Chinaunix首页 | 论坛 | 博客
  • 博客访问: 438055
  • 博文数量: 96
  • 博客积分: 4594
  • 博客等级: 上校
  • 技术积分: 1130
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-30 19:56
文章分类
文章存档

2012年(8)

2011年(49)

2010年(18)

2009年(21)

分类:

2011-03-10 19:23:57

                               私有VLAN 

 

     电子商务网站,要求与INTERNET高速稳定连接,最好办法放在ISP机房

例如

A B C D 四个客户,其中A两台服务器,B两台服务器,CD一台服务器,为节省IP地址,四个客户处于同一网段.但A B C D 属于不同组织,应相互隔离

 

要求:A客户两台服务器可以互访,且可通过网关与外部通信

    B客户两台服务器可以互访,且可通过网关与外部通信

          CD可通过网关与外部通信

     A B C D 四个客户之间的服务器不能互访,而且相互间的广播流量也需要被隔离.

分析:通常情况,数据可以在同一VLAN内自由流动,不受限制.为实现上述要求,可以将不同用户划到不同VLAN, 一个VLAN一个子网,但子网太细,又会浪费地址(子网号/广播地址).

解决办法:私有VLAN.

VLAN       VLAN 100   所有用户都处于该VLAN   172.16.100.0 / 24

辅助VLAN     VLAN 10    团体VLAN      用户A

               VLAN 20    团体VLAN      用户B

               VLAN 30    隔离VLAN      用户C D

实现: CCNP 320

1.   配置私有VLAN.

       VLAN 100  

辅助           VLAN 10    团体      用户A

               VLAN 20    团体      用户B

               VLAN 30    隔离      用户C D

    并将主VLAN100和辅助VLAN10,20,30相关联.

 

2.   将端口同私有VLAN相关联.

   F0/1-2   主机模式  VALN 100   10    A

      F0/4-5   主机模式  VALN 100   20        B

      F0/3, 6   主机模式   VALN 100   30        C   D

 

      F2/1     混杂模式  VLAN 100   10  20  30    网关

 

实验(一)二层交换机的私有VLAN配置.

S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30.  将端口F0/11 – 12 划入子VLAN 10, F0/15 – 16 划入子VLAN 30,.分别连接主机A B C D. 端口F0/23连接路由器R1, 做为所有主机的网关.则:

A B 可以互访,并能访问网关.

C D 不能互访, C D 也不能访问A B . 但都能访问网关.

 

配置:

1.   配置私有VLAN, 并将主VLAN100和辅助VLAN10, 30相关联.

 

S3560(config)# vlan 10

          # private-vlan community       建立团体VLAN 10

          # vlan 30

          # private-vlan isolated          建立隔离VLAN 30

 

          # vlan 100

          # private-vlan primary          建立主VLAN 100

          #private-vlan association 10,30  将主VLAN 100与子VLAN 10 30 相关联

 

2.   将端口同私有VLAN相关联.

S3560(config)# int range f0/11 – 12

           # sw mode private-vlan host        将端口设为主机模式

           # sw private-vlan host-association 100 10   关联到主100和子10

 

S3560(config)# int range f0/15 – 16

           # sw mode private-vlan host                  将端口设为主机模式

           # sw private-vlan host-association 100 30       关联到主100和子30

 

S3560(config)# int range f0/23

           # sw mode private-vlan promiscuous          将端口设为混杂模式

           # sw private-vlan mapping 100 10,30     映射到主100,1030

 

三层交换机私有VLAN的配置.

私有VLAN可以在二层交换上实现,如实验(一),也可以在三层换机上实现.

实现:

 1. 配置私有VLAN, 并将主VLAN和辅助VLAN相关联

2. 将端口同私有VLAN相关联.

  3. 将主VLANSVI接口(网关)与子VLAN 相关联.

 

 

实验(二) 三层交换机的私有VLAN配置.

S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30.  将端口F0/11 – 12 划入子VLAN 10, F0/15 – 16 划入子VLAN 30,.分别连接主机A B C D.

 端口F0/23连接服务器R1F0/24(172.16.11.1)连接路由器R (172.16.11.2)

 用户网关VLAN 100上,地址为172.16.1.211

A B 可以互访,并能访问网关和服务器.

C D 不能互访, C D 也不能访问A B . 但都能访问网关和服务器.

 

配置:

.配置私有VLAN, 并将主VLAN100和辅助VLAN10, 30相关联.

 

S3560(config)# vlan 10

          # private-vlan community       建立团体VLAN 10

          # vlan 30

          # private-vlan isolated          建立隔离VLAN 30

 

          # vlan 100   

          # private-vlan primary          建立主VLAN 100

          #private-vlan association 10,30  将主VLAN 100与子VLAN 10 30 相关联

 

. 将端口同私有VLAN相关联.

S3560(config)# int range f0/11 – 12

           # sw mode private-vlan host        将端口设为主机模式

           # sw private-vlan host-association 100 10   关联到主100和子10

 

S3560(config)# int range f0/15 – 16

           # sw mode private-vlan host                  将端口设为主机模式

           # sw private-vlan host-association 100 30       关联到主100和子30

 

S3560(config)# int range f0/23

           # sw mode private-vlan promiscuous          将端口设为混杂模式

           # sw private-vlan mapping 100 10,30     映射到主100,1030

 

3.   将主VLAN100SVI接口(网关)与子VLAN 相关联.

S3560(config)# int vlan 100

           # ip add 172.16.1.211 255.255.255.0

           # private-vlan mapping 10,30            为子VLAN0,30提供路由

 

注:三层交换机必须要打开路由功能.

说明:

   1. 私有VLAN 必须在transparent模式下配置.

   2. VLAN1 既不能用作主VLAN, 也不能用作子VLAN.

   3. 端口不能单独处于主VLAN.

 

 

确保中继链路的安全

 

 

一.       交换机伪造  CCNP   321

 

    利用   DTP协商和  动态auto     (漏洞)

    

PC------------------------SWITCH

         Trunk

       解决办法:

     将PC端口设为访问模式, 禁用未用的端口.

 

二.       VLAN跨越攻击. 

 

恶意PC发送双重VLAN标记帧,本征VLAN + 目标VLAN

SWITCH发向中继链路时,去掉本征ID, 则目标ID起作用.

 

解决办法:

1.   将本征VLAN设为未用,并修剪.

2.   将本征VLAN也打标签.

S2950(config)# vlan dot1q tag native

 

 

阅读(1112) | 评论(0) | 转发(0) |
0

上一篇:spanning-tree

下一篇:信息存储与管理介绍

给主人留下些什么吧!~~