📌  相关文章
📜  专用 VLAN

📅  最后修改于: 2022-05-13 01:57:01.172000             🧑  作者: Mango

专用 VLAN

先决条件 - 虚拟 LAN (VLAN)
虚拟 LAN (VLAN) 用于在第 2 层将广播域分解为较小的域。只有属于同一 VLAN 的(所有)主机能够在与其他 VLAN 主机通信时相互通信,完成 VLAN 间路由。但是在同一个 VLAN 中,如果我们希望某些主机不应该能够在第 2 层与其他主机(在同一个 VLAN 中)通信,则使用 VLAN 访问列表或私有 VLAN 的概念。

专用 VLAN –
专用 VLAN 用于将第 2 层广播域分解为小的子域。一个子域由一个主 VLAN 和一个或多个辅助 VLAN 组成。

VLAN 类型 –

私有 VLAN 中有两种类型的 VLAN:

  1. 主 VLAN –
    私有 VLAN 中的所有端口都属于一个主 VLAN。一个专用 VLAN 只能有一个主 VLAN。私有 VLAN 域中的所有 VLAN 共享同一个主 VLAN。
  2. 辅助 VLAN –
    专用 VLAN 可以有一个或多个辅助 VLAN。它提供了属于同一私有 VLAN 域的端口之间的隔离。
    它们有两种类型:
    1. 隔离 VLAN –
      属于隔离 VLAN 的主机只能与其关联的混杂端口通信,不能直接与第 2 层的其他主机(属于其他隔离或社区 VLAN)直接通信。通常,单个端口被分配给隔离 VLAN,但您可以有多个一个与之关联的端口。
    2. 社区 VLAN –
      一个私有 VLAN 可以有一个或多个社区 VLAN。属于同一个社区 VLAN 的主机可以相互通信及其关联的混杂端口,但属于不同社区 VLAN 的主机不能在第 2 层相互通信。

端口类型 –

私有 VLAN 中的端口类型有:

  1. 混杂端口——
    它属于主 VLAN。这些端口可以与所有接口进行通信,这些接口是与该混杂端口和该主 VLAN 关联的辅助 VLAN 的一部分。一般用于交换机与路由器、防火墙等的连接。
  2. 隔离端口 –
    隔离端口属于辅助隔离 VLAN。这些是其流量被转发到混杂端口的主机端口。专用 VLAN 仅允许来自其关联混杂端口的隔离端口的流量。
  3. 社区港口——
    此端口属于辅助社区 VLAN。这些主机端口可以与同一社区 VLAN 中的其他端口以及与其关联的混杂端口进行通信。这些端口与其他社区 VLAN 端口和隔离端口完全隔离。

笔记 -
VTP(VLAN 中继协议)应在透明或关闭模式下运行,以便配置专用 VLAN。

配置 -

这是一个拓扑,其中Router1(IP地址- 192.168.1.1/24),PC1(IP地址- 192.168.1.10/24),PC2(IP地址- 192.168.1.20/24),PC3(IP地址- 192.168.1.30 /24) 和开关如图所示相互连接。
在本任务中,我们将 VLAN 10 分配给 fa0/1、fa0/2,将 VLAN 20 分配给 fa0/3 和 fa0/0 作为 VLAN 100。然后,我们将 VLAN 10 设为社区 VLAN,将 VLAN 20 设为隔离 VLAN,并VLAN 100 作为主 VLAN。

在交换机上配置专用 VLAN: 

switch(config)#vlan 10
switch(config-vlan)#private-vlan community
switch(config-vlan)#exit

在这里,我们创建了 VLAN 10 并将其配置为社区 VLAN。现在,配置隔离 VLAN。 

switch(config)#vlan 20
switch(config-vlan)#private-vlan isolated
switch(config-vlan)#exit

现在,创建 vlan 100 并将其配置为主 VLAN 并将辅助 vlan 10、20 关联到它。 

switch(config)#vlan 100
switch(config-vlan)#private-vlan primary
switch(config-vlan)#private-vlan association 10, 20
switch(config-vlan)#exit

现在,将端口配置为 private-vlan 主机端口并将它们与主 VLAN 和辅助 VLAN 相关联。首先配置 fa0/1 和 fa0/2 并将 vlan 10(辅助 VLAN)与其主 VLAN(vlan 100)关联。 

switch(config)#int range fa0/1-2
switch(config-vlan)#switchport mode private-vlan host
switch(config-vlan)#switchport Private-vlan host-association 100 10

现在,配置 fa0/3 并将 vlan 20(辅助 VLAN)与其主 VLAN(vlan 100)相关联。 

switch(config)#int fa0/3
switch(config-vlan)#switchport mode private-vlan host
switch(config-vlan)#switchport Private-vlan host-association 100 20

现在,最后我们将接口 fa0/0 配置为混杂端口,并将该端口与主 VLAN (vlan 100) 和辅助 VLAN (vlan 10, 20) 相关联。 

switch(config)#int fa0/0
switch(config-vlan)#switchport mode private-vlan promiscuous 
switch(config-vlan)#switchport Private-vlan mapping 100 10, 20

我们可以通过命令验证与辅助 VLAN 关联的端口。 

switch#show vlan private-vlan

如果要验证主 VLAN 和辅助 VLAN(隔离或社区),请使用该命令。 

switch# show vlan private-vlan type