====== Private VLANs ====== * PVLAN = Private VLAN * Umožňuje v běžné (//primary//)VLAN vytvářet //secondary// VLANy: * **Isolated** - porty nemohou komunikovat mezi sebou ani s žádnou jinou secondary vlan, můžou komunikovat s primary vlan * **Comunity** - porty nemohou komunikovat s žádnou jinou secondary vlan, můžou komunikovat v rámci své komunity a s primary vlan * Nastavení portů: * **Promiscuous** - port může komunikovat s kýmkoliv bez ohledu na PVLAN (servrer, gw, apod) * **Host** - port může komunikovat jen s promisc. porty, nebo porty ve stejné comunity * VTP nešíří inf. o PVLAN => nastavavení je jen **lokální** a musí se tedy na každém sw konfigurovat zvlášť ===== Konfigurace ===== Nejdříve nakonfigurujeme sekundární VLANy: * Switch(config)# **vlan** //vlan-id// * Switch(config-vlan)# **private-vlan {isolated | community}** Konfigurace primární VLANy: * Switch(config)# **vlan** //vlan-id// * Switch(config-vlan)# **private-vlan primary** * Switch(config-vlan)# **private-vlan association** //{secondary-vlan-list |// **add** //secondary-vlan-list |// **remove** //secondary-vlan-list}// HOST port: * Switch(config-if)# **switchport mode private-vlan host** * Switch(config-if)# **switchport private-vlan host-association** //primary-vlan-id secondary-vlan-id// PROMISC. port: * Switch(config-if)# **switchport mode private-vlan promiscuous** * Switch(config-if)# **switchport private-vlan mapping** //primary-vlan-id secondary-vlan-list | {//**add** //secondary-vlan-list} | {//**remove** //secondary-vlan-list}// SVI PROMISC. port:\\ - Na SVI interfacech s L3 adresou je třeba dodatečně nakonfigurovat VLAN mapping\\ - Např. máme dvě sec.VLANy 40(isolated) a 50(comunity), které jsou asociovány s primární VLAN 200, primární VLAN však není schopna forvardovat L3 provoz z SVI interfacu, je třeba provést mapping. * Switch(config-if)# **private-vlan mapping** //{secondary-vlan-list |// **add** //secondary-vlan-list |// **remove** //secondary-vlan-list}// * //nebo// * Switch(config)# **interface vlan 200** * Switch(config-if)# **private-vlan mapping 40,50** ==== Příklad: ==== {{:wiki:site:cisco:17-1.png }} Switch(config)# vlan 10 Switch(config-vlan)# private-vlan community Switch(config)# vlan 20 Switch(config-vlan)# private-vlan community Switch(config)# vlan 30 Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 10,20,30 Switch(config)# interface range fastethernet 1/1 - 1/2 Switch(config-if-range)# switchport private-vlan host Switch(config-if-range)# switchport private-vlan host-association 100 10 Switch(config)# interface range fastethernet 1/4 - 1/5 Switch(config-if-range)# switchport private-vlan host Switch(config-if-range)# switchport private-vlan host-association 100 20 Switch(config)# interface fastethernet 1/3 Switch(config-if-range)# switchport private-vlan host Switch(config-if-range)# switchport private-vlan host-association 100 30 Switch(config)# interface fastethernet 2/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 10,20,30