文中所展示的內容為VLAN與VLAN之間分隔關系,如相同VLAN用戶之間進行分隔,相同VLAN一組用戶之間允許通信並與其它一組用戶之間進行分隔,屬於VLAN的高級應用范疇。本文來源於智象運維某大神的日常工作記錄分享。
▶▶▶▶▶
基於CISCO產品
一、 普通VLAN
VLAN稱為虛擬局域網,主要功能用於將一個大的廣播域分割成多個小的廣播域,用來減小發現廣播攻擊時的受攻范圍的。VLAN不是用來隔離網絡的而是用來縮小廣播域的。不同VLAN之間可以通過SVI、單臂等方式通信,因此談不上隔離一說。在同一個VLAN中的所有主機都位於一個廣播域,廣播數據包會發送到每一個主機。
若要對不同VLAN之間通信進行隔離,需要在VLAN的網關接口上使用ACL訪問規則進行控制。
二、 Protected Port (Private vlan edge)
某些特殊需求下需要禁止同台一交換機上相同VLAN號的主機之間通信,但又不能將這些禁止通信的主機划到不同VLAN,因為這些主機還需要和VLAN中的其它主機通信,只是不能和部分主機通信。要限制交換機上相同VLAN的主機通信,通過將交換機上的接口配置成Protected Port來實現。
如:交換機上某個VLAN有三個接口,其中有兩個是Protected Port,有一個是正常端口,那么兩個 Protected Port之間是不能通信的,但是Protected Port與正常端口之間的流量還是保持正常不受任何限制。
Protected Port可以拒絕unicast,broadcast以及multicast在這些端口之間通信,Protected Port與Protecte Port之間沒有任何流量發送。ProtectedPort只在單台交換機上有效,也就是說只有單台交換機上的Protected Port與Protected Port之間是不能通信的,但是不同交換機的Protected Port與ProtectedPort之間通信還是保持正常。
配置Protected Port時,可以在物理接口和EtherChannel上配置,如果是配在EtherChannel上,那么配置將對EtherChannel中的所有物理接口生效。
配置示例:
三、Private vlan
PVLAN是專用虛擬局域網(Private VLAN)的簡稱。它能實現所有用戶與默認網關的通訊,而與PVLAN內的其他用戶相互隔離。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信,這樣即使同一VLAN中的用戶,相互之間也不會受到廣播的影響。
PVLAN技術引入原因
a> 大部分交換機只支持4096個VLAN,數量有限。
b> 為每一個接入設備提供一個VLAN,需要大量的接口來配置網關IP。
c> 若需要實現VLAN之間隔離,傳統VLAN使用ACL方式將導致ACL數量巨大,維護困難。
d> 隨着VLAN數量增加,將嚴重影響STP的性能。
PVLAN的應用通過將不同的客戶放在隔離VLAN中實現了客戶的二層隔離,只需要一個隔離VLAN就可以保證了接入網絡的數據通信的安全性節省了VLAN的資源,通過給主VLAN配置SVI,所有PVLAN共享主VLAN的IP地址實現了所有用戶與默認網關的連接而與PVLAN內的其他用戶之間隔離避免了IP子網的划分,通過應用PVLAN技術能夠在節省VLAN與IP地址資源的情況下很好地解決接入網絡的安全性問題。
PVLAN兩種角色:
主VLAN:Primary vlan
輔助VLAN:Secondary vlan
在一個PVLAN中只有一個主VLAN,此PVLAN下所有輔助VLAN成員與其它PVLAN域進行通信時將統一表示為主VLAN 的VLAN ID。輔助VLAN是指用來標識在某個PVLAN下具有相同角色的一組接口VLAN,一個主VLAN下可綁定多個輔助VLAN。一個輔助VLAN只能屬於一個主VLAN。
輔助VLAN的端口分為3種角色
isolated:孤立端口,孤立端口只能與雜合端口進行通信,不能與其它端口通信。各孤立端口之間彼此不允許通信,也不允許與團體端口通信。
community: 團體端口,團體端口只能與兩種端口進行通信,分別是與雜合端口以及同一團體中的其它團體端口,不能與其它團體端口通信,也不可與孤立端口通信。
pormiscuous:雜合端口 此類端口可與所有角色類型的端口進行通信,一般此端口用於網關或者公司設備。
Private vlan 功能效果如下所示:
團體1
host1, host2 之間可以相互通信,相同的團體之間可以直接通信。
host1, host2 與host3,host4,host5,host6之間不可以通信,因為不同團體之間,以及與鼓勵端口之間是不允許通信的。
host1, host2 與server1, server2之間可以通信,因為雜合端口可以與任何性質的端口之間進行通信。
團體2
效果與團體1相同
孤立端口
host3 只可與server1, server2進行通信。與其它端口不可通信
host4 效果與host3相同
雜合端口
server1, server2 可以與任何端口進行通信
注意事項:
一個交換機中只能允許一個primary vlan
一個交換機中只能允許一個isolate vlan
一個交換機中可以有多個community vlan
相較於protected port, private vlan具有以下兩點優勢
a> private vlan可以使用團體端口來實現同組接口之間的通訊,而protected prot是對各端口完全隔離的,無法實現。
b> protected port是基於本設備上的功能,無法跨交換機芯片使用,不能跨機器, 而private vlan可以通過trunk來實現跨設備之間的隔離或者團體通訊。
配置過程
1.創建主VLAN。
2.創建輔助VLAN(孤立VLAN與團體VLAN)。
3.在主VLAN中將輔助vlan與主vlan進行映射。
4.在接口上配置接口為孤立VLAN或者團體VLAN,進行相應的映射。
5.在接口上配置接口為雜合接口,進行相應的映射
6.若需要跨交換機,則需要配置TRUNK為PVLAN屬性。
基於H3C設備
一、普通VLAN
普通VLAN各大廠商設備均無多大差異,此處略
二、Port isolated
端口隔離技術,在cisco產品對應的特性是protected port,而在H3產品,則是port isolated。端口隔離技術也是一種端口安全措施,但是端口隔離不依賴於VLAN,只在本機生效
三、Isolated-User-VLAN
H3C實現類似於cisco的private vlan功能的技術稱之為isolate-user-vlan, isolate-user-vlan就是PVLAN,不過PVLAN在cisco45及65以上設備才支持,而isolate-user-vlan則是很多h3c及華為低端產品都支持。
Isolated-User VLAN 采用了二層的VLAN 結構,第一層為Primary VLAN ,第二層為Secondary VLAN。Isolated-User VLAN 將多個Secondary VLAN 映射到一個Primary VLAN。第一層的Primary VLAN 用於上行,對於上層設備來說,只需識別下層交換機的Primary VLAN而不必關心Primary VLAN 中包含的Secondary VLAN,這樣簡化了網絡配置,節省了VLAN資源。第二層的Secondary VLAN 用於接入用戶,不同的Secondary VLAN間通過傳統的VLAN 技術實現二層隔離。
這里secondary VLAN就是普通VLAN,其VLAN下的設備之間可以相互通信,同一primary VLAN不同secondary VLAN的設備,默認不能通信。但可以通過arp代理設置成可以通信,但其通信要全部經過primary VLAN網關。