• PVLAN = Private VLAN
• Umožňuje v běžné (primary)VLAN vytvářet secondary VLANy:
  • Isolated - porty nemohou komunikovat mezi sebou ani s žádnou jinou secondary vlan, můžou komunikovat s primary vlan
  • Comunity - porty nemohou komunikovat s žádnou jinou secondary vlan, můžou komunikovat v rámci své komunity a s primary vlan
• Nastavení portů:
  • Promiscuous - port může komunikovat s kýmkoliv bez ohledu na PVLAN (servrer, gw, apod)
  • Host - port může komunikovat jen s promisc. porty, nebo porty ve stejné comunity
• VTP nešíří inf. o PVLAN ⇒ nastavavení je jen lokální a musí se tedy na každém sw konfigurovat zvlášť

Nejdříve nakonfigurujeme sekundární VLANy:

• Switch(config)# vlan vlan-id
• Switch(config-vlan)# private-vlan {isolated | community}

Konfigurace primární VLANy:

• Switch(config)# vlan vlan-id
• Switch(config-vlan)# private-vlan primary
• Switch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}

HOST port:

• Switch(config-if)# switchport mode private-vlan host
• Switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id

PROMISC. port:

• Switch(config-if)# switchport mode private-vlan promiscuous
• Switch(config-if)# switchport private-vlan mapping primary-vlan-id secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}

SVI PROMISC. port:
- Na SVI interfacech s L3 adresou je třeba dodatečně nakonfigurovat VLAN mapping
- Např. máme dvě sec.VLANy 40(isolated) a 50(comunity), které jsou asociovány s primární VLAN 200, primární VLAN však není schopna forvardovat L3 provoz z SVI interfacu, je třeba provést mapping.

• Switch(config-if)# private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
• nebo
• Switch(config)# interface vlan 200
• Switch(config-if)# private-vlan mapping 40,50

Switch(config)# vlan 10
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 20
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 30
Switch(config-vlan)# private-vlan isolated

Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 10,20,30

Switch(config)# interface range fastethernet 1/1 - 1/2
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 10

Switch(config)# interface range fastethernet 1/4 - 1/5
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 20

Switch(config)# interface fastethernet 1/3
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 30

Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 10,20,30

• Jsou-li porty v defaultním nastavení (DTP auto), útočník může se switchem vyjednat trunk a tím má přístup do všech VLAN.

Doporučuje se všechny end-user porty nastavit natvrdo jako access:

• Switch(config)# interface type mod/num
• Switch(config-if)# switchport access vlan vlan-id
• Switch(config-if)# switchport mode access

Nevyužité porty ⇒ shutdown

Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.

Podmínky útoku:

• Útočník je připojen k access portu
• Na switchi je alespoň jeden 802.1Q trunk
• Útočníkův port je ve VLANě, která se trunkem přenáší jako nativní

Prevence:

• Nastavit na trunku nevyužitou (falešnou) VLAN jako nativní
• Tuto nativní VLAN na trunku zakázat

Switch(config)# vlan 800
Switch(config-vlan)# name bogus_native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 800
Switch(config-if)# switchport trunk allowed vlan remove 800
Switch(config-if)# switchport mode trunk

CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále

• Další variantou je tagovat i nativní VLAN:

Switch(config)# vlan dot1q tag native