Doel
Dit artikel geeft instructies hoe u privé VLAN-instellingen kunt configureren op een Cisco Business 350 Series switch.
Toepasselijke apparaten | Software versie
Inleiding
Met een Virtual Local Area Network (VLAN) kunt u een Local Area Network (LAN) logisch segmenteren in verschillende broadcastdomeinen. In scenario’s waarbij gevoelige gegevens via een netwerk kunnen worden doorgegeven, kunnen VLAN’s worden opgezet om data beter te beveiligen door een broadcast aan een specifiek VLAN toe te wijzen. Alleen gebruikers die tot een VLAN behoren kunnen de data op dat VLAN benaderen en bewerken. VLAN’s kunnen ook worden gebruikt om prestaties te verbeteren door de behoefte te verminderen om broadcast en multicast pakketten naar onnodige bestemmingen te verzenden.
Een Private VLAN biedt Layer 2-isolatie tussen poorten. Dit betekent dat op het niveau van het overbrugging van verkeer, in tegenstelling tot IP het routing, havens die hetzelfde uitgezonden domein delen niet met elkaar kunnen communiceren. De poorten in een privé VLAN kunnen overal in het Layer 2 netwerk worden gevonden, wat betekent dat ze niet op dezelfde switch hoeven te staan. Het privé VLAN wordt ontworpen om untagged of prioritair gelabeld verkeer te ontvangen en untagged verkeer te verzenden.
De volgende typen havens kunnen lid zijn in een privé VLAN:
- Promiscuous - Een veelbelovende poort kan communiceren met alle poorten van hetzelfde privé-VLAN. Deze poorten verbinden servers en routers.
- Community (host) - Community-havens kunnen een groep havens definiëren die lid zijn van hetzelfde Layer 2-domein. Ze zijn geïsoleerd op Layer 2 van andere gemeenschappen en van geïsoleerde havens. Deze poorten verbinden host-poorten.
- Isolated (host) - Een geïsoleerde poort heeft Layer 2-isolatie van de andere geïsoleerde en community-poorten binnen hetzelfde privé-VLAN. Deze poorten verbinden host-poorten.
Het verkeer van de gastheer wordt verzonden op geïsoleerde en gemeenschap VLANs, terwijl het server en routerverkeer op het primaire VLAN wordt verzonden.
Private VLAN-instellingen op een Switch configureren
Belangrijk: Voordat u met de onderstaande stappen verdergaat, moet u ervoor zorgen dat VLAN’s in de switch zijn geconfigureerd. Om te weten hoe u de instellingen van VLAN op uw switch moet configureren klikt u hier voor instructies.
Stap 1. Meld u aan bij het webgebaseerde programma en kies Geavanceerd in de vervolgkeuzelijst Weergavemodus.
Stap 2 . Kies VLAN-beheer >Instellingen voor Private VLAN.
Stap 3. Klik op de knop Add.
Stap 4. In de vervolgkeuzelijst Primaire VLAN-id kiest u een VLAN dat wordt gedefinieerd als het primaire VLAN in het particuliere VLAN. Het primaire VLAN wordt gebruikt om Layer 2 connectiviteit van potentieel rijke havens aan geïsoleerde havens en aan gemeenschapshavens toe te staan.
Opmerking: In dit voorbeeld wordt VLAN ID 10 geselecteerd.
Stap 5. Kies een VLAN-id uit de vervolgkeuzelijst Isolated VLAN-ID. Een geïsoleerd VLAN wordt gebruikt om geïsoleerde poorten toe te staan om verkeer naar het primaire VLAN te verzenden.
Opmerking: In dit voorbeeld wordt VLAN ID 20 geselecteerd.
Stap 6. Kies een VLAN-id uit het gebied Beschikbare VLAN’s en klik vervolgens op de >knop om de VLAN’s te verplaatsen die u wilt beschouwen als community VLAN’s in de lijst Geselecteerde Community VLAN’s.
Opmerking: Om een subgroep der havens (gemeenschap) binnen een VLAN te creëren, moeten de havens een gemeenschap VLAN worden toegevoegd. Het gemeenschap VLAN wordt gebruikt om Layer 2 connectiviteit van gemeenschapshavens aan veelbelovende havens en aan gemeenschapshavens van de zelfde gemeenschap toe te laten. Er kan één gemeenschap VLAN voor elke gemeenschap zijn en meerdere gemeenschap VLAN's kunnen in het systeem voor het zelfde privé VLAN coëxisteren.
Opmerking: In dit voorbeeld wordt VLAN ID 30 geselecteerd.
Stap 7. Klik op Toepassen en vervolgens op Sluiten.
Stap 8. (Optioneel) Klik op Opslaan om instellingen op te slaan in het opstartconfiguratiebestand.
U hebt nu de privé VLAN-instellingen op uw Cisco Business 350 Series switch ingesteld.
Op zoek naar meer informatie over VLAN’s voor uw Cisco Business-Switches? Bekijk de volgende links voor meer informatie.
Artikel Skelet met inhoud
Doel
Dit artikel geeft instructies hoe u privé VLAN-instellingen kunt configureren op een Cisco Business 350 Series switch.
Een Private VLAN biedt Layer 2-isolatie tussen poorten. Dit betekent dat op het niveau van het overbrugging van verkeer, in tegenstelling tot IP het routing, havens die hetzelfde uitgezonden domein delen niet met elkaar kunnen communiceren. De poorten in een privé VLAN kunnen overal in het Layer 2 netwerk worden gevonden, wat betekent dat ze niet op dezelfde switch hoeven te staan. Het privé VLAN wordt ontworpen om untagged of prioritair gelabeld verkeer te ontvangen en untagged verkeer te verzenden.
Toepasselijke apparaten | Software versie
Inleiding
Met een Virtual Local Area Network (VLAN) kunt u een Local Area Network (LAN) logisch segmenteren in verschillende broadcastdomeinen. In scenario’s waarbij gevoelige gegevens via een netwerk kunnen worden doorgegeven, kunnen VLAN’s worden opgezet om data beter te beveiligen door een broadcast aan een specifiek VLAN toe te wijzen. Alleen gebruikers die tot een VLAN behoren kunnen de data op dat VLAN benaderen en bewerken. VLAN’s kunnen ook worden gebruikt om prestaties te verbeteren door de behoefte te verminderen om broadcast en multicast pakketten naar onnodige bestemmingen te verzenden.
Opmerking: Klik hier voor meer informatie over de manier waarop u de VLAN-instellingen op de switch kunt configureren met het webgebaseerde hulpprogramma. Klik hier voor instructies met de opdrachtregel.
Een Private VLAN-domein bestaat uit een of meer paren van VLAN’s. Het primaire VLAN vormt het domein; en elk VLAN-paar bestaat uit een subdomein. De VLAN's in een paar worden het primaire VLAN en het secundaire VLAN genoemd. Alle VLAN-paren binnen een privé-VLAN hebben hetzelfde primaire VLAN. De secondaire VLAN-ID is wat het ene subdomein van een ander onderscheidt.
Een privé VLAN-domein heeft slechts één primair VLAN. Elke poort in een privé VLAN-domein is een lid van het primaire VLAN; Het primaire VLAN is het volledige privé VLAN domein.
Secundaire VLAN’s bieden isolatie tussen poorten binnen hetzelfde privé-VLAN-domein. De volgende twee typen zijn secundaire VLAN’s in een primair VLAN:
- geïsoleerde VLAN’s - poorten binnen een geïsoleerd VLAN kunnen niet rechtstreeks met elkaar communiceren op Layer 2-niveau.
- Community VLAN’s - poorten binnen een community-VLAN kunnen met elkaar communiceren maar kunnen niet met poorten in andere community-VLAN’s of in geïsoleerde VLAN’s op Layer 2-niveau communiceren.
Binnen een privé VLAN domein, zijn er drie afzonderlijke havenbenamingen. Elke poortaanwijzing heeft zijn eigen unieke reeks regels die de mogelijkheid van één eindpunt om met andere verbonden eindpunten binnen hetzelfde privé VLAN-domein te communiceren reguleren. De drie havenbenamingen zijn:
- Promiscuous - Een veelbelovende poort kan communiceren met alle poorten van hetzelfde privé-VLAN. Deze poorten verbinden servers en routers.
- Community (host) - Community-havens kunnen een groep havens definiëren die lid zijn van hetzelfde Layer 2-domein. Ze zijn geïsoleerd op Layer 2 van andere gemeenschappen en van geïsoleerde havens. Deze poorten verbinden host-poorten.
- Isolated (host) - Een geïsoleerde poort heeft Layer 2-isolatie van de andere geïsoleerde en community-poorten binnen hetzelfde privé-VLAN. Deze poorten verbinden host-poorten.
Het verkeer van de gastheer wordt verzonden op geïsoleerde en gemeenschap VLANs, terwijl het server en routerverkeer op het primaire VLAN wordt verzonden.
Om het privé VLAN te configureren met behulp van het web-based hulpprogramma van de switch, klik hier.
Private VLAN-instellingen op de Switch configureren via de CLI
Een Private Primair VLAN maken
Stap 1. Meld u aan bij de switch-console. De standaardwaarden voor gebruikersnaam en wachtwoord zijn cisco/cisco. Als u een nieuwe gebruikersnaam of wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.
Afhankelijk van het exacte model van de switch kunnen de opdrachten variëren.
Stap 2. Voer in de modus Geprivigeerde EXEC van de switch de modus Global Configuration in door het volgende in te voeren:
CBS350#configure
Stap 3. Voer in de modus Global Configuration de context Interface Configuration in door het volgende in te voeren:
CBS350(config)#interface [vlan-id]
- VLAN-id - Specificeert de VLAN-id die u wilt configureren.
Stap 4. In de context van de Configuratie van de Interface, configureer de interface van VLAN als het primaire privé VLAN door het volgende in te voeren:
CBS350(config-if)#private-vlan primary
Standaard zijn er geen particuliere VLAN’s ingesteld op de switch.
Belangrijk: Zorg ervoor dat u de volgende richtlijnen vergeet bij het configureren van een privé VLAN:
- Het VLAN-type kan niet worden gewijzigd als er een privé-VLAN-poort is die een lid in het VLAN is.
- Het VLAN-type kan niet worden gewijzigd als het aan andere privé-VLAN’s is gekoppeld.
- Het VLAN-type wordt niet als eigenschap van het VLAN gehouden wanneer het VLAN wordt verwijderd.
Stap 5. (Optioneel) Om het VLAN aan zijn normale VLAN-configuratie terug te geven, voert u het volgende in:
CBS350(config-if)#no private-vlan
Stap 6. (Optioneel) Ga naar de Geprivigeerde EXEC-modus van de switch om het volgende te bereiken:
CBS350(config-if)#end
Stap 7. (Optioneel) In de bevoorrechte EXEC-modus van de switch, slaat u de geconfigureerde instellingen op in het opstartconfiguratiebestand, door het volgende in te voeren:
CBS350#copy running-config startup-config
Stap 8. (Optioneel) Druk op Y for Yes of N for No op uw toetsenbord zodra het Overschrijvingsbestand [opstartconfiguratie]... prompt verschijnt.
U hebt nu met succes het primaire VLAN op uw switch door de CLI gecreëerd.
Een secundair VLAN maken
Stap 1. Voer in de modus Geprivigeerde EXEC van de switch de modus Global Configuration in door het volgende in te voeren:
CBS350#configure
Stap 2. Voer in de modus Global Configuration de context Interface Configuration in door het volgende in te voeren:
CBS350(config)#interface [vlan-id]
Stap 3. In de context van de Configuratie van de Interface, configureer de interface van VLAN als het secundaire privé VLAN door het volgende in te voeren:
CBS350(config-if)#private-vlan [community | isolated]
De opties zijn:
- community - Wijs het VLAN als een communautair VLAN aan.
- geïsoleerd - wijs het VLAN als een geïsoleerd VLAN aan.
Stap 4. (Optioneel) Herhaal stap 2 en 3 om extra secundair VLAN voor uw privé VLAN te configureren.
Stap 5. (Optioneel) Om het VLAN aan zijn normale VLAN-configuratie terug te geven, voert u het volgende in:
CBS350(config-if)#no private-vlan
Stap 6. (Optioneel) Ga naar de Geprivigeerde EXEC-modus van de switch om het volgende te bereiken:
CBS350(config-if)#end
U hebt nu met succes secundaire VLAN’s op uw switch gemaakt via de CLI.
Koppel het secundaire VLAN aan het Primaire Private VLAN
Stap 1. Voer in de modus Geprivigeerde EXEC van de switch de modus Global Configuration in door het volgende in te voeren:
CBS350#configure
Stap 2. Voer de context van de VLAN-interfaceconfiguratie van het primaire VLAN in door het volgende in te voeren:
CBS350(config)#vlan [primary-vlan-id]
Stap 3. Om de associatie tussen het primaire VLAN en secundaire VLAN’s te configureren voert u het volgende in:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
De opties zijn:
- voeg secundair-VLAN-lijst toe - Lijst van VLAN IDs van type secundair om aan een primair VLAN toe te voegen. Scheid niet-opeenvolgende VLAN-id’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van id’s aan te geven. Dit is de standaardactie.
- verwijder secundair-VLAN-lijst - Lijst van VLAN IDs van type secundair om associatie uit een primair VLAN te verwijderen. Scheid niet-opeenvolgende VLAN-id’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van id’s aan te geven.
Stap 4. Ga als volgt terug naar de Geprivigeerde EXEC-modus van de switch:
CBS350(config-if)#end
U hebt nu met succes de secundaire VLAN's aan het primaire privé VLAN op uw switch door de CLI verbonden.
Poorten instellen op het Primaire en Secundaire Private VLAN’s
Stap 1. Voer in de modus Geprivigeerde EXEC van de switch de modus Global Configuration in door het volgende in te voeren:
CBS350#configure
Stap 2. Voer in de modus Global Configuration de context Interface Configuration in door het volgende in te voeren:
CBS350(config)#interface [interface-id | range vlan vlan-range]
De opties zijn:
- interface-id – geeft de te configureren interface-id aan.
- range vlan vlan-bereik – geeft een lijst met VLAN’s aan. Scheid niet-opeenvolgende VLAN’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van VLAN’s aan te geven.
Stap 3. In de context van de Interface Configuration, gebruikt u de opdracht switchingmodus om de VLAN-lidmaatschapsmodus te configureren.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous - Specificeert een privéVLAN-veelbelovende poort. Als deze optie gebruikt wordt, slaat u over naar Stap 5.
- host - specificeert een particuliere VLAN-host-poort. Als deze optie gebruikt wordt, slaat u over naar Stap 6.
Stap 4. (Optioneel) Om de poort of het bereik van poorten op de standaardconfiguratie terug te geven, voert u het volgende in:
CBS350(config-if-range)#no switchport mode
Stap 5. Om de associatie van een veelbelovende poort met primaire en secundaire VLAN’s van het particuliere VLAN te configureren specificeert u het volgende:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
De opties zijn:
- primair-VLAN-id - Specificeert de VLAN-id van het primaire VLAN.
- secondair-VLAN-id - Specificeert de VLAN-ID van het secundaire VLAN.
Stap 6. Om de associatie van een host-poort met primaire en secundaire VLAN’s van het particuliere VLAN te configureren voert u het volgende in:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
De opties zijn:
- primair-VLAN-id - Specificeert de VLAN-id van het primaire VLAN.
- secondair-VLAN-id - Specificeert de VLAN-ID van het secundaire VLAN.
Stap 7. Voer de volgende handelingen uit om de interfaceconfiguratie te sluiten:
CBS350(config-if-range)#exit
Stap 8. (Optioneel) Herhaal stap 2 tot en met 7 om veelbelovender poorten en host-poorten te configureren en aan de corresponderende primaire en secundaire privé-VLAN’s toe te wijzen.
Stap 9. Voer de opdracht end in om terug te gaan naar de modus Privileged EXEC:
CBS350(config-if)#end
Stap 10. (Optioneel) Voer het volgende in om de geconfigureerde privé-VLAN’s op uw switch te controleren:
CBS350#show vlan private-vlan tag[vlan-id]
Stap 1. (Optioneel) In de bevoorrechte EXEC-modus van de switch, slaat u de geconfigureerde instellingen op in het opstartconfiguratiebestand, door het volgende in te voeren:
CBS350#copy running-config startup-config
Stap 12. (Optioneel) Druk op Y for Yes of N for No op uw toetsenbord zodra het Overschrijvingsbestand [startup-fig]... prompt verschijnt.
U hebt nu met succes de associatie van host- en veelbelovende poorten met primaire en secundaire privé VLAN’s op uw switch via de CLI geconfigureerd.
Op zoek naar meer informatie over VLAN’s voor uw Cisco Business-Switches? Bekijk de volgende links voor meer informatie.
Feedback