АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Общие правила

Читайте также:
  1. Dress-code: правила официальных мероприятий
  2. I. ОБЩИЕ ПОЛОЖЕНИЯ
  3. I. ОБЩИЕ ПОЛОЖЕНИЯ
  4. I. ОБЩИЕ ПОЛОЖЕНИЯ
  5. I. ОБЩИЕ ПОЛОЖЕНИЯ
  6. I. Общие требования охраны труда
  7. II. ОБЩИЕ ПОЛОЖЕНИЯ
  8. II. Общие принципы исчисления размера вреда, причиненного водным объектам
  9. II. Общие указания по заполнению Извещения о ДТП
  10. II. Основные принципы и правила поведения студентов ВСФ РАП.
  11. III. Общие и специфические особенности детей с отклонениями в развитии.
  12. III. Общие методические указания по выполнению курсовой работы


Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.

Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.

В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.

Рассмотрим следующую топологию:

— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
— R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
— R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.

Сперва создается 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 делается основным и привязываются к ней второстепенные(порядок ввода команд не имеет значения).

SW1 (config)#vlan 101 private-vlan community!vlan 102 private-vlan isolated!vlan 10 private-vlan primary private-vlan association 101-102

Проверка

SW1#sh vlan private-vlan Primary Secondary Type Ports_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _10 101 community10 102 isolated

 

Далее, мы должны ассоциировать порты c VLANами.

Из режима конфигурации интерфейса делаем его сначала private vlan host (сообщаем ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам

interface FastEthernet1/0/11 description SW1 <-> R2 switchport private-vlan host-association 10 101 switchport mode private-vlan host spanning-tree portfastend

 

По аналогии настраиваем интерфейс fa1/0/4

interface FastEthernet1/0/4 description SW1 <-> R3 switchport private-vlan host-association 10 101 switchport mode private-vlan host spanning-tree portfastend

 

То же самое прописываем на fa1/0/9 – сначала сообщаем ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.

interface FastEthernet2/0/2 description SW1 <-> R6 switchport private-vlan mapping 10 101-102 switchport mode private-vlan promiscuous

 

Аналогично настраиваем fa1/0/9

interface FastEthernet2/0/11 description SW1 <-> R5 switchport private-vlan host-association 10 102 switchport mode private-vlan host spanning-tree portfast

 

Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.

interface FastEthernet2/0/2 description SW1 <-> R6 switchport private-vlan mapping 10 101-102 switchport mode private-vlan promiscuous

 

Проверяем ассоциацию портов:

SW1#sh vlan private-vlan Primary Secondary Type Ports_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _10 101 community Fa1/0/4, Fa1/0/11, Fa2/0/210 102 isolated Fa1/0/9, Fa2/0/2, Fa2/0/11

 

Следующее действие: создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.

SW#sh run int vlan 10 | beg intinterface Vlan10 ip address 10.0.0.1 255.255.255.0 private-vlan mapping 101-102end SW#sh int vlan 10 private-vlan mappingInterface Secondary VLANs_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _vlan 10 101,102SW1#

 

Принцип действия.

Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!

Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.

Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).

SW#sh arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.0.0.2 8 0014.a925.72a0 ARPA Vlan10 pv 101 Internet 10.0.0.3 5 0014.a925.4cd8 ARPA Vlan10 pv 101 Internet 10.0.0.1 - 0014.a98c.87c1 ARPA Vlan10 Internet 10.0.0.6 70 0014.a909.78d1 ARPA Vlan10 Internet 10.0.0.4 4 0014.a909.7870 ARPA Vlan10 pv 102 Internet 10.0.0.5 4 0014.a925.6460 ARPA Vlan10 pv 102 SW#sh mac-address-table Mac Address Table _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Vlan Mac Address Type Ports _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ All 0100.0ccc.cccc STATIC CPU.... 10 0014.a909.7870 DYNAMIC pv Fa1/0/9 10 0014.a909.78d1 DYNAMIC Fa2/0/2 10 0014.a925.4cd8 DYNAMIC pv Fa1/0/4 10 0014.a925.6460 DYNAMIC pv Fa2/0/11 10 0014.a925.72a0 DYNAMIC pv Fa1/0/11 101 0014.a909.78d1 DYNAMIC pv Fa2/0/2 101 0014.a925.4cd8 DYNAMIC Fa1/0/4 101 0014.a925.72a0 DYNAMIC Fa1/0/11 102 0014.a909.7870 BLOCKED Fa1/0/9 102 0014.a909.78d1 DYNAMIC pv Fa2/0/2 102 0014.a925.6460 BLOCKED Fa2/0/11 SW1#

Задание:

Выполнить пошаговую настройку оборудования, создать сеть по ранее составленной и рассчитанной топологии.

 


1 | 2 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)