Cisco-Forum.info

[mickey]

Private VLANs (pVLNAs)

• Private VLANs ειναι στην ουσια η δημιουργία VLANs μέσα σε VLANs.
• Για να μπορέσουμε να δημιουργήσουμε Private VLANs πρέπει το switch να είναι σε VTP transparent mode.
• Το Cisco Catalyst 3550 δεν υποστηρίζει τη δημιουργία Private VLANs ενώ το Cisco Catalyst 3560 υποστηρίζει. Εαν θελω λειτουργία παρόμοια με Private VLAN αλλα σαφως με πιο περιορισμενες δυνατότητες σε Catalyst 3550 χρησιμοποιώ το feature Protected Ports.
• Για να καταλάβουμε τα Private VLANs πρέπει να κατανοήσουμε τους παρακάτω ορισμούς:
• Primary VLAN: Eνα VLAN που περιλαμβάνει ένα ή περισσότερα secondary VLANs. Μπορει να υπάρχει μονο ενα Primary VLAN σε καθε pVLAN.
• Secondary VLAN: Υπαρχουν δύο τύποι secondary VLANs:
1 - Isolated VLANs - Ports μεσα σε Isolated VLANs δε μπορουν να επικοινωνήσουν μεταξύ τους παρα μονο με ports που βρίσκονται σε promiscuous mode. Ενα primary VLAN μπορεί να έχει μονο ΕΝΑ Isolated VLAN.
2 - Community VLANs - Ports μεσα σε Community VLANs μπορουν να επικοινωνούν με ports που βρίσκονται στο ίδιο Community VLAN αλλα οχι σε αλλα Community VLANs. Επίσης μπορουν να επικοινωνουν με ports που βρισκονται σε promiscuous mode.
Επίσης Private VLAN switch ports εχουν τους παρακατω χαρακτηρισμους:
• Isolated ports - Ports που ανηκουν σε Isolated VLANs
• Community ports - Ports που ανηκουν σε Community VLANs
• Promiscous ports - Ports που ανηκουν στο Primary VLAN και μπορουν να επικοινωνήσουν με ολα τα παραπάνω ports (Isolated, Community)

Configuring Private VLANs

Στο σεναριο που ακολουθεί δημιουργούμε 1 Primary VLAN (VLAN 200), ένα Communtiy VLAN (VLAN 205) και ενα Isolated VLAN (VLAN 210). To switch ειναι Cisco Catalyst 3560 με 48 Fast Ethernet ports. Στα ports Fa0/24 και Fa0/25 βρίσκονται 2 FTP servers που θα πρεπει να μπορουν να επικοινωνησουν μεταξύ τους (Community VLAN). Στο port Fa0/26 βρίσκεται ένας WEB server που δε θα πρεπει να μπορει να επικοινωνήσει με τους TFTP servers (isolated VLAN). To port Fa0/1 του switch συνδέεται με ένα router που παρέχει συνδεση Internet. Ολοι οι servers θα πρέπει να μπορούν να βγουν Internet.
Βήμα 1 - Παραμετροποιώ το switch σε VTP transparent mode
SW1(config)#vtp mode transparent
Βήμα 2 - Δημιουργώ τα Private VLANs και δίνω τους καταλληλους τύπους:
SW1(config)#vlan 200
SW1(config-vlan)#private-vlan primary
SW1(config)#vlan 205
SW1(config-vlan)#private-vlan community
SW1(config)#vlan 210
SW1(config-vlan)#private-vlan isolated
Βήμα 3 – Συσχετίζω τα 2 sub-VLANs (community – isolated) με το primary
SW1(config)#vlan 200
SW1(config-vlan)# private-vlan association 205,210
Βήμα 4 – Παραμετροποιώ τα ports και τα συσχετίζω με τα VLANs που ανήκουν
SW1(config)#int f0/24
SW1(config-if)#switchport mode private-vlan host
SW1(config-if)#switchport private-vlan host-association 200 205
SW1(config)#int f0/25
SW1(config-if)#switchport mode private-vlan host
SW1(config-if)#switchport private-vlan host-association 200 205
SW1(config)#int f0/26
SW1(config-if)#switchport mode private-vlan host
SW1(config-if)#switchport private-vlan host-association 200 210
SW1(config)#int f0/1
SW1(config-if)#switchport mode private-vlan promiscuous
SW1(config-if)#switchport private-vlan mapping 200 205,210
Βήμα 5 – Επιβεβαίωση (Verification)
SW1#show private-vlan type
SW1#show private-vlan
Για επεξήγηση των εντολών συμβουλευτείτε τον Catalyst 3560 Configuration Guide http://www.cisco.com/en/US/docs/switche ... pvlan.html