Cisco CCNP SWITCH Private Vlan & možných cest

Cisco CCNP SWITCH Private VLAN

ccnp-switch-private-vlans-1

poskytovatelé Služeb mají často zařízení od více klientů, kromě své vlastní servery, na jednom Demilitarizované Zóny (DMZ) segment nebo VLAN. Jak se bezpečnostní problémy šíří, je nutné zajistit izolaci provozu mezi zařízeními, i když mohou existovat na stejném segmentu vrstvy 3 a VLAN. Catalyst 6500/4500/3750 přepínače implementují Pvlan, aby udržely některé porty přepínače sdílené a některé porty přepínače izolované, ačkoli všechny porty existují na stejné VLAN. 2950/2960 a 3550/3560 podporují „chráněné porty“, které jsou podobné funkcím Pvlan na základě jednotlivých přepínačů.

Cisco CCNP SWITCH PVLAN Port Typy

ccnp-switch-private-vlans-2

Izolované: izolovaný port má kompletní Layer 2 oddělení od ostatních portů ve stejné PVLAN, s výjimkou promiskuitní přístavu. Pvlan blokují veškerý provoz do izolovaných portů, s výjimkou provozu z promiskuitních portů. Provoz přijatý z izolovaného portu je předán pouze promiskuitním portům.

promiskuitní: promiskuitní port může komunikovat se všemi porty v rámci PVLAN, včetně komunity a izolovaných portů. Výchozí brána pro segment by pravděpodobně byla hostována na promiskuitním portu, vzhledem k tomu, že všechna zařízení v PVLAN budou muset s tímto portem komunikovat.

Společenství: komunitní porty komunikují mezi sebou a se svými promiskuitními porty. Tato rozhraní jsou izolována ve vrstvě 2 od všech ostatních rozhraní v jiných komunitách nebo v izolovaných portech v rámci jejich PVLAN.

PVLAN porty jsou spojeny se sadou podpůrných VLAN, které se používají k vytvoření struktury PVLAN. PVLAN používá VLAN třemi způsoby:

jako primární VLAN: přenáší provoz z promiskuitních portů do izolovaných, komunitních a dalších promiskuitních portů ve stejné primární VLAN.

jako izolovaná VLAN: přenáší provoz z izolovaných portů do promiskuitního portu.

jako komunitní VLAN: Přepravuje provoz mezi přístavy Společenství a promiskuitními přístavy. V PVLAN můžete nakonfigurovat více komunitních VLAN.

izolované a komunitní VLAN se nazývají sekundární VLAN. Pvlan můžete rozšířit na více zařízení připojením primárních, izolovaných a komunitních VLAN k jiným zařízením podporujícím Pvlan.

Cisco CCNP SWITCH konfigurace Pvlan

ccnp-switch-private-vlans-3

základní kroky ke konfiguraci Pvlan.

– nastavte režim VTP na průhledný.

– Vytvořte sekundární sítě VLAN.

– izolované a komunitní VLAN jsou sekundární VLAN.

– Vytvořte primární VLAN.

– přiřaďte sekundární VLAN k primární VLAN. Na primární VLAN lze mapovat pouze jednu izolovanou VLAN, ale na primární VLAN lze mapovat více než jednu komunitní VLAN.

– nakonfigurujte rozhraní jako izolovaný nebo komunitní port.

– přiřaďte izolovaný port nebo komunitní port s párem primární-sekundární VLAN.

– nakonfigurujte rozhraní jako promiskuitní port.

– Mapujte promiskuitní port na primární-sekundární pár VLAN.

– Pomocí těchto příkazů pro konfiguraci VLAN jako PVLAN:

Switch(config)#vlan vlan_ID
Switch(config-vlan)#

private-vlan {izolované | primární}

Cisco CCNP SWITCH Konfigurace PVLAN Porty

ccnp-switch-private-vlans-4

Zde jsou nejlepší praktiky, aby zvážila, když můžete nakonfigurovat Layer 2 rozhraní jako PVLAN promiskuitní port:

– secondary_vlan_list parametr nesmí obsahovat mezery. Může obsahovat více položek oddělených čárkami. Každá položka může být jeden PVLAN ID nebo POMLČKA rozsah PVLAN ID.

– zadejte secondary_vlan_list nebo použijte klíčové slovo add s secondary_vlan_list pro mapování sekundárních VLAN na promiskuitní port PVLAN.

– pomocí klíčového slova odebrat se sekundárním VLAN a promiskuitním portem PVLAN vymažte mapování mezi sekundárními VLAN.

– pomocí klíčového slova no vymažte veškeré mapování z promiskuitního portu PVLAN.

Cisco CCNP SWITCH možných cest Pokyny

ccnp-switch-private-vlans-5

EtherChannels nabízejí následující výhody:

  • • Logické seskupení podobné odkazy
  • • Viděn jako jeden logický port
  • • spínací úroveň vyrovnávání zatížení
  • • Redundance

aby bylo možné úspěšně nasadit možných cest, musíte dodržovat několik jednoduchých pravidel:

  • • Porty ve stejném kanálu nebo v kufru režimu
  • • Pokud trunk portů, musí být ve stejné kufru režimu
  • • Stejná rychlost a duplex
  • • Stejnou možnost VLAN rozpětí
  • • Bez dynamické VLAN porty

Cisco CCNP SWITCH možných cest Pokyny

ccnp-switch-private-vlans-6

Snímek zobrazuje minimální příkazy potřebné pro konfiguraci možných cest (vytvoření portu kanálu rozhraní).

Cisco CCNP SWITCH Ověření možných cest

ccnp-switch-private-vlans-7

rozhraní Port-místnost2

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

ip adresa

!

interface GigabitEthernet0/9

popis DSW121 0/9-10 — DSW122 0/9-10

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

ip adresa

duplex plný

rychlost 100

kanál-skupina 2 režim žádoucí

!

interface GigabitEthernet0/10

popis DSW121 0/9-10 — DSW122 0/9-10

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

ip adresa

duplex plný

rychlost 100

kanál-skupina 2 režim žádoucí

!

Cisco CCNP SWITCH Konfigurace PAgP a LACP

ccnp-switch-private-vlans-8

Port Aggregation Protocol (PAgP) je Cisco proprietární protokol, který se používá k urychlení automatické vytváření EtherChannels prostřednictvím výměny paketů mezi Ethernet rozhraní.

Link Aggregation Control Protocol (LACP)je definován v IEEE 802.3 ad. Konfiguruje maximální počet kompatibilních portů v kanálu až do maxima povoleného hardwarem (osm portů).

Cisco CCNP SWITCH ověřující PAgP a LACP

ccnp-switch-private-vlans-9

You might also like

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.