配置Private VLAN
【实验名称】
配置Private VLAN
【实验目的】
使用private vlan 技术实现valn 内部的通信隔离
【背景描述】
某企业网络中,网络管理员将所有服务器都划分到了vlan 100 中,并且分配了 172.16.100.0 ./24 子网的地址。该vlan中共有四台服务器,包括两台计费服务器,一台WEB服务器一台SQL 服务器。现在,为了业务的需要,以及从安全性角度考虑,需要将服务器进行隔离。两天计费服务器不能与WEB服务器和SQL SERVER 服务器进行通信,为了安全性考虑,两台计费服务器之间的通信也需要隔离,但是WEB 服务器和SQL服务器之间需要进行通信以提供电子商务服务。
【需求分析】
目前四台服务器都属于同一个vlan 中,为了它们之间的通行进行隔了,需要将它们划分到不同vlan 中,并重新划分子网地址,并这样做需要对现在拓扑和编址进行修改。
对于这种需求,为了隔了同一个vlan 内的通信,我们可以使用private vlan 技术,
这样无需重新划分vlan 并进行编址。在使用private vlan 时 ,原先的vlan 100 作为 pvlan 的主vlan。为了隔离两台计费服务器的通信,将这两台服务器划分到隔离vlan 中。由于web 服务器 和sql 服务器之间需要通信,因此将这两台服务器划分到团体vlan 中。
【实验拓扑】
Gateway172.16.100.254VLAN100(Primary VLAN)F0/24(Promiscuous)F0/1F0/2F0/4F0/3Acc Server 1Acc Server 2IP:172.16.100.10/24IP:172.16.100.11/24GW:172.16.1.254GW:172.16.1.254Web ServerSQL ServerIP:172.16.100.20/24IP:172.16.100.21/24GW:172.16.1.254GW:172.16.1.254VLAN101(isolated)VLAN102(community)
【实验设备】
三层交换机 1台 需支持(pvlan)
路由器 (网关)1台
PC 机 4台
【预备知识】
Vlan 知识、private vlan 工作原理
【实验原理】
Private vlan 是能够为相同 vlan 内不同端口 提供隔离的vlan 。通过pvlan 技术可以隔离相同vlan 中的网络设备之间的流量,并且位于相同子网的所有设备都只能与网关或其他网络进行通信,实现网络内部的隔离,
Pvlan 可以将一个vlan 的二层广播域划分成多个子域,每个子域都由一对 vlan 组成:主vlan 和辅助vlan 组成。在整个PVLAN 中,只有一个主vlan ,每个子域有不同的辅助vlan,通过vlan 实现二层网络的隔离。辅助vlan 包括隔离vlan 和团体vlan。同一个隔离vlan中的端口互相不能进行二层通信。也不能与其他团体通信。一个private vlan 中 只有一个隔离vlan。同一个团体vlan 中的端口可以进行二层通信,但是不能与其他团体vlan 中的端口进行二层通行。一个private vlan 中可以有多个团体vlan。
【实验步骤】
第一步:配置主vlan
switch#configure terminal
switch(config)#vlan 100
switch(config-vlan)#private-vlan primary
switch(config-vlan)#exit
!将vlan 100 配置为pvlan 的主vlan
第二步:配置辅助vlan
switch(config)#vlan 101
switch(config-vlan)#private-vlan isolated
!将vlan 101 配置为pvlan 的辅助vlan ,并配置为隔离vlan
switch(config-vlan)#exit
switch(config)#vlan 102
switch(config-vlan)#private-vlan community
!将vlan 102 配置为pvlan 的辅助vlan ,并设置为团体vlan
switch(config-vlan)#exit
第三步:配置主机端口
switch(config)#vlan 100
switch(config-vlan)#private-vlan association add 101,102
!将辅助vlan101和102关联到100
switch(config-vlan)#exit
第四步:配置主机端口
switch(config)#interface range fastEthernet 0/1-2
switch(config-if-range)#switchport mode private-vlan host
!将连接计费服务器的端口配置为主机端口
switch(config)#switchport priavate-vlan-host-accociation 100 101
!将端口关联到pvlan 的主vlan 与辅助 vlan
switch(config-if-range)#exit
switch(config)#interface range fastEthernet 0/3-4
switch(config-if-range)#switchport mode private-vlan host
!将连接web 服务器和sql 服务器的端口配置为主机端口
switch(config)#switchport priavate-vlan-host-accociation 100 102
!将端口关联到pvlan 的主vlan 辅助 vlan
switch(config-if-range)#exit
第五步:配置混杂端口
switch(config)#interface fastEthernet 0/24
switch(config-if)#switchport mode private-vlan promiscuous
!将连接网关的端口配置为混在端口
switch(config)#switchport private-vlan mapping 100 101,102
!将混杂端口映射到pvlan 的主vlan 与辅助vlan
switch(config-if)#exit
第六步:验证测试
在Access server 1上ping web server ,由于 Acc server1 被划分到隔离vlan中,结果是无法ping通,满足了计费服务器和web服务器。Sql服务器间的通信隔离要求:
图
在Acc server 1 上ping Acc server 2,由于Acc server 1和 Acc server2 属于隔离vlan,结果是无法ping通,满足了两台计费服务器之间的通信隔离要求:
图
在Acc server1 上 ping 网关的地址,由于网关连接到混在端口,结果还是可以ping 通:
图
第七步:验证测试
在Web server 上Ping SQL SERVER ,由于两台服务器都被划分到团体vlan中,结果是可以ping通,满足楽web服务器和sql 服务器之间能够通信的需求:
【注意事项】
一个PVLAN中只能存在一个隔离VLAN,但可以存在多个团体VLAN。
【参考配置】
Switch#show running-config
因篇幅问题不能全部显示,请点此查看更多更全内容