(TK) Private Virtual Local Area Network*
Spis treści
Pokaż
Budowa i działanie prywatnych sieci VLAN
- Wirtualne sieci prywatne PVLAN, umożliwiają odseparowanie od siebie urządzeń, wewnątrz jednej sieci VLAN. Dzięki czemu wykorzystując jedną pule adresów IP możemy stworzyć strukturę, w której hosty będą miały dostęp do Internetu ale nie będą mogły komunikować się ze sobą nawzajem.
- Prywatna sieć VLAN składa się z jednej głównej sieci (Primary VLAN) oraz podległym jej sieciom (Secondary VLAN).
- Podległe sieci „Secondary VLAN” mogą pracować w trybie:
- Isolated – Urządzenia należące do danej sieci mogą komunikować się jedynie z główną siecią „Primary VLAN”. Komunikacja pomiędzy hostami wewnątrz sieci nie jest dozwolona (Interfejsy działające w trybie „Host” mogą komunikować się jedynie z interfejsami pracującymi w trybie „Promiscuous”).
- Community – Urządzenia należące do danej sieci mogą komunikować się z główną siecią „Primary VLAN” oraz innymi hostami należącymi do tej samej sieci (Interfejsy działające w trybie „Host” mogą komunikować się z interfejsami pracującymi w trybie „Promiscuous” oraz innymi interfejsami pracującymi w trybie „Host”).
- Twoway-community – Działanie sieci jest zbliżone do trybu „Community”. Z tym że tryb ten posiada dodatkową możliwość tworzenia dwukierunkowych list dostępowych VACL.
- Poszczególne interfejsy należące do sieci głównej jak i sieci pobocznych pracują w następujących trybach:
- Promiscuous Ports – Stanowi interfejs podłączony do urządzenia uprzywilejowanego (Rutera, zapory ogniowej czy innego urządzenia pełniącego rolę bramy domyślnej). Interfejs może komunikować się z wszystkimi interfejsami z sieci głównej „Primary VLAN” jak i sieci podległych „Secondary VLAN”.
- Host Ports – Stanowi interfejs podłączony do urządzania posiadającego ograniczone uprawnienia. Port ten może komunikować się z interfejsem „Promiscuous” bądź niekiedy z innymi interfejsami „host” (Community)
Sieci Privat VLAN nie są obsługiwane przez protokół VTP w wersji 1 oraz 2, dlatego powinny pracować w trybie transparentnym „transparent” bądź w wersji 3 protokołu VTP.Każda sieć „Secondary VLAN” musi być skojarzona z jedną siecią „Primary VLAN”. Konfiguracja prywatnych sieci VLAN
Tworzenie sieci prywatnych
Konfiguracja sieci „Secondary VLAN”
(config)# vlan VLAN-id
Tworzy nową sieć wirtualną VLAN.
(config-vlan)# private-vlan {isolated / community}
Określa daną sieć VLAN jako sieć prywatną „Secondary VLAN”.
Konfiguracja sieci „Primary VLAN”
(config)# vlan VLAN-id
Tworzy nową sieć wirtualną VLAN.
(config-vlan)# private-vlan primary
Określa konfigurowaną sieć wirtualną jako sieć prywatną „Primary VLAN”.
(config-vlan)# private-vlan association {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}
Przypisuje do jednej głównej sieci „Primary VLAN” sieci podległe „Secondary VLAN”.
Konfiguracja interfejsów
Konfiguracja interfejsu podłączonego do sieci „Secondary VLAN”
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport mode private-vlan host
Określa tryb pracy interfejsu sieciowego na „Host”.
(config-if)# switchport private-vlan host-association primary-VLAN secondary-VLAN
Przypisuje do konfigurowanego interfejsu, sieć „Primary VLAN” oraz podlegającą jej sieć „Secondary VLAN”.
Konfiguracja interfejsu podłączonego do sieci „Primary VLAN”
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport mode private-vlan promiscuous
Określa tryb pracy interfejsu sieciowego na „Promiscuous”.
(config-if)# switchport private-vlan mapping primary-VLAN {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}
Przypisuje do konfigurowanego interfejsu sieć „Primary VLAN” oraz podlegające sieci „Secondary”.
Konfiguracja prywatnych sieci VLAN na interfejsie wirtualnym SVI
(config)# interface primary-VLAN-id
Przechodzi do konfiguracji interfejsu SVI, sieci „Primary VLAN”.
(config-if)# private-vlan mapping {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}
Przypisuje do konfigurowanego interfejsu SVI sieci „Secondary VLAN”.
Komendy SHOW
# show vlan private-vlan
Wyświetla informacje o skonfigurowanych sieciach prywatnych PVLAN.
# show vlan private-vlan type
Wyświetla skrócone informacje o skonfigurowanych sieciach prywatnych PVLAN.
Pozostałe tematy związane z sieciami VLAN
- Teoria sieci VLAN
- Troubleshooting sieci VLAN
- Konfiguracja sieci VLAN
- Private Virtual Local Area Network
- vAccess Control List
