pVLAN:下层VLAN相互隔离的技术
PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN(Secondary VLAN)。
辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
①混杂端口(Promiscuous Port)
②主机端口(Host Port)
其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
pVLAN通信范围:
primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
community VLAN:可以同那些处于相同community VLAN内的community port通信,也可以与pVLAN中的promiscuous端口通信。 (每个pVLAN可以有多个community VLAN)
isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。 (每个pVLAN中只能有一个isolated VLAN)
pVLAN当中使用的一些规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。 3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
专用虚拟局域网技术应用与实例
1 前言
交换机是网络的核心设备之一,其技术发展非常迅速,从10Mbit/s以太网、100Mbit/s快速以太网,进而发展到吉比特和10吉比特以太网。交换机在通信领域和企业中的应用向纵深发展,网络管理人员对掌握专用虚拟局域网PVLAN技术的需求也越来越迫切。本文通过实践经验对这方面的应用进行总结。
2 VLAN的局限性
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。 然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。
(1)VLAN的限制:交换机固有的VLAN数目的限制;
(2)复杂的STP:对于每个VLAN,每个相关的Spanning Tree的拓扑都需要管理;
(3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费;
(4)路由的限制:每个子网都需要相应的默认网关的配置。
3 PVLAN技术
现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN(Private VLAN)。在Private VLAN的概念中,交换机端口有三种类型:Isolated port,Community port, Promiscuous port;它们分别对应不同的VLAN类型:Isolated port属于Isolated PVLAN,Community port属于Community PVLAN,而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交换流量;在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
4 PVLAN的配置步骤
1)Put switch in VTP transparent mode set vtp mode transparent (2) Create the primary private VLAN set vlan vlan pvlan-type primary (3)Set the isolated or community VLAN(s) set vlan vlan pvlan-type {isolated community} (4)Map the secondary VLAN(s) to the primary VLAN set pvlan primary_vlan {isolated_vlan community_ vlan} {mod/port sc0} (5)Map each secondary VLAN to the primary VLAN on the promiscuous port(s) set pvlan mapping primary_vlan {isolated_vlan community_vlan} {mod/port} [mod/port ...] (6)Show PVLAN configuration show pvlan [primary_vlan] show pvlan mapping show vlan [primary_vlan] show port
5 例子
下面给出一个正在网络中运行的交换机的PVLAN的相关配置,仅供参考。其中,VLAN 100是Primary VLAN,VLAN 101是Isolated VLAN,VLAN 102和VLAN 103是Community VLAN。
N8-CSSW-2> (enable) show running-config This command shows non-default configurations only. set system name N8-CSSW-2 #vtp set vtp domain sdunicom set vtp mode transparent set vlan 1 name default type ethernet mtu 1500 said 100001 state active set vlan 100 name VLAN0100 type ethernet pvlantype primary mtu 1500 said 100100 state active set vlan 101 name VLAN0101 type ethernet pvlantype isolated mtu 1500 said 100101 state active set vlan 102 name VLAN0102 type ethernet pvlantype community mtu 1500 said 100102 state active set vlan 103 name VLAN0103 type ethernet pvlantype community mtu 1500 said 100103 state active #module 2 : 50-port 10/100/1000 Ethernet set pvlan 100 101 2/26-29,2/35-36,2/42-43 set pvlan mapping 100 101 2/49 set pvlan 100 102 2/1-13,2/30-34 set pvlan mapping 100 102 2/49 set pvlan 100 103 2/14-25 set pvlan mapping 100 103 2/49 end N8-CSSW-2> (enable) show pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- 100 101 isolated 2/26-29,2/35-36,2/42-43 100 102 community 2/1-13,2/30-34 100 103 community 2/14-25
6 结束语
目前很多厂商生产的交换机支持PVLAN技术,PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的,而且采用PVLAN技术有助于网络的优化,再加上PVLAN在交换机上的配置也相对简单,PVLAN技术越来越得到网络管理人员的青睐。
大家帮帮我 H3C S5500 SI 三层交换机 VLAN配置问题
我的网络环境是这样的: 1·WAN固定公网IP连接到 海蜘蛛(免费版)软路由上,软路由LAN 的IP地址设置为 192.168.1.1 255.255.255.0 2·海蜘蛛软路由(LAN)连一根网线到 H3C S5500的三层交换机的1\/0\/24 上 我想实现三层交换机下面的所有VLAN互访,并且VL... 展开 路由...
VlVlan这个英文什么意思??用中文怎么念?
VIVIAN 源为拉丁字vivianus,意为有活力的。vivian印度语是我爱你的意思。可以用来当人名。中文就读:薇薇安
vlan10下的pc之间无法ping通;vlan10与vlan11之间的pc也无法ping通;哪位...
(config-if)no sh 配置接口vlan (config)inte range fa0\/1-2 (config-if)switch mode access (config-if)switch access vlan 10 (config)inte range fa0\/3-4 端口看不太清楚,根据实际情况配置 (config-if)sw mo ac (config-if)sw ac vl 11 完成以上配置,线缆连接正确(电...
有关交换机之间vlan的问题~
您好!Asker 两交换机之间的中继链接(trunk)的作用是让两台交换机上的相同VLAN之间通信的。VTP(Vlan中继协议)可以通告相同作用域(VTP Domain)的交换机Vlan的个数以及属性。也就是您所说的“只要在一台交换机上配置一个vlan,其他的交换机就自动知道这个vlan的存在”。处于Client模式的的交换机学习...
为什么要划分vlan再使用路由器连接不通vlan通信,而不直 接使用交换机不...
服务器少的话也是可以的。如果服务器过多,arp报文就要发送到全网,有问题就会影响全网
两个不同VLAN一台二层交换机如何互相访问?
二层交换机上不同vlan间是无法互相访问的,需要多加一台路由器做单臂路由才可实现同一台交换机上不同vlan间的通信,比如vlan1通过路由访问vlan2,实现不同vlan之间的通信,有助理解、学习VLAN原理和子接口概念,缺点是容易成为网络单点故障,配置稍有复杂,现实意义不大。单臂路由(router-on-a-stick)...
三层交换机,左边实现vlan10和vlan20vl的通信,右边实现了vlan30和vlan...
先不用ospf,将sw1的网关设为s4 sw4的网关设为s1,看看两边通不通。
...还有防火墙放在哪里,哪一层用三层交换机,要实现vl
通过核心层交换机连接防火墙,然后连接到外网。在汇聚层交换机配置各个VLAN的IP地址,在接入层交换机划分VLAN并且把相应接口划分到相应VLAN中即可。而且在汇聚层及核心层要做路由配置才能通信。
...和levevl one 交换机连接后在CISCO的端口划了VLAN还可以和连接levevl...
相同VLAN下是可以通信的,不同VLAN下就不可以了。你在levevl交换机的端口上也划同样的VLAN,也只能保证在这两台交换机上的相同的VLAN可以通信。不同VLAN仍不能通信。实现不同VLAN的通信,需要3层设备,路由,或3层交换。
vlan怎么转发
SVL全称shared vlan learning。在MAC表中以MAC为主键进行储存,也就是说同一个MAC在SVL方式下只能存在一个记录在MAC表中。1.在MAC中先根据MAC寻找相应的记录,找不到转4 2.记录中的VID与packet中携带的VID一样,得到相应的port;不一样转5 3.将packet转发到相应的port,end.4.向packet携带的vid...
贯响甲硫: PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离.如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离.而SVLAN和CVLAN就是QINQ技术里面的双层VLAN标签的概念,也就是内层vlan和外层vlan的不同标签.
新巴尔虎左旗15981606795: vlan菜鸟请教多个交换机划分vlan - ?
贯响甲硫: PVLAN即私有VLAN(Private VLAN),也称“专用虚拟局域网”.PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离.如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离.也称“专用虚拟局域网”. 把你接光纤的端口全部配成TRUNK链路,然后用PVLAN技术就能实现你需要的功能.至于PVLAN怎么设置 你百度下PVLAN就有很多答案了,我这里就不解释了.
新巴尔虎左旗15981606795: CISCO 的pvlan是隔离2层3层互通吗?不是时说互ping不通吗,为什么3层互通还ping不通, - ?
贯响甲硫: cisco的pvlan的基于二层vlan隔离的,是不影响ping的测试的,ping都是三层的报文,至于命令打着太麻烦了,简单说一下吧,vlan10...
新巴尔虎左旗15981606795: 要让同一个VLAN中的各个端口相互之间不能通信,但却可以穿过交换机设备的Trunk端口,这样做的好处是.. - ?
贯响甲硫: 乱想,要好好学习下VLAN的定义及其应用!引用“如果要让同一个VLAN中的各个端口相互之间不能通信,”划分vlan本身就是让这个子网内可以和另外子网之间隔离的,如果想那样,不如每个端口划分个vlan,级联线端口做trunk,就可以了!
新巴尔虎左旗15981606795: 请问:交换机端口隔离的问题? - ?
贯响甲硫: 问题一二均可使用PVLAN解决,PVLAN本来就是用来隔离同VLAN下的端口,但你却非要弃之不用 若是一定要这样,可行的方法是分别将端口绑定电脑的IP,用访问控制列表阻止对应IP之间的互访
新巴尔虎左旗15981606795: 什么是 PVLAN - ?
贯响甲硫: private VLAN 是用来交换机端口的保护.......里面包括COM (团体VLAN)ISO(隔离VLAN) 我以前前一段时间刚做这个实验的..现在CISCO设备的二层交换机是没办法做的..要用三层设备的3560IOS才可以做这些配置......
新巴尔虎左旗15981606795: ARP欺骗的原理和应用?象这样标题的论文怎么写啊从那些方面入手啊? ?
贯响甲硫: 目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无... PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离. ...
新巴尔虎左旗15981606795: 同一个网段 同一vlan下可能有相同端口,如何隔离两两之间互通? - ?
贯响甲硫: 交换机支持私有vlan,就可以配置Pvlan,每个端口即一个vlan,可以隔离相互之间通讯
新巴尔虎左旗15981606795: 同一个Pvlan下不同的community vlan之间的主机能不能进行相互访问??? - ?
贯响甲硫: 方法1.首先你的两个community vlan必须是不同网段的,然后在primary vlan上建立一个SVI接口配置两个地址,first和secondary,并分别作为两个community vlan host的网关,这个接口可以算作是promiscuous 端口,按理community之间不同网段可以通过这个primary 的svi接口三层转发.方法2.在primary vlan 归属的接口里面,找一个接口作为access,然后把你的做单臂的Router 接入到此接口中,同样配置双地址,同样设置为两个community vlan host的网关
新巴尔虎左旗15981606795: 怎样清楚企业网络中的病毒 - ?
贯响甲硫: 一、ARP协议工作原理在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址.而在以太网中数据包是靠48位MAC地址(物理地址)寻址的.因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为...
