7.15. Настройка частных VLAN

Назначение

Частная VLAN (PVLAN) - это функция безопасности, которая используется для предотвращения прямого L2-соединения между портами одной VLAN.

Она может обеспечить более безопасные и гибкие сетевые решения, изолируя порты, находящиеся в одной VLAN.

Настройка

Ниже показана настройка частной VLAN в соответствии с представленной конфигурацией сети.

image

Рис. 7.11 Конфигурация сети

Как показано на рисунке выше:

  • Все порты находятся в одной основной VLAN.

  • Порт “eth-0-1” работает в режиме “Promiscuous” - он может взаимодействовать со всеми другими портами.

  • Порт “eth-0-2” - изолированный порт - он не может взаимодействовать с другими портами, кроме портов, работающих в режиме “Promiscuous”.

  • Порты “eth-0-3” и “eth-0-4” являются общественными портами во вторичном VLAN 2, и могут взаимодействовать друг с другом. Они не могут взаимодействовать со всеми другими портами, кроме портов, работающих в режиме “Promiscuous”.

  • Порты “eth-0-5” и “eth-0-6” являются общественными портами во вторичной VLAN 3, и могут взаимодействовать друг с другом. Они не могут взаимодействовать со всеми другими портами, кроме портов, работающих в режиме “Promiscuous”.

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Создание VLAN

Switch(config)# vlan database 
Switch(config-vlan)# vlan 2
Switch(config-vlan)# quit

Шаг 3: Настройка порта

Настройка порта в режим “Promiscuous”:

Switch(config)# interface eth-0-1
Switch(config-if)# switchport mode private-vlan promiscuous 
Switch(config-if)# switchport private-vlan 2
Switch(config-if)# quit

Настройка изолированного порта:

Switch(config)# interface eth-0-2
Switch(config-if)# switchport mode private-vlan host 
Switch(config-if)# switchport private-vlan 2 isolate 
Switch(config-if)# quit

Настройка общественного порта:

Switch(config)# interface eth-0-3
Switch(config-if)# switchport mode private-vlan host 
Switch(config-if)# switchport private-vlan 2 community-vlan 2
Switch(config-if)# quit

Switch(config)# interface eth-0-4
Switch(config-if)# switchport mode private-vlan host 
Switch(config-if)# switchport private-vlan 2 community-vlan 2
Switch(config-if)# quit

Switch(config)# interface eth-0-5
Switch(config-if)# switchport mode private-vlan host 
Switch(config-if)# switchport private-vlan 2 community-vlan 3
Switch(config-if)# quit

Switch(config)# interface eth-0-6
Switch(config-if)# switchport mode private-vlan host 
Switch(config-if)# switchport private-vlan 2 community-vlan 3
Switch(config-if)# quit

Шаг 4: Выход из режима “Global config”

Switch(config)# exit

Шаг 5: Проверка

Вывод информации о PVLAN:

Switch# show private-vlan 
Primary   Secondary Type           Ports     
--------------------------------------------------------------------------------
2         N/A       promiscuous    eth-0-1   
2         N/A       isloate        eth-0-2   
2         2         community      eth-0-3   eth-0-4   
2         3         community      eth-0-5   eth-0-6