PVLAN解析和案例

简介简介 PVLAN Private VLAN 私有 VLAN 通常用于企业内部网 用来防止连接到某些接口或接口组 的网络设备之间的相互通信 但却允许与默认网关进行通信 尽管各设备处于不同的 PVLAN 中 它们可以使用相同的 IP 子网 在 PVLAN 中 交换机端口有 3 种类型 Isolated Port 隔离端口 Community Port 团体端口 和 Promiscuous Port 混杂端口 它们分别 对应不同的 VLAN 类型 Isolated Port 属于 Isolated PVLAN Community Port 属于 Community PVLAN 而代表一个 Private VLAN 整体的是 Primary PVLAN 主私有 VLAN 前 面两类 VLAN 也称为 Secondary PVLAN 辅助私有 VLAN 它们需要和 Primary PVLAN 绑定在 一起 Promiscuous Port 属于 Primary PVLAN 传统传统 VLANVLAN 的局限性 的局限性 随着网络的迅速发展 用户对于网络数据通信的安全性提出了更高的要求 诸如防范黑客 攻击 控制病毒传播等 都要求保证网络用户通信的相对安全性 传统的解决方法是给每 个客户分配一个 VLAN 和相关的 IP 子网 通过使用 VLAN 每个客户被从第 2 层隔离开 可 以防止任何恶意的行为和 Ethernet 的信息探听 然而 这种分配每个客户单一 VLAN 和 IP 子网的模型造成了巨大的可扩展方面的局限 这些局限主要有下述几方面 1 VLAN 的限制 交换机固有的 VLAN 数目的限制 2 复杂的 STP 对于每个 VLAN 每个相关的 Spanning Tree 的拓扑都需要管理 3 IP 地址的紧缺 IP 子网的划分势必造成一些 IP 地址的浪费 4 路由的限制 每个子网都需要相应的默认网关的配置 PVLANPVLAN 简介简介 PVLAN 的应用对于保证接入网络的数据通信的安全性是非常有效的 用户只需与自己的默 认网关连接 一个 PVLAN 不需要多个 VLAN 和 IP 子网就能提供具备二层数据通信安全性的 连接 所有的用户都接入 PVLAN 从而实现了所有用户与默认网关的连接 而与 PVLAN 内 的其它用户没有任何访问 PVLAN 功能可以保证同一个 VLAN 中的各个端口相互之间不能通 信 但可以穿过 Trunk 端口 这样即使同一 VLAN 中的用户相互之间也不会受到广播的影响 PVLANPVLAN 的的 2 2 种种 VLANVLAN 主要 VLAN Primary VLAN 把流量从混杂端口传送到隔离 团体和同一个 VLAN 内部的其 它主要混杂端口 辅助 VLAN Secondary VLAN 辅助 VLAN 包含两种 VLAN 类型 隔离 VLAN Isolated VLAN 把流量从隔离端口传送到一个混杂端口 隔离 VLAN 中的端 口 使其不能与 PVLAN 另一个团体 VLAN 端口或相同隔离 VLAN 内的端口 内部的任何其它端口进行第 2 层通 信 若要与其它端口通 信 则必须穿越混杂端口 团体 VLAN Community VLAN 在相同团体 VLAN 内部的团体端口之间传送流量并传送到 混杂端口 团体 VLAN 内的 端口可以在第 2 层彼此通信 只是在相同团体 VLAN 内部 但是不能与其它团体或隔离 VLAN 的端口进行通信 若要与其它端口进行通信 则必须穿越混杂端口 PVLANPVLAN 的的 2 2 种端口类型 种端口类型 混杂端口 Promiscuous Port 隶属于 Primary VLAN 一个混杂端口可以与所有接口 通信 包括 PVLAN 内的 隔离和团体端口 混杂端口的功能是在团体和隔离的 VLAN 端口之间传递流量 主机端口 Host Port 隶属于 Secondary VLAN 由于 Secondary VLAN 具有两种属 性 那么主机端口依 Secondary VLAN 属性的不同也有两种分类 隔离端口 Isolated Port 它与 PVLAN 内的所有其它端口相分离 除混杂端口外 来源 于隔离端口的流量仅仅 传送给混杂端口 团体端口 Community Port 它在逻辑上把相同区域内部的各个端口和混杂端口结合到 一起 流量可以在它们 之间传送 PVLANPVLAN 的使用规则 的使用规则 1 一个 Primary PVLAN 当中只能有 1 个 Promiscuous Port 2 一个 Primary PVLAN 当中至少有 1 个 Secondary PVLAN 但是没有上限 3 一个 Primary PVLAN 当中只能有 1 个 Isolated PVLAN 可以有多个 Community PVLAN 4 不同 Primary PVLAN 之间的任何端口都不能互相通信 这里 互相通信 是指二层连 通性 5 Isolated Port 只能与 Promiscuous Port 通信 除此之外不能与任何其他端口通 信 6 Community Port 可以和 Promiscuous Port 通信 也可以和同一 Community PVLAN 中的其它物理端 口进行通信 除此之外不能和其他端口通信 7 创建 PVLAN 前 需要配置 VTP 模式为 Transparent 在配置 PVLAN 后 将不能再把模式 转变为 Server 和 Client 8 在配置 PVLAN 中 不使用 VLAN1 VLAN1002 1005 9 三层的 VLAN 接口只能分配给主 VLAN 10 不能在 PVLAN 中配置 EtherChannel 11 假如交换机上一个端口作为 SPAN 的目的端口 这个端口会在配置 PVLAN 的后失效 12 PVLAN 的端口可以做 SPAN 的源端口 13 假如在 PVLAN 中删除了一个 VLAN 那么属于该 VLAN 的端口将失效 受保护的端口受保护的端口 PVLAN PVLAN 边缘边缘 和和 PVLANPVLAN 这两种技术都可以实现交换机同一 VLAN 中的接口间不能通信的目的 但这种 不可通信 不是真正的隔离并且只是一种表面现象 通过某些办法是可以打破这种表象的 受保护的端口要求 受保护的端口要求 只限于同一交换机的同一 VLAN 它不能隔离位于不同交换机或不同 VLAN 的两个受保护 的端口间通信 受保护的端口间若要通信必须通过 3 层设备 在受保护端口间路由 控制流量是一个例外 它将在受保护的端口间进行转发 如路由选择协议更新 受保护的端口和非保护端口间的转发一般优于默认行为 默认情况下端口不配置受保护的端口 配置命令 SW1 config int f0 1 SW1 config if switchitchportswitchitchport protectedprotected 开启端口保护 SW1 showshow intint f0 1f0 1 switchportswitchport 查看交换端口的配置 CatalystCatalyst 交换机上的交换机上的 VLANVLAN 支持 支持 实验实验 命令 命令 SW1 config vlan private vlanprivate vlan communitycommunity SW1 config vlan private vlanprivate vlan isolatedisolated SW1 config vlan private vlanprivate vlan primaryprimary SW1 config vlan private vlanprivate vlan associationassociation 101 102101 102 SW1 config if switchportswitchport private vlanprivate vlan host associationhost association 100100 101101 SW1 config if switchportswitchport modemode private vlanprivate vlan hosthost SW1 config if switchportswitchport private vlanprivate vlan mappingmapping 100100 101 102101 102 SW1 config if switchportswitchport modemode private vlanprivate vlan promiscuouspromiscuous SW1 config if private vlanprivate vlan mappingmapping 101 102101 102 SW1 config vtpvtp modemode transparenttransparent SW1 config vlanvlan 200200 SW1 config vlan namename VLAN 200VLAN 200 SW1 config intint f0 23f0 23 SW1 config if switchportswitchport accessaccess vlanvlan 200200 SW1 config if switchportswitchport modemode accessaccess 用于接入 SW2 交换机 SW1 config ipip routingrouting 配置三层交换 SW1 承担 Vlan 100 和 Vlan 200 间的 路由功能 SW1 config intint vlanvlan 200200 SW1 config if ipip addadd 172 16 2 254172 16 2 254 255 255 255 0255 255 255 0 SW1 config if nono shsh 1 1 创建主要和辅助创建主要和辅助 PVLANPVLAN SW1 config vlanvlan 100100 SW1 config vlan namename VLAN 100VLAN 100 SW1 config vlan private vlanprivate vlan primaryprimary 配置该 VLAN 为主 VLAN SW1 config vlanvlan 101101 SW1 config vlan private vlanprivate vlan comcommunitymunity 配置该 VLAN 为辅助 VLAN 的团体 VLAN SW1 config vlanvlan 102102 SW1 config vlan private vlanprivate vlan isolatedisolated 配置该 VLAN 为辅助 VLAN 的隔离 VLAN 2 2 把辅助把辅助 VLANVLAN 与主要与主要 VLANVLAN 关联 关联 SW1 config vlanvlan 100100 SW1 config vlan private vlanprivate vlan associationassociation 101 102101 102 把本主 VLAN 和辅助 VLAN101 102 关联 3 3 把辅助把辅助 VLANVLAN 映射到交换机映射到交换机 SVI SVI 虚拟接口虚拟接口 SW1 config intint vlanvlan 100100 SW1 config if ipip addadd 172 16 1 254172 16 1 254 255 255 255 0255 255 255 0 SW1 config if private vlanprivate vlan mappingmapping addadd 101 102101 102 将辅助 VLAN 映射到 3 层接口 允许 PVLAN 入口流量 的 3 层交换 辅助 VLAN 被映射到主 VLAN 后就不能起自己的 SVI 了 也就是说映射时也 可以不映射全部的辅助 VLAN SW1 config if nono shsh 4 4 配置一个配置一个 2 2 层端口作为隔离或团体端口 把这个层端口作为隔离或团体端口 把这个 2 2 层端口与初级层端口与初级 VLANVLAN 和可选辅助对和可选辅助对 VLANVLAN 进行关联 进行关联 SW1 config intint f0 1f0 1 SW1 config if switchportswitchport private vlanprivate vlan host associationhost association 100100 101101 把本接口配置为团体接口 即本接口属于主 Vlan 100 并 关联到辅助 Vlan 101 中 SW1 config if switchportswitchport modemode private vlanprivate vlan hosthost 辅助 VLAN 的接口模式被 定义为 host SW1 config intint f0 2f0 2 SW1 config if switchportswitchport private vlanprivate vlan host associationhost association 100100 101101 SW1 config if switchportswitchport modemode private vlanprivate vlan hosthost SW1 config intint f0 3f0 3 SW1 config if switchportswitchport private vlanprivate vlan host associationhost association 100100 102102 SW1 config if switchportswitchport modemode private vlanprivate vlan hosthost SW1 config intint f0 4f0 4 SW1 config if switchportswitchport private vlanprivate vlan host associationhost association 100100 102102 SW1 config if switchportswitchport modemode private vlanprivate vlan hosthost 5 5 配置一个配置一个 2 2 层端口作为层端口作为 PVLANPVLAN 混杂端口 并将这个混杂端口映射到初级混杂端口 并将这个混杂端口映射到初级 VLANVLAN 端口和可选端口和可选 的辅助的辅助 VLANVLAN 对 对 SW1 config intint f0 13f0 13 SW1 config if swit