pVLAN通常用於企業內部網,用來防止連線到某些接口或接口組的網路設備之間的相互通信,但卻允許與默認網關進行通信。儘管各設備處於不同的pVLAN中,它們可以使用相同的IP子網。
每個pVLAN 包含2種VLAN :主VLAN(primary VLAN)和輔助VLAN(Secondary VLAN)。
輔助VLAN(Secondary VLAN)包含兩種類型:隔離VLAN(isolated VLAN)和團體VLAN(community VLAN)。
pVLAN中的兩種接口類型:處在pVLAN中的交換機物理連線埠,有兩種接口類型。
①混雜端口(Promiscuous Port)
②主機連線埠(Host Port)
其中“混雜連線埠”是隸屬於“Primary VLAN”的;“主機連線埠”是隸屬於“Secondary VLAN”的。因為“Secondary VLAN”是具有兩種屬性的,那么,處於“Secondary VLAN”當中的“主機連線埠”依“Secondary VLAN”屬性的不同而不同,也就是說“主機連線埠”會繼承“Secondary VLAN”的屬性。那么由此可知,“主機連線埠”也分為兩類——“isolated連線埠”和“community連線埠”。
處於pVLAN中交換機上的一個物理連線埠要么是“混雜連線埠”要么是“isolated”連線埠,要么就是“community”連線埠。
pVLAN通信範圍:
primary VLAN:可以和所有他所關聯的isolated VLAN,community VLAN通信。
community VLAN:可以同那些處於相同community VLAN內的community port通信,也可以與pVLAN中的promiscuous連線埠通信。 (每個pVLAN可以有多個community VLAN)
isolated VLAN:不可以和處於相同isolated VLAN內的其它isolated port通信,只可以與promiscuous連線埠通信。 (每個pVLAN中只能有一個isolated VLAN)
pVLAN當中使用的一些規則:
1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”,沒有上限。
2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”,可以有多個“Community VLAN”。
3.不同“Primary VLAN”之間的任何連線埠都不能互相通信(這裡“互相通信”是指二層連通性)。
4.“Isolated連線埠”只能與“混雜連線埠”通信,除此之外不能與任何其他連線埠通信。
5.“Community連線埠”可以和“混雜連線埠”通信,也可以和同一“Community VLAN”當中的其它物理連線埠進行通信,除此之外不能和其他連線埠通信。
專用虛擬區域網路技術套用與實例
1 前言
交換機是網路的核心設備之一,其技術發展非常迅速,從10Mbit/s乙太網、100Mbit/s快速乙太網,進而發展到吉比特和10吉比特乙太網。交換機在通信領域和企業中的套用向縱深發展,網路管理人員對掌握專用虛擬區域網路PVLAN技術的需求也越來越迫切。本文通過實踐經驗對這方面的套用進行總結。
2 VLAN的局限性
隨著網路的迅速發展,用戶對於網路數據通信的安全性提出了更高的要求,諸如防範黑客攻擊、控制病毒傳播等,都要求保證網路用戶通信的相對安全性;傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網,通過使用VLAN,每個客戶被從第2層隔離開,可以防止任何惡意的行為和Ethernet的信息探聽。 然而,這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面。
(1)VLAN的限制:交換機固有的VLAN數目的限制;
(2)複雜的STP:對於每個VLAN,每個相關的Spanning Tree的拓撲都需要管理;
(3)IP位址的緊缺:IP子網的劃分勢必造成一些IP位址的浪費;
(4)路由的限制:每個子網都需要相應的默認網關的配置。
3 PVLAN技術
現在有了一種新的VLAN機制,所有伺服器在同一個子網中,但伺服器只能與自己的默認網關通信。這一新的VLAN特性就是專用VLAN(Private VLAN)。在Private VLAN的概念中,交換機連線埠有三種類型:Isolated port,Community port, Promiscuous port;它們分別對應不同的VLAN類型:Isolated port屬於Isolated PVLAN,Community port屬於Community PVLAN,而代表一個Private VLAN整體的是Primary VLAN,前面兩類VLAN需要和它綁定在一起,同時它還包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交換流量;在Community PVLAN中,Community port不僅可以和Promiscuous port通信,而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機接口相連,它收到的流量可以發往Isolated port和Community port。PVLAN的套用對於保證接入網路的數據通信的安全性是非常有效的,用戶只需與自己的默認網關連線,一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連線,所有的用戶都接入PVLAN,從而實現了所有用戶與默認網關的連線,而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個連線埠相互之間不能通信,但可以穿過Trunk連線埠。這樣即使同一VLAN中的用戶,相互之間也不會受到廣播的影響。
4 PVLAN的配置步驟
1)Put switch in VTP transparent mode
set vtp mode transparent
(2) Create the primary private VLAN
set vlan vlan pvlan-type primary
(3)Set the isolated or community VLAN(s)
set vlan vlan pvlan-type {isolated community}
(4)Map the secondary VLAN(s) to the primary VLAN
set pvlan primary_vlan {isolated_vlan community_
vlan} {mod/port sc0}
(5)Map each secondary VLAN to the primary VLAN on the promiscuous port(s)
set pvlan mapping primary_vlan {isolated_vlan community_vlan} {mod/port} [mod/port ...]
(6)Show PVLAN configuration
show pvlan [primary_vlan]
show pvlan mapping
show vlan [primary_vlan]
show port
5 例子
下面給出一個正在網絡中運行的交換機的PVLAN的相關配置,僅供參考。其中,VLAN 100是Primary VLAN,VLAN 101是Isolated VLAN,VLAN 102和VLAN 103是Community VLAN。
N8-CSSW-2> (enable) show running-config
This command shows non-default configurations only.
set system name N8-CSSW-2
#vtp
set vtp domain sdunicom
set vtp mode transparent
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 100 name VLAN0100 type ethernet pvlantype primary mtu 1500 said 100100 state active
set vlan 101 name VLAN0101 type ethernet pvlantype isolated mtu 1500 said 100101 state active
set vlan 102 name VLAN0102 type ethernet pvlantype community mtu 1500 said 100102 state active
set vlan 103 name VLAN0103 type ethernet pvlantype community mtu 1500 said 100103 state active
#module 2 : 50-port 10/100/1000 Ethernet
set pvlan 100 101 2/26-29,2/35-36,2/42-43
set pvlan mapping 100 101 2/49
set pvlan 100 102 2/1-13,2/30-34
set pvlan mapping 100 102 2/49
set pvlan 100 103 2/14-25
set pvlan mapping 100 103 2/49
end
N8-CSSW-2> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- ----------------
100 101 isolated 2/26-29,2/35-36,2/42-43
100 102 community 2/1-13,2/30-34
100 103 community 2/14-25
6 結束語
目前很多廠商生產的交換機支持PVLAN技術,PVLAN技術在解決通信安全、防止廣播風暴和浪費IP位址方面的優勢是顯而易見的,而且採用PVLAN技術有助於網路的最佳化,再加上PVLAN在交換機上的配置也相對簡單,PVLAN技術越來越得到網路管理人員的青睞。
相關詞條
-
Cisco安全防火牆服務模組(FWSM)解決方案
圖書信息Cisco安全防火牆服務模組(FWSM)解決方案作者:布萊爾(Ray Blair)(作者), 杜瑞(Arvind ...
圖書信息 內容簡介 編輯推薦 目錄 -
Cisco安全防火牆服務模組解決方案
圖書信息出版社: 人民郵電出版社; 第1版 (2011年10月1日) 外文書名: Cisco Secure Firew...
圖書信息 作者簡介 內容簡介 目錄 -
Cisco區域網路交換機配置手冊
VTP 101 配置實例 101 6.5 PVLAN 103 配置PVLAN 104 配置私有邊緣VLAN 105 驗證PVLAN 106 配置實例 106 延伸閱讀 108 第7章...
圖書信息 內容簡介 目錄 -
網路安全技術與解決方案
4.2.1 風暴控制4.2.2 受保護的連線埠(PVLAN邊緣)4.3 專用VLAN(PVLAN)4.3.1 配置PVLAN4.3.2 連線埠阻塞...
內容簡介 作者簡介 編輯推薦 目錄 解決方案 -
銀河風雲Tritium S9608
802.1Q VLAN 支持PVLAN、Super VLAN 支持VLAN過濾...
-
園區網
VLAN(PVLAN),甚至還有許多虛擬路由與轉發(Virtual...節點上管理多個VLAN、PVLAN和VRF的方法。為了在園區LAN中支持...
-
SuperVLAN
的,那么SUPER VLAN就是激活的.PVLAN 是節省VLAN數的.PVLAN把一個VLAN劃分成若干個子VLAN,每個VLAN都是物理的,都是要...
SuperVLAN概念 -
泰克網路實驗室
學校介紹 泰克網路實驗室 泰克實驗室自2003年成立以來,憑藉優秀的實力和責任心,已經成為培訓能力型CCIE的象徵。在能力型CC...
學校介紹 培訓及服務 培訓目標 泰克發展 教師團隊 -
路由交換技術實訓教程
配置、虛擬區域網路VLAN配置、鏈路聚合配置、PVLAN配置... 實訓方法 13.7 實訓結論 實訓14 三層交換機PVLAN實訓...
基本信息 內容簡介