淺談Pvlan及pvlan的使用場景

大熊B淺談Pvlan1、何為PVLAN?PVLAN這個(gè)P事啥意思呢？啥都不用想就是Private即私有，連起來就是私有VLAN（PrivateVLAN），江湖人稱“專用虛擬局域網(wǎng)”。這個(gè)PVLAN采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。通俗點(diǎn)講就是vlan下套個(gè)vlan，實(shí)現(xiàn)vlan內(nèi)部端口隔離的技術(shù)。官網(wǎng)解釋：PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，它能實(shí)現(xiàn)所有用戶與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就能提供具備二層數(shù)據(jù)通信安全性的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。這樣的一個(gè)技術(shù)它實(shí)現(xiàn)了哪些功能呢？這個(gè)PVLAN牛逼的一腿啊，它以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。所以說啊，由此可見有時(shí)說同一VLAN可以通信，這句話對資深的網(wǎng)絡(luò)工程師來說，要看情況的。小特色：PVLAN可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過Trunk端口。PVLAN允許在同一個(gè)VLAN內(nèi)，將流量限制在某些端口之間。PVLAN實(shí)現(xiàn)在一個(gè)VLAN內(nèi)的端口隔離。2、為何引入PVLAN？傳統(tǒng)VLAN的傻逼性：隨著網(wǎng)絡(luò)的迅速發(fā)展，一些高端用戶對于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更牛逼的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通信的相對安全性；傳統(tǒng)古老的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的SB做法造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面：1.VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制，也就是說什么4096的；2.復(fù)雜的STP：對于每個(gè)VLAN，每個(gè)相關(guān)的SpanningTree的拓?fù)涠夹枰芾恚?.IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費(fèi)；4.路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。PVLAN的牛逼性：PVLAN的應(yīng)用通過將不同的客戶放在隔離VLAN中實(shí)現(xiàn)了客戶的二層隔離，只需要一個(gè)隔離VLAN就可以保證了接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性，節(jié)省了VLAN的資源；通過給主VLAN配置SVI，所有PVLAN共享主VLAN的IP地址，實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問，當(dāng)然啊，也避免了IP子網(wǎng)的劃分；通過應(yīng)用PVLAN技術(shù)能夠在節(jié)省VLAN與IP地址資源的情況下很好的解決接入網(wǎng)絡(luò)的安全性問題。3、PVLAN的工作原理現(xiàn)在有了一種新的VLAN機(jī)制，所有主機(jī)在同一個(gè)子網(wǎng)中，但主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN(PrivateVLAN)。在PrivateVLAN的概念中，交換機(jī)端口有三種類型：Isolatedport，Communityport,Promiscuousport（英語不好的，自覺的問度娘去）；它們分別對應(yīng)不同的VLAN類型：Isolatedport屬于IsolatedPVLAN，Communityport屬于CommunityPVLAN，而代表一個(gè)PrivateVLAN整體的是PrimaryVLAN，前面兩類VLAN需要和它綁定在一起，同時(shí)它還包括Promiscuousport。PromiscuousPromiscuousportPrivateVLAN---PrimaryVLAN不可通信不可通信可通信可通信不交換流量可通信可通信不交換流量可交換流量可通信IsolatedportIsolatedPVLANIsolatedportIsolatedPVLAN注意：注意：Promiscuousport與路由器或第3層交換機(jī)接口相連,它收到的流量可以發(fā)往Isolatedport和CommunityportCommunityportCommunityPVLAN在IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交換流量；在CommunityPVLAN中，Communityport不僅可以和Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由器或第3層交換機(jī)接口相連,它收到的流量可以發(fā)往Isolatedport和Communityport。PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。4、技術(shù)詳解A、PVLAN的類型:包含兩種PVLAN,一個(gè)是主vlan，英文名叫primary（'pra?m?r?）VLAN，噴子發(fā)音要標(biāo)準(zhǔn)，首字母要重讀；還有個(gè)就是輔助VLAN，SecondaryVLAN。其中輔助vlan下面還有兩個(gè)小三類型：隔離VLAN（isolated（'a?s?le?t?d）VLAN）和團(tuán)體VLAN（communityVLAN）。isolated端口community端口B、PVLAN的端口類型一個(gè)是混雜端口（Promiscuous（pr??m?skju?s）Port）；另一個(gè)是主機(jī)端口（HostPort）。PrimaryVLANSecondaryVLAN.上圖明顯看出來處于PVLAN當(dāng)中交換機(jī)上的一個(gè)物理端口只有三個(gè)選擇（看啥呢？向下看）混雜端口isolated端口community端口C、可通信范圍首先對于primaryvlan：可以和它所關(guān)聯(lián)的isolatedvlan、communityvlan通信。Communityvlan：只要在communityvlan下面的端口，彼此就能通信，你就這樣想啊，community是不是和communicate交流很像??？既然要交流，那肯定可以互相通信咯。Isolatedvlan：名副其實(shí)的隔離，既然隔離，廢話不多說?？隙ㄏ旅娴亩丝诒舜瞬荒芑ハ嗤ㄐ牛豢梢耘c它的頂頭上司promiscuous端口通信。D、Pvlan的一些規(guī)則1、（attention?。。。﹦?chuàng)建PVLAN前，需要配置VTP模式為Transparent，在配置PVLAN后，將不能再把模式轉(zhuǎn)變?yōu)镾erver和Client；2、一個(gè)primaryvlan中至少有一個(gè)secondaryvlan，無上限。3、一個(gè)primaryvlan當(dāng)中只能有一個(gè)isolatedvlan，可以有多個(gè)communityvlan。4、不同primaryvlan之間任何端口都不能互相通信，指的是二層連通性噢。5、一個(gè)“PrimaryPVLAN”當(dāng)中只能有1個(gè)“PromiscuousPort”；6、在配置PVLAN中，不使用VLAN1，VLAN1002-1005；7、三層的VLAN接口只能分配給主VLAN；8、不能在PVLAN中配置EtherChannel；9、假如交換機(jī)上一個(gè)端口作為SPAN的目的端口，這個(gè)端口在配置PVLAN后失效；10、PVLAN的端口可以做SPAN的源端口；11、假如在PVLAN中刪除了一個(gè)VLAN，那么屬于該VLAN的端口將失效。其他的一些規(guī)則，仔細(xì)看看上面的只要不怎么2的人，都應(yīng)該可以理解其中的關(guān)系。5、實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】真機(jī)C3560以上，暫時(shí)無法完成實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹磕MDMZ區(qū)域?qū)Ω綦x的需求。所有服務(wù)器均處在同一VLAN，為保證安全，現(xiàn)要求不同應(yīng)用的服務(wù)器之間無法通訊，屬于同一應(yīng)用的服務(wù)器之間可以通訊，管理員與網(wǎng)關(guān)接口可以跟所有服務(wù)器通訊：C1可以和C2/C3/C4/C5互訪C2和C3可以互訪C4和C5不能互訪這里就可以使用PVLAN技術(shù)簡化配置，在主VLAN10的下面再創(chuàng)建2個(gè)VLAN501(community類型，成員可以互訪)和VLAN502(isolated類型，成員不可互訪)，并且2個(gè)VLAN之間不能互訪，主VLAN可以與次級VLAN之間互訪?！緦?shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)描述】所有服務(wù)器C1-C5均處在VLAN10下，網(wǎng)段10.10.10.0/24，IP主機(jī)地址與接口號同。primaryVLAN：10SecondaryVLAN：communityVLAN：501/isolatedVLAN：502PromiscuousPort：f1/1HostPort：f1/2,f1/3,f1/4,f1/5交換機(jī)管理VLAN：10.10.10.254/24【實(shí)驗(yàn)步驟】（1）配置各服務(wù)器IP地址C1:ip10.10.10.1/24C2:ip10.10.10.2/24C3:ip10.10.10.3/24C4:ip10.10.10.4/24C5:ip10.10.10.5/24（2）將交換機(jī)的VTP模式改為透明模式，否則無法使用PVLAN技術(shù)SW(config)#vtpmodetransparent（3）創(chuàng)建PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanprimarySW(config-vlan)#vlan501SW(config-vlan)#private-vlancommunitySW(config-vlan)#vlan502SW(config-vlan)#private-vlanisolated（4）關(guān)聯(lián)PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanassociation501-502（5）將端口f1/1設(shè)置為PromiscuousPort并映射SecondaryVLANSW(config)#intf1/1SW(config-if)#switchportmodeprivate-vlanpromiscuous//設(shè)置端口為混雜模式SW(config-if)#switchportprivate-vlanmapping10501-502//使用mapping關(guān)聯(lián)主VLAN和能夠訪問的私有VLAN（6）將端口f1/2,f1/3設(shè)置為HostPort并映射communityVLANSW(config)#intrangef1/2-3SW(config-if)#switchportmodeprivate-vlanhost//設(shè)置端口為host模式SW(config-if)#switchportprivate-vlanhost-association10501//使用host-association關(guān)聯(lián)主VLAN和所屬的私有VLAN（7）將端口f1/4,f1/5設(shè)置為HostPort并映射isolatedVLANSW(config)#intrangef1/4-5SW(config-if)#switchportmodeprivate-vlanhost//設(shè)置端口為host模式SW(config-if)#switchportprivate-vlanhost-association10502//使用host-association關(guān)聯(lián)主VLAN和所屬的私有VLAN（8）在交換機(jī)上檢查PVLAN設(shè)置SW#showvlanprivate-vlan結(jié)果暫無（9）測試各服務(wù)器之間的連通性結(jié)果暫無（10）配置交換機(jī)的三層管理接口(SVI)SW(config)#intvlan10SW(config-if)#ipaddress10.10.10.254255.255.255.0SW(config-if)#noshutdown（11）測試交換機(jī)SVI接口連通性結(jié)果暫無（12）配置三層接口PVLAN映射，開啟三層交換功能，使得SecondaryVLAN也可以遠(yuǎn)程訪問SVI接口SW(config)#intvlan10SW(config-if)#private-vlanmapping501-502SW(config-if)#exitSW(config)#iprouting//將輔助VLAN映射到3層接口，允許PVLAN入口流量的3層交換；輔助VLAN被映射到主VLAN后就不能起自己的SVI了，也就是說映射時(shí)也可以不映射全部的輔助VLAN（11）再次測試交換機(jī)SVI接口連通性結(jié)果暫無實(shí)驗(yàn)完成。說明：①只有VTP模式為透明模式，才能配置PVLAN。②host|promiscuous：host：只能為一個(gè)輔助VLAN服務(wù)；promiscuous：可以為多個(gè)輔助VLAN服務(wù)。實(shí)驗(yàn)調(diào)試：SW1#showintf0/1switchportSW1#showintprivate-vlanm