淺談Pvlan及pvlan的使用場景

大熊B淺談Pvlan1、何為PVLAN?PVLAN這個P事啥意思呢？啥都不用想就是Private即私有，連起來就是私有VLAN（PrivateVLAN），江湖人稱“專用虛擬局域網(wǎng)”。這個PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。通俗點講就是vlan下套個vlan，實現(xiàn)vlan內(nèi)部端口隔離的技術。官網(wǎng)解釋：PVLAN的應用對于保證接入網(wǎng)絡的數(shù)據(jù)通信的安全性是非常有效的，它能實現(xiàn)所有用戶與自己的默認網(wǎng)關連接，一個PVLAN不需要多個VLAN和IP子網(wǎng)就能提供具備二層數(shù)據(jù)通信安全性的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。這樣的一個技術它實現(xiàn)了哪些功能呢？這個PVLAN牛逼的一腿啊，它以保證同一個VLAN中的各個端口相互之間不能通信，這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。所以說啊，由此可見有時說同一VLAN可以通信，這句話對資深的網(wǎng)絡工程師來說，要看情況的。小特色：PVLAN可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。PVLAN允許在同一個VLAN內(nèi)，將流量限制在某些端口之間。PVLAN實現(xiàn)在一個VLAN內(nèi)的端口隔離。2、為何引入PVLAN？傳統(tǒng)VLAN的傻逼性：隨著網(wǎng)絡的迅速發(fā)展，一些高端用戶對于網(wǎng)絡數(shù)據(jù)通信的安全性提出了更牛逼的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡用戶通信的相對安全性；傳統(tǒng)古老的解決方法是給每個客戶分配一個VLAN和相關的IP子網(wǎng)，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的SB做法造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面：1.VLAN的限制：交換機固有的VLAN數(shù)目的限制，也就是說什么4096的；2.復雜的STP：對于每個VLAN，每個相關的SpanningTree的拓撲都需要管理；3.IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；4.路由的限制：每個子網(wǎng)都需要相應的默認網(wǎng)關的配置。PVLAN的牛逼性：PVLAN的應用通過將不同的客戶放在隔離VLAN中實現(xiàn)了客戶的二層隔離，只需要一個隔離VLAN就可以保證了接入網(wǎng)絡的數(shù)據(jù)通信的安全性，節(jié)省了VLAN的資源；通過給主VLAN配置SVI，所有PVLAN共享主VLAN的IP地址，實現(xiàn)了所有用戶與默認網(wǎng)關的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問，當然啊，也避免了IP子網(wǎng)的劃分；通過應用PVLAN技術能夠在節(jié)省VLAN與IP地址資源的情況下很好的解決接入網(wǎng)絡的安全性問題。3、PVLAN的工作原理現(xiàn)在有了一種新的VLAN機制，所有主機在同一個子網(wǎng)中，但主機只能與自己的默認網(wǎng)關通信。這一新的VLAN特性就是專用VLAN(PrivateVLAN)。在PrivateVLAN的概念中，交換機端口有三種類型：Isolatedport，Communityport,Promiscuousport（英語不好的，自覺的問度娘去）；它們分別對應不同的VLAN類型：Isolatedport屬于IsolatedPVLAN，Communityport屬于CommunityPVLAN，而代表一個PrivateVLAN整體的是PrimaryVLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuousport。PromiscuousPromiscuousportPrivateVLAN---PrimaryVLAN不可通信不可通信可通信可通信不交換流量可通信可通信不交換流量可交換流量可通信IsolatedportIsolatedPVLANIsolatedportIsolatedPVLAN注意：注意：Promiscuousport與路由器或第3層交換機接口相連,它收到的流量可以發(fā)往Isolatedport和CommunityportCommunityportCommunityPVLAN在IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交換流量；在CommunityPVLAN中，Communityport不僅可以和Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由器或第3層交換機接口相連,它收到的流量可以發(fā)往Isolatedport和Communityport。PVLAN的應用對于保證接入網(wǎng)絡的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認網(wǎng)關連接，一個PVLAN不需要多個VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實現(xiàn)了所有用戶與默認網(wǎng)關的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。4、技術詳解A、PVLAN的類型:包含兩種PVLAN,一個是主vlan，英文名叫primary（'pra?m?r?）VLAN，噴子發(fā)音要標準，首字母要重讀；還有個就是輔助VLAN，SecondaryVLAN。其中輔助vlan下面還有兩個小三類型：隔離VLAN（isolated（'a?s?le?t?d）VLAN）和團體VLAN（communityVLAN）。isolated端口community端口B、PVLAN的端口類型一個是混雜端口（Promiscuous（pr??m?skju?s）Port）；另一個是主機端口（HostPort）。PrimaryVLANSecondaryVLAN.上圖明顯看出來處于PVLAN當中交換機上的一個物理端口只有三個選擇（看啥呢？向下看）混雜端口isolated端口community端口C、可通信范圍首先對于primaryvlan：可以和它所關聯(lián)的isolatedvlan、communityvlan通信。Communityvlan：只要在communityvlan下面的端口，彼此就能通信，你就這樣想啊，community是不是和communicate交流很像?。考热灰涣?，那肯定可以互相通信咯。Isolatedvlan：名副其實的隔離，既然隔離，廢話不多說?？隙ㄏ旅娴亩丝诒舜瞬荒芑ハ嗤ㄐ牛豢梢耘c它的頂頭上司promiscuous端口通信。D、Pvlan的一些規(guī)則1、（attention?。。。﹦?chuàng)建PVLAN前，需要配置VTP模式為Transparent，在配置PVLAN后，將不能再把模式轉(zhuǎn)變?yōu)镾erver和Client；2、一個primaryvlan中至少有一個secondaryvlan，無上限。3、一個primaryvlan當中只能有一個isolatedvlan，可以有多個communityvlan。4、不同primaryvlan之間任何端口都不能互相通信，指的是二層連通性噢。5、一個“PrimaryPVLAN”當中只能有1個“PromiscuousPort”；6、在配置PVLAN中，不使用VLAN1，VLAN1002-1005；7、三層的VLAN接口只能分配給主VLAN；8、不能在PVLAN中配置EtherChannel；9、假如交換機上一個端口作為SPAN的目的端口，這個端口在配置PVLAN后失效；10、PVLAN的端口可以做SPAN的源端口；11、假如在PVLAN中刪除了一個VLAN，那么屬于該VLAN的端口將失效。其他的一些規(guī)則，仔細看看上面的只要不怎么2的人，都應該可以理解其中的關系。5、實驗【實驗環(huán)境】真機C3560以上，暫時無法完成實驗【實驗目的】模擬DMZ區(qū)域?qū)Ω綦x的需求。所有服務器均處在同一VLAN，為保證安全，現(xiàn)要求不同應用的服務器之間無法通訊，屬于同一應用的服務器之間可以通訊，管理員與網(wǎng)關接口可以跟所有服務器通訊：C1可以和C2/C3/C4/C5互訪C2和C3可以互訪C4和C5不能互訪這里就可以使用PVLAN技術簡化配置，在主VLAN10的下面再創(chuàng)建2個VLAN501(community類型，成員可以互訪)和VLAN502(isolated類型，成員不可互訪)，并且2個VLAN之間不能互訪，主VLAN可以與次級VLAN之間互訪。【實驗拓撲】【實驗描述】所有服務器C1-C5均處在VLAN10下，網(wǎng)段10.10.10.0/24，IP主機地址與接口號同。primaryVLAN：10SecondaryVLAN：communityVLAN：501/isolatedVLAN：502PromiscuousPort：f1/1HostPort：f1/2,f1/3,f1/4,f1/5交換機管理VLAN：10.10.10.254/24【實驗步驟】（1）配置各服務器IP地址C1:ip10.10.10.1/24C2:ip10.10.10.2/24C3:ip10.10.10.3/24C4:ip10.10.10.4/24C5:ip10.10.10.5/24（2）將交換機的VTP模式改為透明模式，否則無法使用PVLAN技術SW(config)#vtpmodetransparent（3）創(chuàng)建PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanprimarySW(config-vlan)#vlan501SW(config-vlan)#private-vlancommunitySW(config-vlan)#vlan502SW(config-vlan)#private-vlanisolated（4）關聯(lián)PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanassociation501-502（5）將端口f1/1設置為PromiscuousPort并映射SecondaryVLANSW(config)#intf1/1SW(config-if)#switchportmodeprivate-vlanpromiscuous//設置端口為混雜模式SW(config-if)#switchportprivate-vlanmapping10501-502//使用mapping關聯(lián)主VLAN和能夠訪問的私有VLAN（6）將端口f1/2,f1/3設置為HostPort并映射communityVLANSW(config)#intrangef1/2-3SW(config-if)#switchportmodeprivate-vlanhost//設置端口為host模式SW(config-if)#switchportprivate-vlanhost-association10501//使用host-association關聯(lián)主VLAN和所屬的私有VLAN（7）將端口f1/4,f1/5設置為HostPort并映射isolatedVLANSW(config)#intrangef1/4-5SW(config-if)#switchportmodeprivate-vlanhost//設置端口為host模式SW(config-if)#switchportprivate-vlanhost-association10502//使用host-association關聯(lián)主VLAN和所屬的私有VLAN（8）在交換機上檢查PVLAN設置SW#showvlanprivate-vlan結果暫無（9）測試各服務器之間的連通性結果暫無（10）配置交換機的三層管理接口(SVI)SW(config)#intvlan10SW(config-if)#ipaddress10.10.10.254255.255.255.0SW(config-if)#noshutdown（11）測試交換機SVI接口連通性結果暫無（12）配置三層接口PVLAN映射，開啟三層交換功能，使得SecondaryVLAN也可以遠程訪問SVI接口SW(config)#intvlan10SW(config-if)#private-vlanmapping501-502SW(config-if)#exitSW(config)#iprouting//將輔助VLAN映射到3層接口，允許PVLAN入口流量的3層交換；輔助VLAN被映射到主VLAN后就不能起自己的SVI了，也就是說映射時也可以不映射全部的輔助VLAN（11）再次測試交換機SVI接口連通性結果暫無實驗完成。說明：①只有VTP模式為透明模式，才能配置PVLAN。②host|promiscuous：host：只能為一個輔助VLAN服務；promiscuous：可以為多個輔助VLAN服務。實驗調(diào)試：SW1#showintf0/1switchportSW1#showintprivate-vlanm