分类:
2011-03-10 19:23:57
私有VLAN
电子商务网站,要求与INTERNET高速稳定连接,最好办法放在ISP机房.
例如
A B C D 四个客户,其中A两台服务器,B两台服务器,C和D各一台服务器,为节省IP地址,四个客户处于同一网段.但A B C D 属于不同组织,应相互隔离.
要求:A客户两台服务器可以互访,且可通过网关与外部通信.
B客户两台服务器可以互访,且可通过网关与外部通信.
C和D可通过网关与外部通信.
A B C D 四个客户之间的服务器不能互访,而且相互间的广播流量也需要被隔离.
分析:通常情况,数据可以在同一VLAN内自由流动,不受限制.为实现上述要求,可以将不同用户划到不同VLAN, 一个VLAN一个子网,但子网太细,又会浪费地址(子网号/广播地址).
解决办法:私有VLAN.
主VLAN VLAN 100 所有用户都处于该VLAN 172.16.100.0 / 24
辅助VLAN VLAN 10 团体VLAN 用户A
VLAN 20 团体VLAN 用户B
VLAN 30 隔离VLAN 用户C 和D
实现: CCNP 320 页
1. 配置私有VLAN.
主 VLAN 100
辅助 VLAN 10 团体 用户A
VLAN 20 团体 用户B
VLAN 30 隔离 用户C 和D
并将主VLAN100和辅助VLAN10,20,30相关联.
2. 将端口同私有VLAN相关联.
F0/1-2 主机模式 VALN 100 10 A
F0/4-5 主机模式 VALN 100 20 B
F0/3, 6 主机模式 VALN 100 30 C D
F2/1 混杂模式 VLAN 100 10 20 30 网关
实验(一)二层交换机的私有VLAN配置.
在S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30. 将端口F0/11 – 12 划入子VLAN 10, 将F0/15 – 16 划入子VLAN 30,.分别连接主机A B C D. 端口F0/23连接路由器R1, 做为所有主机的网关.则:
A B 可以互访,并能访问网关.
C D 不能互访, C D 也不能访问A 和 B . 但都能访问网关.
配置:
1. 配置私有VLAN, 并将主VLAN100和辅助VLAN10, 30相关联.
S3560(config)# vlan 10
# private-vlan community 建立团体VLAN 10
# vlan 30
# private-vlan isolated 建立隔离VLAN 30
# vlan 100
# private-vlan primary 建立主VLAN 100
#private-vlan association 10,30 将主VLAN 100与子VLAN 10 30 相关联
2. 将端口同私有VLAN相关联.
S3560(config)# int range f0/11 – 12
# sw mode private-vlan host 将端口设为主机模式
# sw private-vlan host-association 100 10 关联到主100和子10
S3560(config)# int range f0/15 – 16
# sw mode private-vlan host 将端口设为主机模式
# sw private-vlan host-association 100 30 关联到主100和子30
S3560(config)# int range f0/23
# sw mode private-vlan promiscuous 将端口设为混杂模式
# sw private-vlan mapping 100 10,30 映射到主100,子10和30
三层交换机私有VLAN的配置.
私有VLAN可以在二层交换上实现,如实验(一),也可以在三层换机上实现.
实现:
1. 配置私有VLAN, 并将主VLAN和辅助VLAN相关联
2. 将端口同私有VLAN相关联.
3. 将主VLAN的SVI接口(网关)与子VLAN 相关联.
实验(二) 三层交换机的私有VLAN配置.
在S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30. 将端口F0/11 – 12 划入子VLAN 10, 将F0/15 – 16 划入子VLAN 30,.分别连接主机A B C D.
端口F0/23连接服务器R1,F0/24(172.16.11.1)连接路由器R2 (172.16.11.2)
用户网关在VLAN 100上,地址为172.16.1.211
A B 可以互访,并能访问网关和服务器.
C D 不能互访, C D 也不能访问A 和 B . 但都能访问网关和服务器.
配置:
1.配置私有VLAN, 并将主VLAN100和辅助VLAN10, 30相关联.
S3560(config)# vlan 10
# private-vlan community 建立团体VLAN 10
# vlan 30
# private-vlan isolated 建立隔离VLAN 30
# vlan 100
# private-vlan primary 建立主VLAN 100
#private-vlan association 10,30 将主VLAN 100与子VLAN 10 30 相关联
2. 将端口同私有VLAN相关联.
S3560(config)# int range f0/11 – 12
# sw mode private-vlan host 将端口设为主机模式
# sw private-vlan host-association 100 10 关联到主100和子10
S3560(config)# int range f0/15 – 16
# sw mode private-vlan host 将端口设为主机模式
# sw private-vlan host-association 100 30 关联到主100和子30
S3560(config)# int range f0/23
# sw mode private-vlan promiscuous 将端口设为混杂模式
# sw private-vlan mapping 100 10,30 映射到主100,子10和30
3. 将主VLAN100的SVI接口(网关)与子VLAN 相关联.
S3560(config)# int vlan 100
# ip add 172.16.1.211 255.255.255.0
# private-vlan mapping 10,30 为子VLAN10,30提供路由
注:三层交换机必须要打开路由功能.
说明:
1. 私有VLAN 必须在transparent模式下配置.
2. VLAN1 既不能用作主VLAN, 也不能用作子VLAN.
3. 端口不能单独处于主VLAN.
确保中继链路的安全
一. 交换机伪造 CCNP 321 页
利用 DTP协商和 动态auto (漏洞)
PC------------------------SWITCH
Trunk
解决办法:
将PC端口设为访问模式, 禁用未用的端口.
二. VLAN跨越攻击.
恶意PC发送双重VLAN标记帧,本征VLAN + 目标VLAN
SWITCH发向中继链路时,去掉本征ID, 则目标ID起作用.
解决办法:
1. 将本征VLAN设为未用,并修剪.
2. 将本征VLAN也打标签.
S2950(config)# vlan dot1q tag native
