8月份,公司发生了一起信息安全事件,公司因此对信息安全变得非常重视,所有部门都不同程度的进行改革。我负责的网络也不例外,之前我也是按照最普遍的做法,接入层根据交换机接口划分 vlan,没有做接入层认证。事件发生后,认证肯定是必须的了,但是前后磨了半个月,上级觉得预算太高,因此拒绝了我购买认证方案的请求。所以我不得不另辟蹊径,找了个苦煞网管的mac-vlan来一定程度提升安全性。
mac-vlan 在所有 vlan划分方式中,可以说是最安全的,但确是最麻烦的。原因就在于mac-vlan需要预定义网络,简单点说,就是你必须先知道所有终端的mac地址。
mac-vlan原理:
根据数据帧的源MAC地址来划分VLAN。网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。
实验举例:
需求背景:
财务部,信息较为敏感,需要独立 vlan:
vid:2080
vlanif ip add:172.20.80.254/24
实验PC的MAC:54-89-98-73-77-97
其它信息不敏感部门:
vid:2090
vlanif ip add:172.20.90.254/24
实验PC的MAC:54-89-98-FA-45-32
来宾:
vid:2000
vlanif ip add:172.20.0.254/24
实验PC的MAC:任意
网络拓扑:
交换机一般对mac-vlan有条数限制,所以实际环境应该尽量做在汇聚和接入层上。
配置过程:
创建vlan
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2000 2080 2090
顺便开启dhcp:
[Huawei]dhcp enable
创建三层接口,开启DHCP服务:
[Huawei]interface Vlanif 2000
[Huawei-Vlanif2000]ip add 172.20.0.254 24
[Huawei-Vlanif2000]dhcp select interface
[Huawei-Vlanif2000]q
[Huawei]interface Vlanif 2080
[Huawei-Vlanif2080]ip add 172.20.80.254 24
[Huawei-Vlanif2080]dhcp select interface
[Huawei-Vlanif2080]q
[Huawei]interface Vlanif 2090
[Huawei-Vlanif2090]ip add 172.20.90.254 24
[Huawei-Vlanif2090]dhcp select interface
[Huawei-Vlanif2090]q
配置mac-vlan:
[Huawei]vlan 2080
[Huawei-vlan2080]mac-vlan mac-address 5489-9873-7797
[Huawei]q
[Huawei]vlan 2090
[Huawei-vlan2090]mac-vlan mac-address 5489-98FA-4532
[Huawei-vlan2090]q
配置接口,开启mac-vlan:
[Huawei-GigabitEthernet0/0/24]port hybrid tagged vlan all
[Huawei-GigabitEthernet0/0/24]port hybrid untagged vlan 2000
[Huawei-GigabitEthernet0/0/24]port hybrid pvid vlan 2000 2080 2090
[Huawei-GigabitEthernet0/0/24]mac-vlan enable
[Huawei-GigabitEthernet0/0/24]q
将port pvid设置为2000,这样的话,没有在交换机上配置mac-vlan的mac地址,默认加入2000这个vlan,然后我们可以针对这个vlan 控制访问权限。
配置完成,看下结果:
先看下财务部和其它部门的PC,是否加入到相应vlan:
[Huawei]dis mac-address GigabitEthernet 0/0/24
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9873-7797 2080 - - GE0/0/24 dynamic 0/-
5489-98fa-4532 2090 - - GE0/0/24 dynamic 0/-
5489-986a-34de 2000 - - GE0/0/24 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
可以看出,指定的MAC都加入了相应的vlan。
根据mac地址划分vlan,在没有网管平台的情况下,管理极为不便。但是确实提升了不少安全性,以上实验,仅供参考,欢迎各位同行在评论区交流。
閱讀更多 然誠如 的文章