文中所展示的内容为VLAN与VLAN之间分隔关系,如相同VLAN用户之间进行分隔,相同VLAN一组用户之间允许通信并与其它一组用户之间进行分隔,属于VLAN的高级应用范畴。本文来源于智象运维某大神的日常工作记录分享。
▶▶▶▶▶
基于CISCO产品
一、 普通VLAN
VLAN称为虚拟局域网,主要功能用于将一个大的广播域分割成多个小的广播域,用来减小发现广播攻击时的受攻范围的。VLAN不是用来隔离网络的而是用来缩小广播域的。不同VLAN之间可以通过SVI、单臂等方式通信,因此谈不上隔离一说。在同一个VLAN中的所有主机都位于一个广播域,广播数据包会发送到每一个主机。
若要对不同VLAN之间通信进行隔离,需要在VLAN的网关接口上使用ACL访问规则进行控制。
二、 Protected Port (Private vlan edge)
某些特殊需求下需要禁止同台一交换机上相同VLAN号的主机之间通信,但又不能将这些禁止通信的主机划到不同VLAN,因为这些主机还需要和VLAN中的其它主机通信,只是不能和部分主机通信。要限制交换机上相同VLAN的主机通信,通过将交换机上的接口配置成Protected Port来实现。
如:交换机上某个VLAN有三个接口,其中有两个是Protected Port,有一个是正常端口,那么两个 Protected Port之间是不能通信的,但是Protected Port与正常端口之间的流量还是保持正常不受任何限制。
Protected Port可以拒绝unicast,broadcast以及multicast在这些端口之间通信,Protected Port与Protecte Port之间没有任何流量发送。ProtectedPort只在单台交换机上有效,也就是说只有单台交换机上的Protected Port与Protected Port之间是不能通信的,但是不同交换机的Protected Port与ProtectedPort之间通信还是保持正常。
配置Protected Port时,可以在物理接口和EtherChannel上配置,如果是配在EtherChannel上,那么配置将对EtherChannel中的所有物理接口生效。
配置示例:
三、Private vlan
PVLAN�是专用虚拟局域网(Private VLAN)的简称。它能实现所有用户与默认网关的通讯,而与PVLAN内的其他用户相互隔离。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
PVLAN技术引入原因
a> 大部分交换机只支持4096个VLAN,数量有限。
b> 为每一个接入设备提供一个VLAN,需要大量的接口来配置网关IP。
c> 若需要实现VLAN之间隔离,传统VLAN使用ACL方式将导致ACL数量巨大,维护困难。
d> 随着VLAN数量增加,将严重影响STP的性能。
PVLAN的应用通过将不同的客户放在隔离VLAN中实现了客户的二层隔离,只需要一个隔离VLAN就可以保证了接入网络的数据通信的安全性节省了VLAN的资源,通过给主VLAN配置SVI,所有PVLAN共享主VLAN的IP地址实现了所有用户与默认网关的连接而与PVLAN内的其他用户之间隔离避免了IP子网的划分,通过应用PVLAN技术能够在节省VLAN与IP地址资源的情况下很好地解决接入网络的安全性问题。
PVLAN两种角色:
主VLAN:Primary vlan
辅助VLAN:Secondary vlan
在一个PVLAN中只有一个主VLAN,此PVLAN下所有辅助VLAN成员与其它PVLAN域进行通信时将统一表示为主VLAN 的VLAN ID。辅助VLAN是指用来标识在某个PVLAN下具有相同角色的一组接口VLAN,一个主VLAN下可绑定多个辅助VLAN。一个辅助VLAN只能属于一个主VLAN。
辅助VLAN的端口分为3种角色
isolated:孤立端口,孤立端口只能与杂合端口进行通信,不能与其它端口通信。各孤立端口之间彼此不允许通信,也不允许与团体端口通信。
community: 团体端口,团体端口只能与两种端口进行通信,分别是与杂合端口以及同一团体中的其它团体端口,不能与其它团体端口通信,也不可与孤立端口通信。
pormiscuous:杂合端口 此类端口可与所有角色类型的端口进行通信,一般此端口用于网关或者公司设备。
Private vlan 功能效果如下所示:
团体1
host1, host2 之间可以相互通信,相同的团体之间可以直接通信。
host1, host2 与host3,host4,host5,host6之间不可以通信,因为不同团体之间,以及与鼓励端口之间是不允许通信的。
host1, host2 与server1, server2之间可以通信,因为杂合端口可以与任何性质的端口之间进行通信。
团体2
效果与团体1相同
孤立端口
host3 只可与server1, server2进行通信。与其它端口不可通信
host4 效果与host3相同
杂合端口
server1, server2 可以与任何端口进行通信
注意事项:
一个交换机中只能允许一个primary vlan
一个交换机中只能允许一个isolate vlan
一个交换机中可以有多个community vlan
相较于protected port, private vlan具有以下两点优势
a> private vlan可以使用团体端口来实现同组接口之间的通讯,而protected prot是对各端口完全隔离的,无法实现。
b> protected port是基于本设备上的功能,无法跨交换机芯片使用,不能跨机器, 而private vlan可以通过trunk来实现跨设备之间的隔离或者团体通讯。
配置过程
1.创建主VLAN。
2.创建辅助VLAN(孤立VLAN与团体VLAN)。
3.在主VLAN中将辅助vlan与主vlan进行映射。
4.在接口上配置接口为孤立VLAN或者团体VLAN,进行相应的映射。
5.在接口上配置接口为杂合接口,进行相应的映射
6.若需要跨交换机,则需要配置TRUNK为PVLAN属性。
基于H3C设备
一、普通VLAN
普通VLAN各大厂商设备均无多大差异,此处略
二、Port isolated
端口隔离技术,在cisco产品对应的特性是protected port,而在H3产品,则是port isolated。端口隔离技术也是一种端口安全措施,但是端口隔离不依赖于VLAN,只在本机生效
三、Isolated-User-VLAN
H3C实现类似于cisco的private vlan功能的技术称之为isolate-user-vlan, isolate-user-vlan就是PVLAN,不过PVLAN在cisco45及65以上设备才支持,而isolate-user-vlan则是很多h3c及华为低端产品都支持。
Isolated-User VLAN 采用了二层的VLAN 结构,第一层为Primary VLAN ,第二层为Secondary VLAN。Isolated-User VLAN 将多个Secondary VLAN 映射到一个Primary VLAN。第一层的Primary VLAN 用于上行,对于上层设备来说,只需识别下层交换机的Primary VLAN而不必关心Primary VLAN 中包含的Secondary VLAN,这样简化了网络配置,节省了VLAN资源。第二层的Secondary VLAN 用于接入用户,不同的Secondary VLAN间通过传统的VLAN 技术实现二层隔离。
这里secondary VLAN就是普通VLAN,其VLAN下的设备之间可以相互通信,同一primary VLAN不同secondary VLAN的设备,默认不能通信。但可以通过arp代理设置成可以通信,但其通信要全部经过primary VLAN网关。