Недавно мы отказались от внедрения технологии Private VLAN в сети клиента по причине того, что коммутаторы серии Cisco Catalyst 2960 попросту не поддерживают ее в полноценном виде. Данный раздел из пояснительной записки должен быть удален и чтобы не пропасть доброму труду по сбору информации и применению данной технологии, я увековечу здесь ее описание и применение, хотя лично мне не довелось воплотить идею в жизнь.
Технология Private VLAN (PVLAN) позволяет производить разграничение трафика на втором уровне модели OSI между портами коммутатора, которые находятся в одном широковещательном домене.
На коммутаторах уровня доступа и уровня ядра сконфигурировано три типа PVLAN портов:
- promiscuous – это порт, который способен обмениваться данными между любыми интерфейсами, включая isolated и community порты PVLAN;
- isolated – это порт, который полностью изолирован от других портов внутри одного и того же PVLAN, но не от promiscuous портов. PVLANы блокируют весь трафик, идущий в сторону isolated портов, кроме трафика со стороны promiscuous портов; пакеты со стороны isolated портов могут передаваться только в сторону promiscuous портов;
- community – это группа портов, которые могут обмениваться данными между собой и promiscuous портами, эти интерфейсы отделены на втором уровне модели OSI от всех остальных community интерфейсов, а также isolated портов внутри PVLAN.
Процесс выполнения функции дополнительного разделения портов с помощью технологии Private VLAN представлен на рисунке:
Ограничения Private VLAN:
- Для корректной работы Private VLAN на всех коммутаторах протокол VTP переключается в режим transparent командой vtp mode transparent.
- Одному Primary VLAN назначается только один isolated VLAN и множество community VLAN.
- Порты Private VLAN не могут принадлежать группе портов, объединенных по технологии EtherChannel.
Пример конфигурации Private VLAN на коммутаторах уровня доступа согласно рисунку приведенному выше:
switch(config)# vlan (общий номер PVLAN) switch(config-vlan)# private-vlan primary switch(config-vlan)# exit switch(config)# vlan (номер изолированного VLAN) switch(config-vlan)# private-vlan isolated switch(config-vlan)# exit switch(config)# vlan (номер комьюнити VLAN) switch(config-vlan)# private-vlan community switch(config-vlan)# exit switch(config)# vlan (общий номер PVLAN) switch(config-vlan)# private-vlan association (номер комьюнити VLAN) (номер изолиро-ванного VLAN), switch(config-vlan)# end switch(config)# interface Gi (номер порта) switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# switchport private-vlan mapping (общий номер PVLAN) add (номер комьюнити VLAN) (номер изолированного VLAN) switch(config-if)# end
