wiki.lkaplan.cz

User Tools

Site Tools

Trace: private-vlan
wiki:site:cisco:private-vlan

Table of Contents

Private VLANs

  • PVLAN = Private VLAN
  • Umožňuje v běžné (primary)VLAN vytvářet secondary VLANy:
    • Isolated - porty nemohou komunikovat mezi sebou ani s žádnou jinou secondary vlan, můžou komunikovat s primary vlan
    • Comunity - porty nemohou komunikovat s žádnou jinou secondary vlan, můžou komunikovat v rámci své komunity a s primary vlan
  • Nastavení portů:
    • Promiscuous - port může komunikovat s kýmkoliv bez ohledu na PVLAN (servrer, gw, apod)
    • Host - port může komunikovat jen s promisc. porty, nebo porty ve stejné comunity
  • VTP nešíří inf. o PVLAN ⇒ nastavavení je jen lokální a musí se tedy na každém sw konfigurovat zvlášť

Konfigurace

Nejdříve nakonfigurujeme sekundární VLANy:

  • Switch(config)# vlan vlan-id
  • Switch(config-vlan)# private-vlan {isolated | community}

Konfigurace primární VLANy:

  • Switch(config)# vlan vlan-id
  • Switch(config-vlan)# private-vlan primary
  • Switch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}

HOST port:

  • Switch(config-if)# switchport mode private-vlan host
  • Switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id

PROMISC. port:

  • Switch(config-if)# switchport mode private-vlan promiscuous
  • Switch(config-if)# switchport private-vlan mapping primary-vlan-id secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}

SVI PROMISC. port:
- Na SVI interfacech s L3 adresou je třeba dodatečně nakonfigurovat VLAN mapping
- Např. máme dvě sec.VLANy 40(isolated) a 50(comunity), které jsou asociovány s primární VLAN 200, primární VLAN však není schopna forvardovat L3 provoz z SVI interfacu, je třeba provést mapping.

  • Switch(config-if)# private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
  • nebo
  • Switch(config)# interface vlan 200
  • Switch(config-if)# private-vlan mapping 40,50

Příklad:

Switch(config)# vlan 10
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 20
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 30
Switch(config-vlan)# private-vlan isolated

Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 10,20,30

Switch(config)# interface range fastethernet 1/1 - 1/2
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 10

Switch(config)# interface range fastethernet 1/4 - 1/5
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 20

Switch(config)# interface fastethernet 1/3
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 30

Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 10,20,30
wiki/site/cisco/private-vlan.txt · Last modified: 2018/01/23 09:44 by root

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki