Cisco CCNP byta privata VLAN & EtherChannel

Cisco CCNP byta privata VLAN

ccnp-switch-private-vlans-1

tjänsteleverantörer har ofta enheter från flera klienter, förutom sina egna servrar, i ett enda demilitariserat Zonsegment (DMZ) eller VLAN. När säkerhetsproblem sprider sig blir det nödvändigt att tillhandahålla trafikisolering mellan enheter, även om de kan existera på samma lager 3-segment och VLAN. Catalyst 6500/4500/3750 switchar genomföra Pvlan att hålla vissa switch portar delade och vissa switch portar isolerade, även om alla portar finns på samma VLAN. 2950/2960 och 3550/3560 stöder ”skyddade portar”, som är funktionalitet som liknar Pvlan på en per-switch-basis.

Cisco CCNP SWITCH PVLAN porttyper

ccnp-switch-private-vlans-2

isolerad: en isolerad port har fullständig lager 2-separation från andra portar inom samma PVLAN, förutom den promiskuösa porten. PVLANs blockerar all trafik till isolerade hamnar, förutom trafiken från promiskuösa hamnar. Trafik som tas emot från en isolerad hamn vidarebefordras till endast promiskuösa hamnar.

promiskuös: en promiskuös hamn kan kommunicera med alla hamnar inom PVLAN, inklusive gemenskapen och isolerade hamnar. Standardgatewayen för segmentet skulle sannolikt vara värd på en promiskuös port, med tanke på att alla enheter i PVLAN kommer att behöva kommunicera med den porten.

gemenskapen: gemenskapens hamnar kommunicerar sinsemellan och med sina promiskuösa hamnar. Dessa gränssnitt isoleras vid Lager 2 från alla andra gränssnitt i andra samhällen, eller i isolerade hamnar inom deras PVLAN.

PVLAN-portar är associerade med en uppsättning stödjande VLAN som används för att skapa PVLAN-strukturen. En PVLAN använder VLAN på tre sätt:

som en primär VLAN: transporterar trafik från promiskuösa hamnar till isolerade, gemenskap och andra promiskuösa hamnar i samma primära VLAN.

som en isolerad VLAN: transporterar trafik från isolerade hamnar till en promiskuös port.

som en gemenskap VLAN: Transporterar trafik mellan gemenskapens hamnar och promiskuösa hamnar. Du kan konfigurera flera gemenskap vlan i en PVLAN.

isolerade och gemenskapsvlan kallas sekundära VLAN. Du kan utöka Pvlan över flera enheter genom att trunking primär, isolerade, och gemenskap VLAN till andra enheter som stöder Pvlan.

Cisco CCNP SWITCH konfigurera Pvlan

ccnp-switch-private-vlans-3

grundläggande steg för att anpassa PVLANs.

– skapa sekundära VLAN.

– isolerade och gemenskap VLAN är sekundära VLAN.

– skapa den primära VLAN.

– associera den sekundära VLAN med den primära VLAN. Endast en isolerad VLAN kan mappas till en primär VLAN, men mer än en gemenskap VLAN kan mappas till en primär VLAN.

– konfigurera ett gränssnitt som en isolerad eller gemenskapsport.

– associera den isolerade hamnen eller gemenskapsporten med det primära sekundära VLAN-paret.

– konfigurera ett gränssnitt som en promiskuös port.

-mappa den promiskuösa porten till det primära sekundära VLAN-paret.

– använd dessa kommandon för att konfigurera en VLAN som en PVLAN:

Switch(config)#vlan vlan_ID
Switch(config-vlan)#

privat-vlan {isolerad / primär}

Cisco CCNP SWITCH konfigurera PVLAN-portar

ccnp-switch-private-vlans-4

här är bästa praxis att tänka på när du konfigurerar ett Layer 2– gränssnitt som en PVLAN-promiskuös port:

– parametern secondary_vlan_list kan inte innehålla mellanslag. Det kan innehålla flera kommaseparerade objekt. Varje objekt kan vara ett enda PVLAN-ID eller ett bindestreck av PVLAN-ID.

– ange en secondary_vlan_list eller använd Lägg till nyckelord med en secondary_vlan_list för att mappa sekundära VLAN till PVLAN promiskuösa porten.

– använd ta bort nyckelordet med en secondary_vlan_list för att rensa kartläggningen mellan sekundära VLAN och PVLAN promiskuösa porten.

– använd nyckelordet no för att rensa all mappning från PVLAN promiskuösa porten.

Cisco CCNP SWITCH EtherChannel riktlinjer

ccnp-switch-private-vlans-5

EtherChannels erbjuder följande fördelar:

  • • logisk aggregering av liknande länkar

för att framgångsrikt kunna distribuera EtherChannel måste du följa några enkla regler:

  • • portar i samma kanal eller i trunk läge

Cisco CCNP SWITCH EtherChannel riktlinjer

ccnp-switch-private-vlans-6

Slide visar de minimala kommandon som krävs för att konfigurera EtherChannel (skapande av en port kanal gränssnitt).

Cisco CCNP SWITCH verifierar EtherChannel

ccnp-switch-private-vlans-7

gränssnitt Port-channel2

switchport trunk inkapsling dot1q

switchport läge trunk

switchport nonegotiate

ingen ip-adress

!

gränssnitt GigabitEthernet0/9

beskrivning DSW121 0/9-10 — DSW122 0/9-10

switchport trunk inkapsling dot1q

switchport mode trunk

switchport nonegotiate

ingen ip-adress

duplex full

hastighet 100

kanal-Grupp 2 läge önskvärt

!

gränssnitt GigabitEthernet0/10

beskrivning DSW121 0/9-10 — DSW122 0/9-10

switchport trunk inkapsling dot1q

switchport mode trunk

switchport nonegotiate

ingen ip-adress

Duplex Full

hastighet 100

kanal-Grupp 2-läge önskvärt

!

Cisco CCNP SWITCH konfigurera PAgP och LACP

ccnp-switch-private-vlans-8

Port Aggregation Protocol (PAgP) är ett Cisco-proprietärt protokoll som används för att påskynda det automatiska skapandet av EtherChannels genom att utbyta paket mellan Ethernet-gränssnitt.

Link Aggregation Control Protocol (LACP) definieras i IEEE 802.3 ad. Den konfigurerar det maximala antalet kompatibla portar i en kanal, upp till det maximala tillåtna av hårdvaran (åtta portar).

Cisco CCNP SWITCH verifierar PAgP och LACP

ccnp-switch-private-vlans-9

You might also like

Lämna ett svar

Din e-postadress kommer inte publiceras.