Сетевые решения — Private VLAN (PVLAN)

Недавно мы отказались от внедрения технологии Private VLAN в сети клиента по причине того, что коммутаторы серии Cisco Catalyst 2960 попросту не поддерживают ее в полноценном виде. Данный раздел из пояснительной записки должен быть удален и чтобы не пропасть доброму труду по сбору информации и применению данной технологии, я увековечу здесь ее описание и применение, хотя лично мне не довелось воплотить идею в жизнь.

Технология Private VLAN (PVLAN) позволяет производить разграничение трафика на втором уровне модели OSI между портами коммутатора, которые находятся в одном широковещательном домене.

На коммутаторах уровня доступа и уровня ядра сконфигурировано три типа PVLAN портов:

  • promiscuous – это порт, который способен обмениваться данными между любыми интерфейсами, включая isolated и community порты PVLAN;
  • isolated – это порт, который полностью изолирован от других портов внутри одного и того же PVLAN, но не от promiscuous портов. PVLANы блокируют весь трафик, идущий в сторону isolated портов, кроме трафика со стороны promiscuous портов; пакеты со стороны isolated портов могут передаваться только в сторону promiscuous портов;
  • community – это группа портов, которые могут обмениваться данными между собой и promiscuous портами, эти интерфейсы отделены на втором уровне модели OSI от всех остальных community интерфейсов, а также isolated портов внутри PVLAN.

Процесс выполнения функции дополнительного разделения портов с помощью технологии Private VLAN представлен на рисунке:

Ограничения Private VLAN:

  • Для корректной работы Private VLAN на всех коммутаторах протокол VTP переключается в режим transparent командой vtp mode transparent.
  • Одному Primary VLAN назначается только один isolated VLAN и множество community VLAN.
  • Порты Private VLAN не могут принадлежать группе портов, объединенных по технологии EtherChannel.

Пример конфигурации Private VLAN на коммутаторах уровня доступа согласно рисунку приведенному выше:

switch(config)# vlan (общий номер PVLAN)
switch(config-vlan)# private-vlan primary
switch(config-vlan)# exit

switch(config)# vlan (номер изолированного VLAN)
switch(config-vlan)# private-vlan isolated
switch(config-vlan)# exit

switch(config)# vlan (номер комьюнити VLAN)
switch(config-vlan)# private-vlan community
switch(config-vlan)# exit

switch(config)# vlan (общий номер PVLAN)
switch(config-vlan)# private-vlan association (номер комьюнити VLAN) (номер изолиро-ванного VLAN),
switch(config-vlan)# end

switch(config)# interface Gi (номер порта)
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping (общий номер PVLAN) add (номер комьюнити VLAN) (номер изолированного VLAN)
switch(config-if)# end

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика