 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Общие правила
Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.
Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.
В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.
Рассмотрим следующую топологию:
— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
— R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
— R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.
Сперва создается 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 делается основным и привязываются к ней второстепенные(порядок ввода команд не имеет значения).
SW1 (config)#vlan 101 private-vlan community!vlan 102 private-vlan isolated!vlan 10 private-vlan primary private-vlan association 101-102Проверка
SW1#sh vlan private-vlan Primary Secondary Type Ports_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _10 101 community10 102 isolated
Далее, мы должны ассоциировать порты c VLANами.
Из режима конфигурации интерфейса делаем его сначала private vlan host (сообщаем ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам
interface FastEthernet1/0/11 description SW1 <-> R2 switchport private-vlan host-association 10 101 switchport mode private-vlan host spanning-tree portfastend
По аналогии настраиваем интерфейс fa1/0/4
interface FastEthernet1/0/4 description SW1 <-> R3 switchport private-vlan host-association 10 101 switchport mode private-vlan host spanning-tree portfastend
То же самое прописываем на fa1/0/9 – сначала сообщаем ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.
interface FastEthernet2/0/2 description SW1 <-> R6 switchport private-vlan mapping 10 101-102 switchport mode private-vlan promiscuous
Аналогично настраиваем fa1/0/9
interface FastEthernet2/0/11 description SW1 <-> R5 switchport private-vlan host-association 10 102 switchport mode private-vlan host spanning-tree portfast
Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.
interface FastEthernet2/0/2 description SW1 <-> R6 switchport private-vlan mapping 10 101-102 switchport mode private-vlan promiscuous
Проверяем ассоциацию портов:
SW1#sh vlan private-vlan Primary Secondary Type Ports_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _10 101 community Fa1/0/4, Fa1/0/11, Fa2/0/210 102 isolated Fa1/0/9, Fa2/0/2, Fa2/0/11
Следующее действие: создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.
SW#sh run int vlan 10 | beg intinterface Vlan10 ip address 10.0.0.1 255.255.255.0 private-vlan mapping 101-102end SW#sh int vlan 10 private-vlan mappingInterface Secondary VLANs_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _vlan 10 101,102SW1#
Принцип действия.
Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!
Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.
Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).
SW#sh arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.0.0.2 8 0014.a925.72a0 ARPA Vlan10 pv 101 Internet 10.0.0.3 5 0014.a925.4cd8 ARPA Vlan10 pv 101 Internet 10.0.0.1 - 0014.a98c.87c1 ARPA Vlan10 Internet 10.0.0.6 70 0014.a909.78d1 ARPA Vlan10 Internet 10.0.0.4 4 0014.a909.7870 ARPA Vlan10 pv 102 Internet 10.0.0.5 4 0014.a925.6460 ARPA Vlan10 pv 102 SW#sh mac-address-table Mac Address Table _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Vlan Mac Address Type Ports _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ All 0100.0ccc.cccc STATIC CPU.... 10 0014.a909.7870 DYNAMIC pv Fa1/0/9 10 0014.a909.78d1 DYNAMIC Fa2/0/2 10 0014.a925.4cd8 DYNAMIC pv Fa1/0/4 10 0014.a925.6460 DYNAMIC pv Fa2/0/11 10 0014.a925.72a0 DYNAMIC pv Fa1/0/11 101 0014.a909.78d1 DYNAMIC pv Fa2/0/2 101 0014.a925.4cd8 DYNAMIC Fa1/0/4 101 0014.a925.72a0 DYNAMIC Fa1/0/11 102 0014.a909.7870 BLOCKED Fa1/0/9 102 0014.a909.78d1 DYNAMIC pv Fa2/0/2 102 0014.a925.6460 BLOCKED Fa2/0/11 SW1#Задание:
Выполнить пошаговую настройку оборудования, создать сеть по ранее составленной и рассчитанной топологии.
Поиск по сайту: