私有VLAN（Private VLAN）

Posted 2023-04-23 dongtianci0801

       私有VLAN（Private VLAN），也称为专用VLAN，是一种电脑网络技术，它包含被限制的交换机端口，使得它们只能与给定的“上行链路”（uplink）通信。受限（restricted）端口称为“私有端口”。每个专用VLAN通常包含许多私有端口和单个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中心资源的端口。

分类

私有VLAN将一个主要VLAN划分为多个次要VLAN，并同时保留现有的IP子网和第三层配置。常规VLAN是单个广播域，而私有VLAN将一个广播域分成多个较小的广播子域。

• 主要VLAN：原始的VLAN。这种类型的VLAN用于将数据帧下行转发到所有次要VLAN。
• 次要VLAN：次要VLAN配置为以下类型之一：
• 隔离（Isolated）：与隔离VLAN相关联的任何端口都可以到达主要VLAN，但不能访问任何其他次要VLAN。此外，与同一个隔离VLAN关联的主机无法相互通讯。一个私有VLAN中可以有多个隔离VLAN（如果出于安全考虑，VLAN需要使用不同的路径，则可能会有用）; 隔离VLAN的端口在每个VLAN内保持彼此隔离。
• 公共（Community）：与公共VLAN相关联的任何交换机端口都可以相互通信，并与主VLAN进行通信，但不能与任何其他辅助VLAN进行通信。一个私有VLAN内可以有多个不同的公共VLAN。

私有VLAN主要有两种类型的端口：混杂端口（P-Port）和主机端口。主机端口进一步分为两种类型：隔离端口（I-Port）和公共端口（C-Port）。

• 混杂端口（P-Port）：交换机端口连接到路由器，防火墙或其他网关设备。该端口可以与连接到主VLAN或任何辅助VLAN的任何其他端口进行通信。换句话说，它是允许从VLAN中任何其他端口发送和接收数据帧的一种类型的端口。
• 主机端口：
• 隔离端口：连接到隔离VLAN上的常规主机。此端口只能与P-Port通信。
• 公共端口：连接到公共VLAN上的常规主机。该端口能与同一个私有VLAN上的P-Port和C-Port端口进行通信。

 

Mux-vlan

Mux-vlan :
（相当于思科的私有协议： PVLAN -private vlan，私有VLAN ）
#主VLAN Principal VLAN
#从VLAN
隔离VLAN Separate VLAN
互通VLAN Group VLAN

配置命令：
[sw1]vlan batch 10 20 30
【创建lvan10 20 30】
[sw1-vlan10]mux-vlan
【进入VLAN 10 开启mux-vlan】
[sw1-vlan10]subordinate group 20
【在VLAN10 中将VLAN20 设置为互通型VLAN】
[sw1-vlan10]subordinate separate 30
【在VLAN10 中将VLAN30 设置为隔离型VLAN】
[sw1-GigabitEthernet0/0/1]port link-type access 
[sw1-GigabitEthernet0/0/1]port default vlan 20
[sw1-GigabitEthernet0/0/1]port mux-vlan enable 

[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20
[sw1-GigabitEthernet0/0/2]port mux-vlan enable
【将端口0/1--0/2拉入到VLAN20 ，为互通型】

同样操作将0/3--0/4 端口拉进VLAN30 配置为隔离型

查看命令：
[sw1]display port vlan
【查看端口的PVID 】
[sw1]display vlan
【查看VLAN的类型 】
[sw1]display mux-vlan
【查看VLAN属于什么类型】

 # seperate : 同属于该vlan的端口，之间不通  
# group : 同属于该vlan的类型，之间通；

注意：
判断两个端口是否属于同一个 mux-vlan 中的小 vlan，
不能通过命令： display vlan 来查看；
应该使用： display mux-vlan
加入到同一个 stub-mux-vlan 的端口，都必须同时启用mux功能
属于 Mux-vlan 中的 小 vlan 的设备发送的数据，如果经过
Trunk链路的话，打的是 小 vlan 的标签，而不是大/主VLAN的；
一个设备在发送数据包之前，应该是先形成包，也就是先进行
数据的封装，在该过程中，尤其注意 2层头部的封装，主要是
目标MAC的获得。
通过 ARP 协议
如果ARP协议工作过程出现问题，则 2层头部封装失败；
那么整个测试数据，是无法形成的，无法发送出去的；
所以最终导致不通；

端口隔离：

在节省 VLAN 资源的前提下，实现同一个 VLAN 中的成员主机的 通信隔离；
#在华为交换机上，配置隔离的时候，可以存在多个隔离组；
#属于相同隔离组的端口互联的主机，才不能通信；
#属于不同隔离组的端口互联的主机，是可以通信的；
#华为交换机上的端口可以同时属于多个 隔离组；
#隔离端口所实现的功能，只能发生在“同一个交换机”上的
多个端口之间

配置命令：
[sw1-GigabitEthernet0/0/2]port-isolate enable
【将这个端口进行隔离】
如果我们不使用 group ，则默认添加到 group 1
[sw1]display port-isolate group all
【查看所有的端口隔离组以及成员】

端口安全：
当我们在一个端口上配置了该功能以后，那么该端口上的入向
流量，就有了所谓的合法与非法之分；主要是通过接收到的 数据的“源MAC”地址进行区分的;
对于启动了端口安全的端口，合法的源MAC可以通过以下两种
方式配置：
1.在该端口手动的静态配置一个合法的MAC地址；
2.在该端口上启用合法MAC的 sticky 特性。
设备将该端口第一次学习到的数据的源MAC作为合法MAC；

该端口对于合法的MAC地址发送的流量，直接转发；
对于非常的MAC地址发送的流量，直接进行相应的惩罚行为：
1.protect - 丢弃非法报文；
2.restrict - 丢弃非法报文，并发送报警信息；
3.shutdown - 直接将该端口 shutdown；

配置命令：
[sw1-GigabitEthernet0/0/1]port-security enable
【开启端口安全】

[sw1-GigabitEthernet0/0/1]port-security mac-address sticky
【将端口和合法的MAC地址绑定】
[sw1-GigabitEthernet0/0/1]port-security max-mac-num
[sw1-GigabitEthernet0/0/1]port-security protect-action shutdown
【设置的惩罚】
[sw1]display mac-address sticky
【查看自动学习到的合法MAC地址】