浅谈Pvlan及pvlan的使用场景

大熊B浅谈Pvlan1、何为PVLAN?PVLAN这个P事啥意思呢？啥都不用想就是Private即私有，连起来就是私有VLAN（PrivateVLAN），江湖人称“专用虚拟局域网”。这个PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。通俗点讲就是vlan下套个vlan，实现vlan内部端口隔离的技术。官网解释：PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，它能实现所有用户与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接，而与PVLAN内的其他用户没有任何访问。这样的一个技术它实现了哪些功能呢？这个PVLAN牛逼的一腿啊，它以保证同一个VLAN中的各个端口相互之间不能通信，这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。所以说啊，由此可见有时说同一VLAN可以通信，这句话对资深的网络工程师来说，要看情况的。小特色：PVLAN可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。PVLAN允许在同一个VLAN内，将流量限制在某些端口之间。PVLAN实现在一个VLAN内的端口隔离。2、为何引入PVLAN？传统VLAN的傻逼性：随着网络的迅速发展，一些高端用户对于网络数据通信的安全性提出了更牛逼的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统古老的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。然而，这种分配每个客户单一VLAN和IP子网的SB做法造成了巨大的可扩展方面的局限。这些局限主要有下述几方面：1.VLAN的限制：交换机固有的VLAN数目的限制，也就是说什么4096的；2.复杂的STP：对于每个VLAN，每个相关的SpanningTree的拓扑都需要管理；3.IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；4.路由的限制：每个子网都需要相应的默认网关的配置。PVLAN的牛逼性：PVLAN的应用通过将不同的客户放在隔离VLAN中实现了客户的二层隔离，只需要一个隔离VLAN就可以保证了接入网络的数据通信的安全性，节省了VLAN的资源；通过给主VLAN配置SVI，所有PVLAN共享主VLAN的IP地址，实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问，当然啊，也避免了IP子网的划分；通过应用PVLAN技术能够在节省VLAN与IP地址资源的情况下很好的解决接入网络的安全性问题。3、PVLAN的工作原理现在有了一种新的VLAN机制，所有主机在同一个子网中，但主机只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN(PrivateVLAN)。在PrivateVLAN的概念中，交换机端口有三种类型：Isolatedport，Communityport,Promiscuousport（英语不好的，自觉的问度娘去）；它们分别对应不同的VLAN类型：Isolatedport属于IsolatedPVLAN，Communityport属于CommunityPVLAN，而代表一个PrivateVLAN整体的是PrimaryVLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuousport。PromiscuousPromiscuousportPrivateVLAN---PrimaryVLAN不可通信不可通信可通信可通信不交换流量可通信可通信不交换流量可交换流量可通信IsolatedportIsolatedPVLANIsolatedportIsolatedPVLAN注意：注意：Promiscuousport与路由器或第3层交换机接口相连,它收到的流量可以发往Isolatedport和CommunityportCommunityportCommunityPVLAN在IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交换流量；在CommunityPVLAN中，Communityport不仅可以和Promiscuousport通信，而且彼此也可以交换流量。Promiscuousport与路由器或第3层交换机接口相连,它收到的流量可以发往Isolatedport和Communityport。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。4、技术详解A、PVLAN的类型:包含两种PVLAN,一个是主vlan，英文名叫primary（'praɪmərɪ）VLAN，喷子发音要标准，首字母要重读；还有个就是辅助VLAN，SecondaryVLAN。其中辅助vlan下面还有两个小三类型：隔离VLAN（isolated（'aɪsəleɪtɪd）VLAN）和团体VLAN（communityVLAN）。isolated端口community端口B、PVLAN的端口类型一个是混杂端口（Promiscuous（prəˈmɪskjuəs）Port）；另一个是主机端口（HostPort）。PrimaryVLANSecondaryVLAN.上图明显看出来处于PVLAN当中交换机上的一个物理端口只有三个选择（看啥呢？向下看）混杂端口isolated端口community端口C、可通信范围首先对于primaryvlan：可以和它所关联的isolatedvlan、communityvlan通信。Communityvlan：只要在communityvlan下面的端口，彼此就能通信，你就这样想啊，community是不是和communicate交流很像啊？既然要交流，那肯定可以互相通信咯。Isolatedvlan：名副其实的隔离，既然隔离，废话不多说。肯定下面的端口彼此不能互相通信，只可以与它的顶头上司promiscuous端口通信。D、Pvlan的一些规则1、（attention！！！）创建PVLAN前，需要配置VTP模式为Transparent，在配置PVLAN后，将不能再把模式转变为Server和Client；2、一个primaryvlan中至少有一个secondaryvlan，无上限。3、一个primaryvlan当中只能有一个isolatedvlan，可以有多个communityvlan。4、不同primaryvlan之间任何端口都不能互相通信，指的是二层连通性噢。5、一个“PrimaryPVLAN”当中只能有1个“PromiscuousPort”；6、在配置PVLAN中，不使用VLAN1，VLAN1002-1005；7、三层的VLAN接口只能分配给主VLAN；8、不能在PVLAN中配置EtherChannel；9、假如交换机上一个端口作为SPAN的目的端口，这个端口在配置PVLAN后失效；10、PVLAN的端口可以做SPAN的源端口；11、假如在PVLAN中删除了一个VLAN，那么属于该VLAN的端口将失效。其他的一些规则，仔细看看上面的只要不怎么2的人，都应该可以理解其中的关系。5、实验【实验环境】真机C3560以上，暂时无法完成实验【实验目的】模拟DMZ区域对隔离的需求。所有服务器均处在同一VLAN，为保证安全，现要求不同应用的服务器之间无法通讯，属于同一应用的服务器之间可以通讯，管理员与网关接口可以跟所有服务器通讯：C1可以和C2/C3/C4/C5互访C2和C3可以互访C4和C5不能互访这里就可以使用PVLAN技术简化配置，在主VLAN10的下面再创建2个VLAN501(community类型，成员可以互访)和VLAN502(isolated类型，成员不可互访)，并且2个VLAN之间不能互访，主VLAN可以与次级VLAN之间互访。【实验拓扑】【实验描述】所有服务器C1-C5均处在VLAN10下，网段10.10.10.0/24，IP主机地址与接口号同。primaryVLAN：10SecondaryVLAN：communityVLAN：501/isolatedVLAN：502PromiscuousPort：f1/1HostPort：f1/2,f1/3,f1/4,f1/5交换机管理VLAN：10.10.10.254/24【实验步骤】（1）配置各服务器IP地址C1:ip10.10.10.1/24C2:ip10.10.10.2/24C3:ip10.10.10.3/24C4:ip10.10.10.4/24C5:ip10.10.10.5/24（2）将交换机的VTP模式改为透明模式，否则无法使用PVLAN技术SW(config)#vtpmodetransparent（3）创建PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanprimarySW(config-vlan)#vlan501SW(config-vlan)#private-vlancommunitySW(config-vlan)#vlan502SW(config-vlan)#private-vlanisolated（4）关联PrimaryVLAN及SecondaryVLANSW(config)#vlan10SW(config-vlan)#private-vlanassociation501-502（5）将端口f1/1设置为PromiscuousPort并映射SecondaryVLANSW(config)#intf1/1SW(config-if)#switchportmodeprivate-vlanpromiscuous//设置端口为混杂模式SW(config-if)#switchportprivate-vlanmapping10501-502//使用mapping关联主VLAN和能够访问的私有VLAN（6）将端口f1/2,f1/3设置为HostPort并映射communityVLANSW(config)#intrangef1/2-3SW(config-if)#switchportmodeprivate-vlanhost//设置端口为host模式SW(config-if)#switchportprivate-vlanhost-association10501//使用host-association关联主VLAN和所属的私有VLAN（7）将端口f1/4,f1/5设置为HostPort并映射isolatedVLANSW(config)#intrangef1/4-5SW(config-if)#switchportmodeprivate-vlanhost//设置端口为host模式SW(config-if)#switchportprivate-vlanhost-association10502//使用host-association关联主VLAN和所属的私有VLAN（8）在交换机上检查PVLAN设置SW#showvlanprivate-vlan结果暂无（9）测试各服务器之间的连通性结果暂无（10）配置交换机的三层管理接口(SVI)SW(config)#intvlan10SW(config-if)#ipaddress10.10.10.254255.255.255.0SW(config-if)#noshutdown（11）测试交换机SVI接口连通性结果暂无（12）配置三层接口PVLAN映射，开启三层交换功能，使得SecondaryVLAN也可以远程访问SVI接口SW(config)#intvlan10SW(config-if)#private-vlanmapping501-502SW(config-if)#exitSW(config)#iprouting//将辅助VLAN映射到3层接口，允许PVLAN入口流量的3层交换；辅助VLAN被映射到主VLAN后就不能起自己的SVI了，也就是说映射时也可以不映射全部的辅助VLAN（11）再次测试交换机SVI接口连通性结果暂无实验完成。说明：①只有VTP模式为透明模式，才能配置PVLAN。②host|promiscuous：host：只能为一个辅助VLAN服务；promiscuous：可以为多个辅助VLAN服务。实验调试：SW1#showintf0/1switchportSW1#showintprivate-vlanm