私有VLAN(Private VLAN)
Posted dongtianci0801
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了私有VLAN(Private VLAN)相关的知识,希望对你有一定的参考价值。
私有VLAN(Private VLAN),也称为专用VLAN,是一种电脑网络技术,它包含被限制的交换机端口,使得它们只能与给定的“上行链路”(uplink)通信。受限(restricted)端口称为“私有端口”。每个专用VLAN通常包含许多私有端口和单个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中心资源的端口。
分类
-
主要VLAN:原始的VLAN。这种类型的VLAN用于将数据帧下行转发到所有次要VLAN。
-
次要VLAN:次要VLAN配置为以下类型之一:
-
隔离(Isolated):与隔离VLAN相关联的任何端口都可以到达主要VLAN,但不能访问任何其他次要VLAN。此外,与同一个隔离VLAN关联的主机无法相互通讯。一个私有VLAN中可以有多个隔离VLAN(如果出于安全考虑,VLAN需要使用不同的路径,则可能会有用); 隔离VLAN的端口在每个VLAN内保持彼此隔离。
-
公共(Community):与公共VLAN相关联的任何交换机端口都可以相互通信,并与主VLAN进行通信,但不能与任何其他辅助VLAN进行通信。一个私有VLAN内可以有多个不同的公共VLAN。
-
混杂端口(P-Port):交换机端口连接到路由器,防火墙或其他网关设备。该端口可以与连接到主VLAN或任何辅助VLAN的任何其他端口进行通信。换句话说,它是允许从VLAN中任何其他端口发送和接收数据帧的一种类型的端口。
-
主机端口:
-
隔离端口:连接到隔离VLAN上的常规主机。此端口只能与P-Port通信。
-
公共端口:连接到公共VLAN上的常规主机。该端口能与同一个私有VLAN上的P-Port和C-Port端口进行通信。
Mux-vlan
Mux-vlan :(相当于思科的私有协议: PVLAN -private vlan,私有VLAN )
#主VLAN Principal VLAN
#从VLAN
隔离VLAN Separate VLAN
互通VLAN Group VLAN
配置命令:
[sw1]vlan batch 10 20 30
【创建lvan10 20 30】
[sw1-vlan10]mux-vlan
【进入VLAN 10 开启mux-vlan】
[sw1-vlan10]subordinate group 20
【在VLAN10 中将VLAN20 设置为互通型VLAN】
[sw1-vlan10]subordinate separate 30
【在VLAN10 中将VLAN30 设置为隔离型VLAN】
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 20
[sw1-GigabitEthernet0/0/1]port mux-vlan enable
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20
[sw1-GigabitEthernet0/0/2]port mux-vlan enable
【将端口0/1--0/2拉入到VLAN20 ,为互通型】
同样操作将0/3--0/4 端口拉进VLAN30 配置为隔离型
查看命令:
[sw1]display port vlan
【查看端口的PVID 】
[sw1]display vlan
【查看VLAN的类型 】
[sw1]display mux-vlan
【查看VLAN属于什么类型】
# seperate : 同属于该vlan的端口,之间不通
# group : 同属于该vlan的类型,之间通;
注意:
判断两个端口是否属于同一个 mux-vlan 中的小 vlan,
不能通过命令: display vlan 来查看;
应该使用: display mux-vlan
加入到同一个 stub-mux-vlan 的端口,都必须同时启用mux功能
属于 Mux-vlan 中的 小 vlan 的设备发送的数据,如果经过
Trunk链路的话,打的是 小 vlan 的标签,而不是大/主VLAN的;
一个设备在发送数据包之前,应该是先形成包,也就是先进行
数据的封装,在该过程中,尤其注意 2层头部的封装,主要是
目标MAC的获得。
通过 ARP 协议
如果ARP协议工作过程出现问题,则 2层头部封装失败;
那么整个测试数据,是无法形成的,无法发送出去的;
所以最终导致不通;
端口隔离:
在节省 VLAN 资源的前提下,实现同一个 VLAN 中的成员主机的 通信隔离;
#在华为交换机上,配置隔离的时候,可以存在多个隔离组;
#属于相同隔离组的端口互联的主机,才不能通信;
#属于不同隔离组的端口互联的主机,是可以通信的;
#华为交换机上的端口可以同时属于多个 隔离组;
#隔离端口所实现的功能,只能发生在“同一个交换机”上的
多个端口之间
配置命令:
[sw1-GigabitEthernet0/0/2]port-isolate enable
【将这个端口进行隔离】
如果我们不使用 group ,则默认添加到 group 1
[sw1]display port-isolate group all
【查看所有的端口隔离组以及成员】
端口安全:
当我们在一个端口上配置了该功能以后,那么该端口上的入向
流量,就有了所谓的合法与非法之分;主要是通过接收到的 数据的“源MAC”地址进行区分的;
对于启动了端口安全的端口,合法的源MAC可以通过以下两种
方式配置:
1.在该端口手动的静态配置一个合法的MAC地址;
2.在该端口上启用合法MAC的 sticky 特性。
设备将该端口第一次学习到的数据的源MAC作为合法MAC;
该端口对于合法的MAC地址发送的流量,直接转发;
对于非常的MAC地址发送的流量,直接进行相应的惩罚行为:
1.protect - 丢弃非法报文;
2.restrict - 丢弃非法报文,并发送报警信息;
3.shutdown - 直接将该端口 shutdown;
配置命令:
[sw1-GigabitEthernet0/0/1]port-security enable
【开启端口安全】
[sw1-GigabitEthernet0/0/1]port-security mac-address sticky
【将端口和合法的MAC地址绑定】
[sw1-GigabitEthernet0/0/1]port-security max-mac-num
[sw1-GigabitEthernet0/0/1]port-security protect-action shutdown
【设置的惩罚】
[sw1]display mac-address sticky
【查看自动学习到的合法MAC地址】
以上是关于私有VLAN(Private VLAN)的主要内容,如果未能解决你的问题,请参考以下文章