Doel
Dit artikel bevat informatie over het configureren van privé VLAN-instellingen op een Cisco Business 350 Series switch.
Toepasselijke apparaten | Softwareversie
Inleiding
Met een Virtual Local Area Network (VLAN) kunt u een Local Area Network (LAN) logisch segmenteren in verschillende broadcastdomeinen. In scenario’s waarbij gevoelige gegevens via een netwerk kunnen worden doorgegeven, kunnen VLAN’s worden opgezet om data beter te beveiligen door een broadcast aan een specifiek VLAN toe te wijzen. Alleen gebruikers die tot een VLAN behoren kunnen de data op dat VLAN benaderen en bewerken. VLAN’s kunnen ook worden gebruikt om prestaties te verbeteren door de behoefte te verminderen om broadcast en multicast pakketten naar onnodige bestemmingen te verzenden.
Private VLAN biedt Layer 2-isolatie tussen poorten. Dit betekent dat op het niveau van overbruggingsverkeer, in tegenstelling tot IP-routing, poorten die hetzelfde uitzendingsdomein delen niet met elkaar kunnen communiceren. De poorten in een privaat VLAN kunnen zich overal in het Layer 2-netwerk bevinden, wat betekent dat ze niet op dezelfde switch hoeven te staan. Private VLAN is ontworpen om verkeer zonder tags of prioriteitskabels te ontvangen en verkeer zonder tags te verzenden.
De volgende typen poorten kunnen lid zijn van een privaat VLAN:
- Promiscuous - Een promiscuous port kan communiceren met alle poorten van hetzelfde private VLAN. Deze poorten verbinden servers en routers.
- Community (host) - Community-poorten kunnen een groep poorten definiëren die lid zijn van hetzelfde Layer 2-domein. Zij zijn geïsoleerd bij Layer 2 van andere gemeenschappen en van geïsoleerde havens. Deze poorten verbinden hostpoorten.
- Geïsoleerd (host) - Een geïsoleerde poort heeft een volledige Layer 2-isolatie van de andere geïsoleerde en lokale poorten binnen hetzelfde particuliere VLAN. Deze poorten verbinden hostpoorten.
Het verkeer van de gastheer wordt verzonden op geïsoleerde en communautaire VLANs, terwijl server en routerverkeer op primair VLAN wordt verzonden.
Private VLAN-instellingen op een Switch configureren
Belangrijk: Alvorens met de hieronder stappen verder te gaan, zorg ervoor dat VLAN’s op de switch zijn geconfigureerd. Als u wilt weten hoe u VLAN-instellingen moet configureren op uw switch, klikt u hier voor instructies.
Stap 1. Meld u aan bij het webgebaseerde hulpprogramma en kies Geavanceerd in de vervolgkeuzelijst Weergavemodus.
Stap 2. Kies VLAN-beheer > Private VLAN-instellingen.
Stap 3. Klik op de knop Add.
Stap 4. Kies in de vervolgkeuzelijst Primaire VLAN-id een VLAN dat moet worden gedefinieerd als primair VLAN in het privé-VLAN. Het primaire VLAN wordt gebruikt om Layer 2-connectiviteit mogelijk te maken van promiscuous poorten naar geïsoleerde poorten en naar communitypoorten.
Opmerking: In dit voorbeeld is VLAN-id 10 gekozen.
Stap 5. Kies een VLAN-id in de vervolgkeuzelijst Geïsoleerde VLAN-id. Een geïsoleerd VLAN wordt gebruikt om geïsoleerde poorten toe te staan om verkeer naar het primaire VLAN te verzenden.
Opmerking: In dit voorbeeld is VLAN-id 20 gekozen.
Stap 6. Kies een VLAN-id in het gebied Beschikbare Community VLAN’s en klik vervolgens op de >knop om de VLAN’s die u communautaire VLAN’s wilt zijn, te verplaatsen naar de lijst Geselecteerde Community VLAN’s.
Opmerking: Om een subgroep van poorten (community) binnen een VLAN te maken, moeten de poorten worden toegevoegd aan een community-VLAN. De community VLAN wordt gebruikt om Layer 2-connectiviteit mogelijk te maken van communitypoorten naar promiscuous ports en naar communitypoorten van dezelfde community. Er kan één community-VLAN zijn voor elke gemeenschap en meerdere community-VLAN’s kunnen naast elkaar bestaan in het systeem voor hetzelfde private VLAN.
Opmerking: In dit voorbeeld is VLAN-id 30 gekozen.
Stap 7. Klik op Toepassen en vervolgens op Sluiten.
Stap 8. (Optioneel) Klik op Opslaan om de instellingen in het opstartconfiguratiebestand op te slaan.
U hebt nu de instellingen van het privé-VLAN op uw Cisco Business 350 Series switch geconfigureerd.
Bent u op zoek naar meer informatie over VLAN’s voor uw Cisco Business Switches? Bekijk de volgende links voor meer informatie.
Artikel Skeleton w/ Content
Doel
Dit artikel bevat informatie over het configureren van privé VLAN-instellingen op een Cisco Business 350 Series switch.
Private VLAN biedt Layer 2-isolatie tussen poorten. Dit betekent dat op het niveau van overbruggingsverkeer, in tegenstelling tot IP-routing, poorten die hetzelfde uitzendingsdomein delen niet met elkaar kunnen communiceren. De poorten in een privaat VLAN kunnen zich overal in het Layer 2-netwerk bevinden, wat betekent dat ze niet op dezelfde switch hoeven te staan. Private VLAN is ontworpen om verkeer zonder tags of prioriteitskabels te ontvangen en verkeer zonder tags te verzenden.
Toepasselijke apparaten | Softwareversie
Inleiding
Met een Virtual Local Area Network (VLAN) kunt u een Local Area Network (LAN) logisch segmenteren in verschillende broadcastdomeinen. In scenario’s waarbij gevoelige gegevens via een netwerk kunnen worden doorgegeven, kunnen VLAN’s worden opgezet om data beter te beveiligen door een broadcast aan een specifiek VLAN toe te wijzen. Alleen gebruikers die tot een VLAN behoren kunnen de data op dat VLAN benaderen en bewerken. VLAN’s kunnen ook worden gebruikt om prestaties te verbeteren door de behoefte te verminderen om broadcast en multicast pakketten naar onnodige bestemmingen te verzenden.
Opmerking: Klik hier voor meer informatie over de manier waarop u de VLAN-instellingen op de switch kunt configureren met het webgebaseerde hulpprogramma. Klik hier voor instructies met de opdrachtregel.
Een Private VLAN-domein bestaat uit een of meer paren VLAN’s. Primair VLAN maakt omhoog het domein; en elk VLAN-paar vormt een subdomein. VLAN’s in een paar worden het primaire VLAN en het secundaire VLAN genoemd. Alle VLAN-paren binnen een privaat VLAN hebben hetzelfde primaire VLAN. De secundaire VLAN-id is wat het ene subdomein van het andere onderscheidt.
Een privaat VLAN-domein heeft slechts één primair VLAN. Elke poort in een privaat VLAN-domein is een lid van het primaire VLAN. het primaire VLAN is het gehele private VLAN-domein.
Secundaire VLAN’s zorgen voor isolatie tussen poorten binnen hetzelfde private VLAN-domein. De volgende twee typen zijn secundaire VLAN’s binnen een primair VLAN:
- Geïsoleerde VLAN’s - poorten binnen een geïsoleerd VLAN kunnen niet rechtstreeks met elkaar communiceren op Layer 2-niveau.
- Community VLAN’s - poorten binnen een community-VLAN kunnen met elkaar communiceren maar kunnen niet communiceren met poorten in andere community-VLAN’s of in geïsoleerde VLAN’s op Layer 2-niveau.
Binnen een privé-VLAN-domein zijn er drie afzonderlijke poortaanwijzingen. Elke poortaanduiding heeft zijn eigen unieke set van regels die de mogelijkheid van één eindpunt regelen om te communiceren met andere verbonden eindpunten binnen hetzelfde private VLAN-domein. De drie havenbenamingen zijn:
- Promiscuous - Een promiscuous port kan communiceren met alle poorten van hetzelfde private VLAN. Deze poorten verbinden servers en routers.
- Community (host) - Community-poorten kunnen een groep poorten definiëren die lid zijn van hetzelfde Layer 2-domein. Zij zijn geïsoleerd bij Layer 2 van andere gemeenschappen en van geïsoleerde havens. Deze poorten verbinden hostpoorten.
- Geïsoleerd (host) - Een geïsoleerde poort heeft een volledige Layer 2-isolatie van de andere geïsoleerde en lokale poorten binnen hetzelfde particuliere VLAN. Deze poorten verbinden hostpoorten.
Het verkeer van de gastheer wordt verzonden op geïsoleerde en communautaire VLANs, terwijl server en routerverkeer op primair VLAN wordt verzonden.
Klik hier om het privé VLAN te configureren met behulp van het webgebaseerde hulpprogramma van de switch .
Private VLAN-instellingen op de Switch configureren via de CLI
Een privaat primair VLAN maken
Stap 1. Meld u aan bij de switch-console. De standaardwaarden voor gebruikersnaam en wachtwoord zijn cisco/cisco. Als u een nieuwe gebruikersnaam of wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.
Afhankelijk van het exacte model van de switch kunnen de opdrachten variëren.
Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:
CBS350#configure
Stap 3. Voer in de modus Globale configuratie de context van de interfaceconfiguratie in door het volgende in te voeren:
CBS350(config)#interface [vlan-id]
- VLAN-id - Specificeert de te configureren VLAN-id.
Stap 4. In de context van de interfaceconfiguratie, vorm de interface van VLAN als primair privé VLAN door het volgende in te gaan:
CBS350(config-if)#private-vlan primary
Standaard zijn er geen privé VLAN’s geconfigureerd op de switch.
Belangrijk: Zorg ervoor dat u de volgende richtlijnen onthoudt bij het configureren van een privaat VLAN:
- Het VLAN-type kan niet worden gewijzigd als er een private VLAN-poort is die lid is van het VLAN.
- Het VLAN-type kan niet worden gewijzigd als het is gekoppeld aan andere privé-VLAN’s.
- Het VLAN-type wordt niet bewaard als een eigenschap van het VLAN wanneer het VLAN wordt verwijderd.
Stap 5. (Optioneel) Als u het VLAN wilt terugbrengen naar de normale VLAN-configuratie, voert u het volgende in:
CBS350(config-if)#no private-vlan
Stap 6. (Optioneel) Voer het volgende in om terug te gaan naar de geprivilegieerde EXEC-modus van de switch:
CBS350(config-if)#end
Stap 7. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:
CBS350#copy running-config startup-config
Stap 8. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.
U hebt nu met succes het primaire VLAN op uw switch via de CLI gemaakt.
Een secundair VLAN maken
Stap 1. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:
CBS350#configure
Stap 2. Voer in de modus Globale configuratie de context van de interfaceconfiguratie in door het volgende in te voeren:
CBS350(config)#interface [vlan-id]
Stap 3. In de context van de interfaceconfiguratie, vorm de interface van VLAN als secundair privé VLAN door het volgende in te gaan:
CBS350(config-if)#private-vlan [community | isolated]
De opties zijn:
- community - Wijs VLAN toe als een community-VLAN.
- geïsoleerd - wijs VLAN als geïsoleerd VLAN aan.
Stap 4. (Optioneel) Herhaal stap 2 en 3 om extra secundair VLAN te configureren voor uw privaat VLAN.
Stap 5. (Optioneel) Als u het VLAN wilt terugbrengen naar de normale VLAN-configuratie, voert u het volgende in:
CBS350(config-if)#no private-vlan
Stap 6. (Optioneel) Voer het volgende in om terug te gaan naar de geprivilegieerde EXEC-modus van de switch:
CBS350(config-if)#end
U hebt nu met succes secundaire VLAN’s op uw switch gemaakt via de CLI.
Koppel het secundaire VLAN aan het primaire privé-VLAN
Stap 1. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:
CBS350#configure
Stap 2. Voer de context voor de VLAN-interfaceconfiguratie van het primaire VLAN in door het volgende in te voeren:
CBS350(config)#vlan [primary-vlan-id]
Stap 3. Voer de volgende gegevens in om de koppeling tussen het primaire VLAN en secundaire VLAN’s te configureren:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
De opties zijn:
- voeg secundaire VLAN-lijst toe - Lijst van VLAN-ID’s van het secundaire type om toe te voegen aan een primair VLAN. Scheid niet-opeenvolgende VLAN-id’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van id’s aan te geven. Dit is de standaardactie.
- verwijder secundair-VLAN-lijst - Lijst van VLAN-ID’s van het secundaire type om associatie uit een primair VLAN te verwijderen. Scheid niet-opeenvolgende VLAN-id’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van id’s aan te geven.
Stap 4. Voer het volgende in om terug te gaan naar de geprivilegieerde EXEC-modus van de switch:
CBS350(config-if)#end
U hebt nu met succes de secundaire VLAN’s gekoppeld aan het privaat VLAN op uw switch via de CLI.
Poorten configureren voor de primaire en secundaire Private VLAN’s
Stap 1. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:
CBS350#configure
Stap 2. Voer in de modus Globale configuratie de context van de interfaceconfiguratie in door het volgende in te voeren:
CBS350(config)#interface [interface-id | range vlan vlan-range]
De opties zijn:
- interface-id – geeft de te configureren interface-id aan.
- range vlan vlan-bereik – geeft een lijst met VLAN’s aan. Scheid niet-opeenvolgende VLAN’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van VLAN’s aan te geven.
Stap 3. Gebruik in de context van de interfaceconfiguratie de opdracht switchport mode om de VLAN-lidmaatschapsmodus te configureren.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous - Specificeert een private VLAN-promiscuous poort. Als deze optie wordt gebruikt, gaat u naar stap 5.
- host - Specificeert een privaat VLAN-hostpoort. Als deze optie wordt gebruikt, gaat u naar stap 6.
Stap 4. (Optioneel) Voer het volgende in om de poort of het bereik van poorten terug te brengen naar de standaardconfiguratie:
CBS350(config-if-range)#no switchport mode
Stap 5. Voer het volgende in om de associatie van een promiscueuze poort met primaire en secundaire VLAN’s van het particuliere VLAN te configureren:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
De opties zijn:
- Primair-VLAN-id - Specificeert de VLAN-id van het primaire VLAN.
- secundair-VLAN-id - Specificeert de VLAN-id van het secundaire VLAN.
Stap 6. Voer het volgende in om de koppeling van een hostpoort met primaire en secundaire VLAN’s van het particuliere VLAN te configureren:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
De opties zijn:
- Primair-VLAN-id - Specificeert de VLAN-id van het primaire VLAN.
- secundair-VLAN-id - Specificeert de VLAN-id van het secundaire VLAN.
Stap 7. Voer het volgende in om de context van de interfaceconfiguratie te verlaten:
CBS350(config-if-range)#exit
Stap 8. (Optioneel) Herhaal stap 2 tot en met 7 om meer promiscuous- en hostpoorten te configureren en aan de corresponderende primaire en secundaire private VLAN’s toe te wijzen.
Stap 9. Voer de opdracht end in om terug te gaan naar de modus Privileged EXEC:
CBS350(config-if)#end
Stap 10. (Optioneel) Voer het volgende in om de geconfigureerde privé-VLAN’s op uw switch te verifiëren:
CBS350#show vlan private-vlan tag[vlan-id]
Stap 11. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:
CBS350#copy running-config startup-config
Stap 12. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.
U hebt nu met succes de koppeling van host- en promiscuous ports met de eerste en tweede private VLAN’s op uw switch via de CLI geconfigureerd.
Bent u op zoek naar meer informatie over VLAN’s voor uw Cisco Business Switches? Bekijk de volgende links voor meer informatie.