文中所展示的内容為VLAN與VLAN之間分隔關系,如相同VLAN使用者之間進行分隔,相同VLAN一組使用者之間允許通信并與其它一組使用者之間進行分隔,屬于VLAN的進階應用範疇。本文來源于智象運維某大神的日常工作記錄分享。
▶▶▶▶▶
基于CISCO産品
一、 普通VLAN
VLAN稱為虛拟區域網路,主要功能用于将一個大的廣播域分割成多個小的廣播域,用來減小發現廣播攻擊時的受攻範圍的。VLAN不是用來隔離網絡的而是用來縮小廣播域的。不同VLAN之間可以通過SVI、單臂等方式通信,是以談不上隔離一說。在同一個VLAN中的所有主機都位于一個廣播域,廣播資料包會發送到每一個主機。
若要對不同VLAN之間通信進行隔離,需要在VLAN的網關接口上使用ACL通路規則進行控制。
二、 Protected Port (Private vlan edge)
某些特殊需求下需要禁止同台一交換機上相同VLAN号的主機之間通信,但又不能将這些禁止通信的主機劃到不同VLAN,因為這些主機還需要和VLAN中的其它主機通信,隻是不能和部分主機通信。要限制交換機上相同VLAN的主機通信,通過将交換機上的接口配置成Protected Port來實作。
如:交換機上某個VLAN有三個接口,其中有兩個是Protected Port,有一個是正常端口,那麼兩個 Protected Port之間是不能通信的,但是Protected Port與正常端口之間的流量還是保持正常不受任何限制。
Protected Port可以拒絕unicast,broadcast以及multicast在這些端口之間通信,Protected Port與Protecte Port之間沒有任何流量發送。ProtectedPort隻在單台交換機上有效,也就是說隻有單台交換機上的Protected Port與Protected Port之間是不能通信的,但是不同交換機的Protected Port與ProtectedPort之間通信還是保持正常。
配置Protected Port時,可以在實體接口和EtherChannel上配置,如果是配在EtherChannel上,那麼配置将對EtherChannel中的所有實體接口生效。
配置示例:
三、Private vlan
PVLAN是專用虛拟區域網路(Private VLAN)的簡稱。它能實作所有使用者與預設網關的通訊,而與PVLAN内的其他使用者互相隔離。PVLAN功能可以保證同一個VLAN中的各個端口互相之間不能通信,這樣即使同一VLAN中的使用者,互相之間也不會受到廣播的影響。
PVLAN技術引入原因
a> 大部分交換機隻支援4096個VLAN,數量有限。
b> 為每一個接入裝置提供一個VLAN,需要大量的接口來配置網關IP。
c> 若需要實作VLAN之間隔離,傳統VLAN使用ACL方式将導緻ACL數量巨大,維護困難。
d> 随着VLAN數量增加,将嚴重影響STP的性能。
PVLAN的應用通過将不同的客戶放在隔離VLAN中實作了客戶的二層隔離,隻需要一個隔離VLAN就可以保證了接入網絡的資料通信的安全性節省了VLAN的資源,通過給主VLAN配置SVI,所有PVLAN共享主VLAN的IP位址實作了所有使用者與預設網關的連接配接而與PVLAN内的其他使用者之間隔離避免了IP子網的劃分,通過應用PVLAN技術能夠在節省VLAN與IP位址資源的情況下很好地解決接入網絡的安全性問題。
PVLAN兩種角色:
主VLAN:Primary vlan
輔助VLAN:Secondary vlan
在一個PVLAN中隻有一個主VLAN,此PVLAN下所有輔助VLAN成員與其它PVLAN域進行通信時将統一表示為主VLAN 的VLAN ID。輔助VLAN是指用來辨別在某個PVLAN下具有相同角色的一組接口VLAN,一個主VLAN下可綁定多個輔助VLAN。一個輔助VLAN隻能屬于一個主VLAN。
輔助VLAN的端口分為3種角色
isolated:孤立端口,孤立端口隻能與雜合端口進行通信,不能與其它端口通信。各孤立端口之間彼此不允許通信,也不允許與團體端口通信。
community: 團體端口,團體端口隻能與兩種端口進行通信,分别是與雜合端口以及同一團體中的其它團體端口,不能與其它團體端口通信,也不可與孤立端口通信。
pormiscuous:雜合端口 此類端口可與所有角色類型的端口進行通信,一般此端口用于網關或者公司裝置。
Private vlan 功能效果如下所示:
團體1
host1, host2 之間可以互相通信,相同的團體之間可以直接通信。
host1, host2 與host3,host4,host5,host6之間不可以通信,因為不同團體之間,以及與鼓勵端口之間是不允許通信的。
host1, host2 與server1, server2之間可以通信,因為雜合端口可以與任何性質的端口之間進行通信。
團體2
效果與團體1相同
孤立端口
host3 隻可與server1, server2進行通信。與其它端口不可通信
host4 效果與host3相同
雜合端口
server1, server2 可以與任何端口進行通信
注意事項:
一個交換機中隻能允許一個primary vlan
一個交換機中隻能允許一個isolate vlan
一個交換機中可以有多個community vlan
相較于protected port, private vlan具有以下兩點優勢
a> private vlan可以使用團體端口來實作同組接口之間的通訊,而protected prot是對各端口完全隔離的,無法實作。
b> protected port是基于本裝置上的功能,無法跨交換機晶片使用,不能跨機器, 而private vlan可以通過trunk來實作跨裝置之間的隔離或者團體通訊。
配置過程
1.建立主VLAN。
2.建立輔助VLAN(孤立VLAN與團體VLAN)。
3.在主VLAN中将輔助vlan與主vlan進行映射。
4.在接口上配置接口為孤立VLAN或者團體VLAN,進行相應的映射。
5.在接口上配置接口為雜合接口,進行相應的映射
6.若需要跨交換機,則需要配置TRUNK為PVLAN屬性。
基于H3C裝置
一、普通VLAN
普通VLAN各大廠商裝置均無多大差異,此處略
二、Port isolated
端口隔離技術,在cisco産品對應的特性是protected port,而在H3産品,則是port isolated。端口隔離技術也是一種端口安全措施,但是端口隔離不依賴于VLAN,隻在本機生效
三、Isolated-User-VLAN
H3C實作類似于cisco的private vlan功能的技術稱之為isolate-user-vlan, isolate-user-vlan就是PVLAN,不過PVLAN在cisco45及65以上裝置才支援,而isolate-user-vlan則是很多h3c及華為低端産品都支援。
Isolated-User VLAN 采用了二層的VLAN 結構,第一層為Primary VLAN ,第二層為Secondary VLAN。Isolated-User VLAN 将多個Secondary VLAN 映射到一個Primary VLAN。第一層的Primary VLAN 用于上行,對于上層裝置來說,隻需識别下層交換機的Primary VLAN而不必關心Primary VLAN 中包含的Secondary VLAN,這樣簡化了網絡配置,節省了VLAN資源。第二層的Secondary VLAN 用于接入使用者,不同的Secondary VLAN間通過傳統的VLAN 技術實作二層隔離。
這裡secondary VLAN就是普通VLAN,其VLAN下的裝置之間可以互相通信,同一primary VLAN不同secondary VLAN的裝置,預設不能通信。但可以通過arp代理設定成可以通信,但其通信要全部經過primary VLAN網關。
智象運維,了解更多~