現(xiàn)在VLAN已經(jīng)成為局域網(wǎng)內(nèi)劃分子網(wǎng)的主要技術。VLAN之間的安全性可以由三層設備做ACL來控制,VLAN內(nèi)部的安全可以用VLAN映射來配置,但VLAN映射是在三層上配置的,在同一交換機上如何保證同一VLAN之間信息的安全呢?這就可以用到私用VLAN和端口保護功能。
一、私用VLAN的主要特點
1、私用VLAN能給處于同一子網(wǎng)內(nèi)的設備之間帶來更高的安全性;
2、配置私用VLAN的邊緣VLAN可以防止接入交換機之間的互通;
3、在一個私用VLAN內(nèi),可以隔離某些設備,避免被隔離VLAN內(nèi)的設備互通;
4、在一個私用VLAN內(nèi),通過創(chuàng)建群體(community)使某些設備連通,且與其他設備不連通;
5、將混雜(promiscuous)端口映射到私用VLAN,使之可以和這個網(wǎng)絡之外的VLAN連通。
二、配置私用VLAN
私用VLAN使用ISOLATED和COMMUNITY兩種次(secondary)VLAN來控制設備通信,次VLAN被劃給主(primary)VLAN,而端口被劃給次VLAN。ISOLATED的VLAN內(nèi)的端口不能和VLAN內(nèi)除了混雜端口之外的其他任何設備進行通信。COMMUNITY的VLAN內(nèi)的端口可以和同一COMMUNITY內(nèi)的其他端口地址以及混雜端口進行通信。不同COMMUNITY的VLAN內(nèi)的端口不能互相通信。
1、配置VTP模式為透明模式
私用VLAN只能在單臺交換機上配置,不能有其他交換機上VLAN的成員端口。vlan database,vtp transparent
2、創(chuàng)建主私用VLAN
vlan 100,private-vlan primary。設置VLAN100為主私用VLAN。
3、創(chuàng)建次私用VLAN
次私用VLAN的號必須唯一且不能相同。vlan 200,private-vlan isolated;vlan 300,private-vlan community。
4、將次私用VLAN綁定到主私用VLAN
vlan 100,private-vlan association 200,300
5、將端口加入次私用VLAN
interface fastethernet2/1,switchport,switchport mode private-vlan host-association 100 200
6、給次私用VLAN映射混雜端口
前面說到,次私用VLAN不能訪問其他VLAN,因此,必須將VLAN映射到一個混雜端口上。
interface gig1/1,switchport,switchport mode private-vlan promiscuous,switchport mode private-vlan mapping 100 200,300
7、也可以給次私用VLAN映射到MSFC接口,也可以說映射到主私用VLAN接口上,這樣也可以實現(xiàn)次私用VLAN對其他VLAN的訪問。
interface vlan 100,ip address 192.168.100.1 255.255.255.0,private-vlan mapping 100 200,300
三、配置私用邊緣VLAN
配置私用邊緣VLAN的接口為保護端口,一個保護端口不會轉(zhuǎn)發(fā)另一個保護端口的流量。
interface fa1/1,prot protected
四、可以用命令show vlan private-vlan等命令查看