Ziel
Dieser Artikel enthält Anweisungen zur Konfiguration privater VLAN-Einstellungen auf einem Cisco Business Switch der Serie 350.
Unterstützte Geräte | Software-Version
- CBS350 (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
- CBS350-2X (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
- CBS350-4X (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
Einleitung
Mithilfe eines Virtual Local Area Network (VLAN) können Sie ein Local Area Network (LAN) logisch in verschiedene Übertragungsdomänen segmentieren. In Umgebungen, in denen über das Netzwerk möglicherweise vertrauliche Daten übertragen werden, kann durch die Erstellung von VLANs die Sicherheit verbessert werden. Eine Übertragung kann dann auf ein spezifisches VLAN beschränkt werden. Nur die Benutzer, die zu einem VLAN gehören, können auf die Daten in diesem VLAN zugreifen und sie ändern. Mithilfe von VLANs kann auch die Leistung verbessert werden, da Broadcasts und Multicasts seltener an unnötige Ziele gesendet werden müssen.
Ein privates VLAN bietet Layer-2-Isolierung zwischen Ports. Dies bedeutet, dass auf der Ebene des Bridging-Datenverkehrs, im Gegensatz zum IP-Routing, Ports mit derselben Broadcast-Domäne nicht miteinander kommunizieren können. Die Ports in einem privaten VLAN können sich an einer beliebigen Stelle im Layer-2-Netzwerk befinden, d. h. sie müssen sich nicht auf demselben Switch befinden. Das private VLAN ist so konzipiert, dass es nicht gekennzeichneten oder mit Priorität gekennzeichneten Datenverkehr empfängt und nicht gekennzeichneten Datenverkehr überträgt.
Die folgenden Porttypen können Mitglieder in einem privaten VLAN sein:
- Promiscuous - Ein Promiscuous-Port kann mit allen Ports desselben privaten VLAN kommunizieren. Diese Ports verbinden Server und Router.
- Community (Host) - Community-Ports können eine Gruppe von Ports definieren, die Mitglieder derselben Layer-2-Domäne sind. Sie sind auf Layer 2 von anderen Communitys und isolierten Ports isoliert. Diese Ports verbinden Host-Ports.
- Isolated (Host) - Ein isolierter Port ist auf Layer 2 vollständig von den anderen isolierten Ports und Community-Ports im gleichen privaten VLAN isoliert. Diese Ports verbinden Host-Ports.
Host-Datenverkehr wird über isolierte VLANs und Community-VLANs gesendet, während Server- und Router-Datenverkehr über das primäre VLAN gesendet wird.
Konfigurieren privater VLAN-Einstellungen auf einem Switch
Wichtig: Bevor Sie mit den folgenden Schritten fortfahren, stellen Sie sicher, dass auf dem Switch VLANs konfiguriert wurden. Wenn Sie wissen möchten, wie Sie die VLAN-Einstellungen auf Ihrem Switch konfigurieren, klicken Sie hier, um weitere Anweisungen zu erhalten.
Schritt 1. Melden Sie sich beim webbasierten Dienstprogramm an, und wählen Sie Erweitert aus der Dropdown-Liste Anzeigemodus aus.
Schritt 2. Wählen Sie VLAN Management >Private VLAN Settings.
Schritt 3: Klicken Sie auf die Schaltfläche Hinzufügen.
Schritt 4: Wählen Sie in der Dropdown-Liste "Primary VLAN ID" (Primäre VLAN-ID) ein VLAN aus, das als primäres VLAN im privaten VLAN definiert werden soll. Das primäre VLAN wird verwendet, um Layer-2-Verbindungen von Promiscuous-Ports zu isolierten Ports und zu Community-Ports zuzulassen.
Anmerkung: In diesem Beispiel wird die VLAN-ID 10 ausgewählt.
Schritt 5: Wählen Sie in der Dropdown-Liste "Isolated VLAN ID" (Isolierte VLAN-ID) eine VLAN-ID aus. Ein isoliertes VLAN wird verwendet, um es isolierten Ports zu ermöglichen, Datenverkehr an das primäre VLAN zu senden.
Anmerkung: In diesem Beispiel wird die VLAN-ID 20 ausgewählt.
Schritt 6: Wählen Sie eine VLAN-ID aus dem Bereich Available Community VLANs (Verfügbare Community-VLANs), und klicken Sie anschließend auf die > Schaltfläche, um die VLANs, die Sie Community-VLANs sein möchten, in die Liste Selected Community VLANs (Ausgewählte Community-VLANs) zu verschieben.
Anmerkung: Um eine Untergruppe von Ports (Community) innerhalb eines VLAN zu erstellen, müssen die Ports einem Community-VLAN hinzugefügt werden. Das Community-VLAN wird verwendet, um Layer-2-Verbindungen von Community-Ports zu Promiscuous-Ports und zu Community-Ports derselben Community zu aktivieren. Es kann für jede Community ein einzelnes Community-VLAN geben, und mehrere Community-VLANs können gleichzeitig für dasselbe private VLAN im System vorhanden sein.
Anmerkung: In diesem Beispiel wird die VLAN-ID 30 ausgewählt.
Schritt 7: Klicken Sie auf Übernehmen und dann auf Schließen.
Schritt 8: Klicken Sie optional auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.
Sie haben jetzt die privaten VLAN-Einstellungen für Ihren Cisco Business Switch der Serie 350 konfiguriert.
Benötigen Sie weitere Informationen zu VLANs für Ihre Cisco Business Switches? Unter den folgenden Links finden Sie weitere Informationen.
Artikel Skeleton mit Inhalt
Ziel
Dieser Artikel enthält Anweisungen zur Konfiguration privater VLAN-Einstellungen auf einem Cisco Business Switch der Serie 350.
Ein privates VLAN bietet Layer-2-Isolierung zwischen Ports. Dies bedeutet, dass auf der Ebene des Bridging-Datenverkehrs, im Gegensatz zum IP-Routing, Ports mit derselben Broadcast-Domäne nicht miteinander kommunizieren können. Die Ports in einem privaten VLAN können sich an einer beliebigen Stelle im Layer-2-Netzwerk befinden, d. h. sie müssen sich nicht auf demselben Switch befinden. Das private VLAN ist so konzipiert, dass es nicht gekennzeichneten oder mit Priorität gekennzeichneten Datenverkehr empfängt und nicht gekennzeichneten Datenverkehr überträgt.
Unterstützte Geräte | Software-Version
- CBS350 (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
- CBS350-2X (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
- CBS350-4X (Datenblatt) | 3.0.0.69 (Aktuelle Version herunterladen)
Einleitung
Mithilfe eines Virtual Local Area Network (VLAN) können Sie ein Local Area Network (LAN) logisch in verschiedene Übertragungsdomänen segmentieren. In Umgebungen, in denen über das Netzwerk möglicherweise vertrauliche Daten übertragen werden, kann durch die Erstellung von VLANs die Sicherheit verbessert werden. Eine Übertragung kann dann auf ein spezifisches VLAN beschränkt werden. Nur die Benutzer, die zu einem VLAN gehören, können auf die Daten in diesem VLAN zugreifen und sie ändern. Mithilfe von VLANs kann auch die Leistung verbessert werden, da Broadcasts und Multicasts seltener an unnötige Ziele gesendet werden müssen.
Anmerkung: Klicken Sie hier, um zu erfahren, wie Sie die VLAN-Einstellungen auf einem Switch über das webbasierte Dienstprogramm konfigurieren können. Anweisungen für die Konfiguration über die Kommandozeilenschnittstelle finden Sie hier.
Eine private VLAN-Domäne besteht aus einem oder mehreren Paaren von VLANs. Die Domäne besteht aus dem primären VLAN. und jedes VLAN-Paar bildet eine Subdomäne. Die VLANs in einem Paar werden als primäres und sekundäres VLAN bezeichnet. Alle VLAN-Paare in einem privaten VLAN haben dasselbe primäre VLAN. Die sekundäre VLAN-ID unterscheidet eine Subdomäne von einer anderen.
Eine private VLAN-Domäne verfügt nur über ein primäres VLAN. Jeder Port in einer privaten VLAN-Domäne ist Mitglied des primären VLAN. Das primäre VLAN ist die gesamte private VLAN-Domäne.
Sekundäre VLANs ermöglichen die Isolierung zwischen Ports innerhalb derselben privaten VLAN-Domäne. Die folgenden beiden Typen sind sekundäre VLANs innerhalb eines primären VLANs:
- Isolierte VLANs - Ports in einem isolierten VLAN können auf Layer-2-Ebene nicht direkt miteinander kommunizieren.
- Community-VLANs - Ports in einem Community-VLAN können miteinander kommunizieren, jedoch nicht mit Ports in anderen Community-VLANs oder in isolierten VLANs auf Layer-2-Ebene.
Innerhalb einer privaten VLAN-Domäne gibt es drei separate Portbezeichnungen. Jede Port-Bezeichnung hat ihre eigenen eindeutigen Regeln, die die Fähigkeit eines Endpunkts regeln, mit anderen verbundenen Endpunkten innerhalb derselben privaten VLAN-Domäne zu kommunizieren. Es folgen die drei Portbezeichnungen:
- Promiscuous - Ein Promiscuous-Port kann mit allen Ports desselben privaten VLAN kommunizieren. Diese Ports verbinden Server und Router.
- Community (Host) - Community-Ports können eine Gruppe von Ports definieren, die Mitglieder derselben Layer-2-Domäne sind. Sie sind auf Layer 2 von anderen Communitys und isolierten Ports isoliert. Diese Ports verbinden Host-Ports.
- Isolated (Host) - Ein isolierter Port ist auf Layer 2 vollständig von den anderen isolierten Ports und Community-Ports im gleichen privaten VLAN isoliert. Diese Ports verbinden Host-Ports.
Host-Datenverkehr wird über isolierte VLANs und Community-VLANs gesendet, während Server- und Router-Datenverkehr über das primäre VLAN gesendet wird.
Klicken Sie hier, um das private VLAN mit dem webbasierten Dienstprogramm des Switches zu konfigurieren.
Private VLAN-Einstellungen auf dem Switch über die CLI konfigurieren
Erstellen eines privaten primären VLANs
Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten "cisco". Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.
Die Befehle können je nach genauem Switch-Modell variieren.
Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.
CBS350#configure
Schritt 3: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.
CBS350(config)#interface [vlan-id]
- vlan-id: Gibt die zu konfigurierende VLAN-ID an.
Schritt 4: Konfigurieren Sie im Kontext für die Schnittstellenkonfiguration die VLAN-Schnittstelle als primäres privates VLAN, indem Sie Folgendes eingeben:
CBS350(config-if)#private-vlan primary
Standardmäßig sind keine privaten VLANs auf dem Switch konfiguriert.
Wichtig: Beachten Sie bei der Konfiguration eines privaten VLAN die folgenden Richtlinien:
- Der VLAN-Typ kann nicht geändert werden, wenn ein privater VLAN-Port Mitglied des VLAN ist.
- Der VLAN-Typ kann nicht geändert werden, wenn er mit anderen privaten VLANs verknüpft ist.
- Der VLAN-Typ wird nicht als Eigenschaft des VLAN beibehalten, wenn das VLAN gelöscht wird.
Schritt 5: Geben Sie optional den folgenden Befehl ein, um die normale VLAN-Konfiguration für das VLAN wiederherzustellen:
CBS350(config-if)#no private-vlan
Schritt 6: Geben Sie optional den folgenden Befehl ein, um zum privilegierten EXEC-Modus des Switches zurückzukehren:
CBS350(config-if)#end
Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.
CBS350#copy running-config startup-config
Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.
Sie haben nun erfolgreich das primäre VLAN auf Ihrem Switch über die CLI erstellt.
Erstellen eines sekundären VLAN
Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.
CBS350#configure
Schritt 2: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.
CBS350(config)#interface [vlan-id]
Schritt 3: Konfigurieren Sie im Kontext für die Schnittstellenkonfiguration die VLAN-Schnittstelle als sekundäres privates VLAN, indem Sie Folgendes eingeben:
CBS350(config-if)#private-vlan [community | isolated]
Folgende Optionen sind verfügbar:
- community (Community): Festlegen des VLANs als Community-VLAN
- Isolated (Isoliert): Legen Sie das VLAN als isoliertes VLAN fest.
Schritt 4: Wiederholen Sie optional die Schritte 2 und 3, um ein zusätzliches sekundäres VLAN für das private VLAN zu konfigurieren.
Schritt 5: Geben Sie optional den folgenden Befehl ein, um die normale VLAN-Konfiguration für das VLAN wiederherzustellen:
CBS350(config-if)#no private-vlan
Schritt 6: Geben Sie optional den folgenden Befehl ein, um zum privilegierten EXEC-Modus des Switches zurückzukehren:
CBS350(config-if)#end
Sie haben nun über die CLI erfolgreich sekundäre VLANs auf Ihrem Switch erstellt.
Ordnen Sie das sekundäre VLAN dem primären privaten VLAN zu.
Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.
CBS350#configure
Schritt 2: Geben Sie den Konfigurationskontext für die VLAN-Schnittstelle des primären VLAN ein. Geben Sie dazu Folgendes ein:
CBS350(config)#vlan [primary-vlan-id]
Schritt 3: Geben Sie Folgendes ein, um die Zuordnung zwischen dem primären VLAN und den sekundären VLANs zu konfigurieren:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
Folgende Optionen sind verfügbar:
- add second-vlan-list: Eine Liste der VLAN-IDs vom Typ "second", die einem primären VLAN hinzugefügt werden sollen. Trennen Sie VLAN-IDs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen ID-Bereich zu definieren. Dies ist die Standardaktion.
- remove second-vlan-list: Gibt eine Liste der VLAN-IDs vom Typ "second" an, um die Zuordnung von einem primären VLAN zu entfernen. Trennen Sie VLAN-IDs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen ID-Bereich zu definieren.
Schritt 4: Um in den privilegierten EXEC-Modus des Switches zurückzukehren, geben Sie Folgendes ein:
CBS350(config-if)#end
Sie haben nun die sekundären VLANs erfolgreich über die CLI mit dem primären privaten VLAN auf Ihrem Switch verknüpft.
Konfigurieren von Ports für die primären und sekundären privaten VLANs
Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.
CBS350#configure
Schritt 2: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.
CBS350(config)#interface [interface-id | range vlan vlan-range]
Folgende Optionen sind verfügbar:
- interface-id: Gibt eine zu konfigurierende Schnittstellen-ID an.
- range vlan vlan-range: Gibt eine Liste von VLANs an. Trennen Sie VLANs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen VLAN-Bereich zu definieren.
Schritt 3: Verwenden Sie im Kontext für die Schnittstellenkonfiguration den Befehl switchport mode, um den Modus für die VLAN-Mitgliedschaft zu konfigurieren.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- Promiscuous - Gibt einen privaten Promiscuous-VLAN-Port an. Wenn diese Option verwendet wird, fahren Sie mit Schritt 5 fort.
- host - Gibt einen privaten VLAN-Host-Port an. Wenn diese Option verwendet wird, fahren Sie mit Schritt 6 fort.
Schritt 4: Geben Sie optional den folgenden Befehl ein, um die Standardkonfiguration für den Port oder den Port-Bereich wiederherzustellen:
CBS350(config-if-range)#no switchport mode
Schritt 5: Um die Zuordnung eines Promiscuous Ports zu primären und sekundären VLANs des privaten VLANs zu konfigurieren, geben Sie Folgendes ein:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
Folgende Optionen sind verfügbar:
- primary-vlan-id: Gibt die VLAN-ID des primären VLAN an.
- secondary-vlan-id: Gibt die VLAN-ID des sekundären VLAN an.
Schritt 6: Um die Zuordnung eines Host-Ports zu primären und sekundären VLANs des privaten VLANs zu konfigurieren, geben Sie Folgendes ein:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
Folgende Optionen sind verfügbar:
- primary-vlan-id: Gibt die VLAN-ID des primären VLAN an.
- secondary-vlan-id: Gibt die VLAN-ID des sekundären VLAN an.
Schritt 7: Geben Sie den nachfolgenden Befehl ein, um den Kontext für die Schnittstellenkonfiguration zu verlassen.
CBS350(config-if-range)#exit
Schritt 8: Wiederholen Sie optional die Schritte 2 bis 7, um weitere Promiscuous- und Host-Ports zu konfigurieren und den entsprechenden primären und sekundären privaten VLANs zuzuweisen.
Schritt 9: Geben Sie den Befehl end ein, um wieder in den privilegierten EXEC-Modus zu wechseln.
CBS350(config-if)#end
Schritt 10. Geben Sie optional den folgenden Befehl ein, um die auf Ihrem Switch konfigurierten privaten VLANs zu überprüfen:
CBS350#show vlan private-vlan tag[vlan-id]
Schritt 11: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.
CBS350#copy running-config startup-config
Schritt 12: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.
Sie haben nun erfolgreich die Zuordnung von Host- und Promiscuous-Ports zu primären und sekundären privaten VLANs auf Ihrem Switch über die CLI konfiguriert.
Benötigen Sie weitere Informationen zu VLANs für Ihre Cisco Business Switches? Unter den folgenden Links finden Sie weitere Informationen.
Feedback