAC地址学习功能只适用于设备上只有一个入接口和出接口或网络环境固定的应用场景。
