目標
本文提供如何在思科商務350系列交換器上設定私人VLAN設定的說明。
適用裝置 |軟體版本
簡介
虛擬區域網路(VLAN)允許您以邏輯方式將區域網路(LAN)劃分為不同的廣播網域。在敏感資料可能在網路上廣播的情況下,可以建立VLAN,通過將廣播指定到特定VLAN來增強安全性。只有屬於VLAN的使用者才能訪問和操作該VLAN上的資料。VLAN還可用於通過將廣播和組播傳送到不必要目的地的需要降低來提高效能。
專用VLAN在埠之間提供第2層隔離。這表示在橋接流量級別(而不是IP路由),共用同一廣播域的埠無法相互通訊。專用VLAN中的連線埠可以位於第2層網路中的任何位置,這表示它們不必位於同一交換器上。專用VLAN旨在接收未標籤或優先順序標籤的流量並傳輸未標籤的流量。
下列型別的連線埠可以是私人VLAN的成員:
- 混雜 — 混雜埠可以與同一專用VLAN的所有埠通訊。這些埠連線伺服器和路由器。
- 社群(主機) — 社群埠可以定義屬於同一第2層域的一組埠。它們在第2層與其他社群和隔離埠隔離。這些埠連線主機埠。
- 隔離(主機) — 隔離埠與同一專用VLAN中的其他隔離埠和社群埠完全隔絕第2層。這些埠連線主機埠。
主機流量在隔離和社群VLAN上傳送,而伺服器和路由器流量在主VLAN上傳送。
在交換機上配置專用VLAN設定
重要:繼續下面的步驟之前,請確保已在交換機上配置VLAN。要瞭解如何配置交換機上的VLAN設定,請按一下此處獲取說明。
步驟1.登入到基於Web的實用程式,然後從「顯示模式」下拉選單中選擇「高級」。
步驟2.選擇VLAN Management >Private VLAN Settings。
步驟3.按一下Add按鈕。
步驟4.在Primary VLAN ID下拉選單中,選擇要定義為專用VLAN中主要VLAN的VLAN。主要VLAN用於允許從混雜埠到隔離埠以及到社群埠的第2層連線。
附註:在本例中,選擇了VLAN ID 10。
步驟5.從Isolated VLAN ID下拉選單中選擇VLAN ID。隔離VLAN用於允許隔離埠將流量傳送到主VLAN。
附註:在本例中,選擇了VLAN ID 20。
步驟6.從可用社群VLAN區域選擇VLAN ID,然後點選>按鈕將您要成為社群VLAN的VLAN移至選定社群VLAN清單。
附註:要在VLAN中建立埠子組(社群),必須將埠新增為社群VLAN。社群VLAN用於啟用從社群埠到混雜埠以及到同一社群的社群埠的第2層連線。每個團體可以有單個社群VLAN,並且同一專用VLAN可以在系統中共存多個社群VLAN。
附註:在本例中,選擇了VLAN ID 30。
步驟7.按一下Apply ,然後按一下Close。
步驟8.(可選)按一下Save,將設定儲存到啟動組態檔中。
現在,您已在思科商務350系列交換器上設定私人VLAN設定。
是否在思科業務交換機上查詢有關VLAN的更多資訊?有關詳細資訊,請檢視以下任何連結。
包含內容的文章框架
目標
本文提供如何在思科商務350系列交換器上設定私人VLAN設定的說明。
專用VLAN在埠之間提供第2層隔離。這表示在橋接流量級別(而不是IP路由),共用同一廣播域的埠無法相互通訊。專用VLAN中的連線埠可以位於第2層網路中的任何位置,這表示它們不必位於同一交換器上。專用VLAN旨在接收未標籤或優先順序標籤的流量並傳輸未標籤的流量。
適用裝置 |軟體版本
簡介
虛擬區域網路(VLAN)允許您以邏輯方式將區域網路(LAN)劃分為不同的廣播網域。在敏感資料可能在網路上廣播的情況下,可以建立VLAN,通過將廣播指定到特定VLAN來增強安全性。只有屬於VLAN的使用者才能訪問和操作該VLAN上的資料。VLAN還可用於通過將廣播和組播傳送到不必要目的地的需要降低來提高效能。
附註:要瞭解如何通過基於Web的實用程式配置交換機上的VLAN設定,請按一下此處。有關基於CLI的說明,請按一下此處。
專用VLAN域由一對或多對VLAN組成。主要VLAN組成域;每個VLAN對組成一個子域。配對中的VLAN稱為主VLAN和輔助VLAN。專用VLAN內的所有VLAN對具有相同的主VLAN。輔助VLAN ID是將一個子域與另一個子域區分開來的。
專用VLAN域只有一個主VLAN。專用VLAN網域中的每個連線埠都是主要VLAN的成員;主要VLAN是整個專用VLAN域。
輔助VLAN在同一專用VLAN域內的埠之間提供隔離。以下兩種型別是主VLAN中的輔助VLAN:
- 隔離VLAN — 隔離VLAN中的埠不能在第2層直接相互通訊。
- 社群VLAN — 社群VLAN中的連線埠可以彼此通訊,但無法與其他社群VLAN或任何隔離VLAN中的連線埠在第2層級進行通訊。
在專用VLAN域中,有三個獨立的埠標識。每個埠指定都有自己的唯一規則集,這些規則管理一個端點與同一專用VLAN域內其他連線的端點通訊的能力。以下是三個埠標識:
- 混雜 — 混雜埠可以與同一專用VLAN的所有埠通訊。這些埠連線伺服器和路由器。
- 社群(主機) — 社群埠可以定義屬於同一第2層域的一組埠。它們在第2層與其他社群和隔離埠隔離。這些埠連線主機埠。
- 隔離(主機) — 隔離埠與同一專用VLAN中的其他隔離埠和社群埠完全隔絕第2層。這些埠連線主機埠。
主機流量在隔離和社群VLAN上傳送,而伺服器和路由器流量在主VLAN上傳送。
要使用交換機的基於Web的實用程式配置專用VLAN,請按一下此處。
通過CLI配置交換機上的專用VLAN設定
建立專用主VLAN
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco/cisco。如果您已配置新的使用者名稱或密碼,請改為輸入憑據。
步驟2.在交換機的特權執行模式下,輸入以下命令進入全域性配置模式:
CBS350#configure
步驟3.在全域性配置模式下,通過輸入以下內容進入介面配置上下文:
CBS350(config)#interface [vlan-id]
步驟4.在介面配置上下文中,通過輸入以下命令將VLAN介面配置為主專用VLAN:
CBS350(config-if)#private-vlan primary
重要事項:請務必在配置專用VLAN時記住以下准則:
- 如果VLAN中有屬於成員的專用VLAN埠,則無法更改VLAN型別。
- 如果VLAN型別與其他專用VLAN關聯,則無法更改VLAN型別。
- 刪除VLAN時,VLAN型別不會保留為VLAN的屬性。
步驟5.(可選)若要將VLAN恢復為其正常VLAN配置,請輸入以下命令:
CBS350(config-if)#no private-vlan
步驟6。(可選)要返回交換機的特權執行模式,請輸入以下命令:
CBS350(config-if)#end
步驟7.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config
步驟8.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您已經通過CLI成功地在交換機上建立主VLAN。
建立輔助VLAN
步驟1.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure
步驟2.在全域性配置模式下,通過輸入以下內容輸入介面配置上下文:
CBS350(config)#interface [vlan-id]
步驟3.在介面配置上下文中,通過輸入以下命令將VLAN介面配置為輔助專用VLAN:
CBS350(config-if)#private-vlan [community | isolated]
選項包括:
- community — 將VLAN指定為社群VLAN。
- 隔離 — 將VLAN指定為隔離VLAN。
步驟4.(可選)重複步驟2和步驟3,為您的專用VLAN配置其他輔助VLAN。
步驟5.(可選)若要將VLAN恢復為其正常VLAN配置,請輸入以下命令:
CBS350(config-if)#no private-vlan
步驟6。(可選)要返回交換機的特權執行模式,請輸入以下命令:
CBS350(config-if)#end
現在,您已通過CLI在交換機上成功建立輔助VLAN。
將輔助VLAN與主專用VLAN關聯
步驟1.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure
步驟2.通過輸入以下內容,輸入主VLAN的VLAN介面配置上下文:
CBS350(config)#vlan [primary-vlan-id]
步驟3.要配置主要VLAN和輔助VLAN之間的關聯,請輸入以下內容:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
選項包括:
- add secondary-vlan-list - List of VLAN ID of type secondary to add to a primary VLAN。用逗號分隔非連續的VLAN ID,不帶空格。使用連字型大小指定一個ID範圍。這是預設操作。
- remove secondary-vlan-list - List of VLAN ID of type secondary to remove association from a primary VLAN。用逗號分隔非連續的VLAN ID,不帶空格。使用連字型大小指定一個ID範圍。
步驟4.要返回交換機的特權執行模式,請輸入以下命令:
CBS350(config-if)#end
現在,您已通過CLI成功將輔助VLAN與交換機上的主專用VLAN關聯。
將埠配置為主要和輔助專用VLAN
步驟1.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure
步驟2.在全域性配置模式下,通過輸入以下內容輸入介面配置上下文:
CBS350(config)#interface [interface-id | range vlan vlan-range]
選項包括:
- interface-id — 指定要配置的介面ID。
- range vlan vlan-range — 指定VLAN清單。使用逗號分隔非連續的VLAN,且沒有空格。使用連字型大小指定VLAN範圍。
步驟3.在介面配置上下文中,使用switchport mode命令配置VLAN成員模式。
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- 混雜 — 指定專用VLAN混雜埠。如果使用此選項,請跳至步驟5。
- host — 指定專用VLAN主機埠。如果使用此選項,請跳至步驟6。
步驟4。(可選)要將埠或埠範圍恢復為預設配置,請輸入以下內容:
CBS350(config-if-range)#no switchport mode
步驟5.要配置混雜埠與專用VLAN的主要VLAN和輔助VLAN的關聯,請輸入以下命令:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
選項包括:
- primary-vlan-id — 指定主VLAN的VLAN ID。
- secondary-vlan-id — 指定輔助VLAN的VLAN ID。
步驟6.要配置主機埠與專用VLAN的主要VLAN和輔助VLAN的關聯,請輸入以下命令:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
選項包括:
- primary-vlan-id — 指定主VLAN的VLAN ID。
- secondary-vlan-id — 指定輔助VLAN的VLAN ID。
步驟7.要退出介面配置上下文,請輸入以下內容:
CBS350(config-if-range)#exit
步驟8.(可選)重複步驟2至7,配置更多混雜埠和主機埠,並分配到相應的主和輔助專用VLAN。
步驟9.輸入end命令返回特權執行模式:
CBS350(config-if)#end
步驟10。(可選)若要確認交換器上已設定的私人VLAN,請輸入以下內容:
CBS350#show vlan private-vlan tag[vlan-id]
步驟11。(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config
步驟12.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您已通過CLI成功地將主機和混合埠與交換機上的主專用VLAN和輔助專用VLAN進行關聯。
是否在思科業務交換機上查詢有關VLAN的更多資訊?有關詳細資訊,請檢視以下任何連結。
意見