8月份,公司發生了一起信息安全事件,公司因此對信息安全變得非常重視,所有部門都不同程度的進行改革。我負責的網絡也不例外,之前我也是按照最普遍的做法,接入層根據交換機接口劃分 vlan,沒有做接入層認證。事件發生後,認證肯定是必須的了,但是前後磨了半個月,上級覺得預算太高,因此拒絕了我購買認證方案的請求。所以我不得不另闢蹊徑,找了個苦煞網管的mac-vlan來一定程度提升安全性。
mac-vlan 在所有 vlan劃分方式中,可以說是最安全的,但確是最麻煩的。原因就在於mac-vlan需要預定義網絡,簡單點說,就是你必須先知道所有終端的mac地址。
mac-vlan原理:
根據數據幀的源MAC地址來劃分VLAN。網絡管理員預先配置MAC地址和VLAN ID映射關係表,當交換機收到的是Untagged幀時,就依據該表給數據幀添加指定VLAN的Tag。然後數據幀將在指定VLAN中傳輸。
實驗舉例:
需求背景:
財務部,信息較為敏感,需要獨立 vlan:
vid:2080
vlanif ip add:172.20.80.254/24
實驗PC的MAC:54-89-98-73-77-97
其它信息不敏感部門:
vid:2090
vlanif ip add:172.20.90.254/24
實驗PC的MAC:54-89-98-FA-45-32
來賓:
vid:2000
vlanif ip add:172.20.0.254/24
實驗PC的MAC:任意
網絡拓撲:
交換機一般對mac-vlan有條數限制,所以實際環境應該儘量做在匯聚和接入層上。
配置過程:
創建vlan
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2000 2080 2090
順便開啟dhcp:
[Huawei]dhcp enable
創建三層接口,開啟DHCP服務:
[Huawei]interface Vlanif 2000
[Huawei-Vlanif2000]ip add 172.20.0.254 24
[Huawei-Vlanif2000]dhcp select interface
[Huawei-Vlanif2000]q
[Huawei]interface Vlanif 2080
[Huawei-Vlanif2080]ip add 172.20.80.254 24
[Huawei-Vlanif2080]dhcp select interface
[Huawei-Vlanif2080]q
[Huawei]interface Vlanif 2090
[Huawei-Vlanif2090]ip add 172.20.90.254 24
[Huawei-Vlanif2090]dhcp select interface
[Huawei-Vlanif2090]q
配置mac-vlan:
[Huawei]vlan 2080
[Huawei-vlan2080]mac-vlan mac-address 5489-9873-7797
[Huawei]q
[Huawei]vlan 2090
[Huawei-vlan2090]mac-vlan mac-address 5489-98FA-4532
[Huawei-vlan2090]q
配置接口,開啟mac-vlan:
[Huawei-GigabitEthernet0/0/24]port hybrid tagged vlan all
[Huawei-GigabitEthernet0/0/24]port hybrid untagged vlan 2000
[Huawei-GigabitEthernet0/0/24]port hybrid pvid vlan 2000 2080 2090
[Huawei-GigabitEthernet0/0/24]mac-vlan enable
[Huawei-GigabitEthernet0/0/24]q
將port pvid設置為2000,這樣的話,沒有在交換機上配置mac-vlan的mac地址,默認加入2000這個vlan,然後我們可以針對這個vlan 控制訪問權限。
配置完成,看下結果:
先看下財務部和其它部門的PC,是否加入到相應vlan:
[Huawei]dis mac-address GigabitEthernet 0/0/24
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9873-7797 2080 - - GE0/0/24 dynamic 0/-
5489-98fa-4532 2090 - - GE0/0/24 dynamic 0/-
5489-986a-34de 2000 - - GE0/0/24 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
可以看出,指定的MAC都加入了相應的vlan。
財務部
其它部門
來賓
根據mac地址劃分vlan,在沒有網管平臺的情況下,管理極為不便。但是確實提升了不少安全性,以上實驗,僅供參考,歡迎各位同行在評論區交流。
閱讀更多 然誠如 的文章
