目标
本文提供了有关如何在Cisco Business 350系列交换机上配置专用VLAN设置的说明。
适用设备 | 软件版本
- CBS350(产品手册) | 3.0.0.69(下载最新版本)
- CBS350-2X(产品手册) | 3.0.0.69(下载最新版本)
- CBS350-4X(产品手册) | 3.0.0.69(下载最新版本)
简介
利用虚拟局域网 (VLAN),您可以将局域网 (LAN) 逻辑划分为不同的广播域。在敏感数据可能会在网络中广播的情况下,可以创建 VLAN 以通过指定广播到特定 VLAN 来增强安全性。只有属于某个 VLAN 的用户才能访问和操作该 VLAN 中的数据。利用 VLAN,还可在一定程度上免于将广播和组播发送到不必要的目标,从而提高性能。
专用VLAN在端口之间提供第2层隔离。这意味着在桥接流量级别,与IP路由不同,共享同一广播域的端口不能相互通信。专用VLAN中的端口可以位于第2层网络中的任何位置,这意味着它们不必位于同一台交换机上。专用VLAN旨在接收未标记或优先级标记的流量并传输未标记流量。
以下类型的端口可以成为专用VLAN的成员:
- 混杂 — 混杂端口可以与同一专用VLAN的所有端口通信。这些端口连接服务器和路由器。
- 社区(主机) — 社区端口可以定义属于同一第2层域的一组端口。它们在第2层与其他社区和隔离端口隔离。这些端口连接主机端口。
- 隔离(主机) — 隔离端口与同一专用VLAN中的其他隔离和社区端口具有完全的第2层隔离。这些端口连接主机端口。
主机流量在隔离和社区VLAN上发送,而服务器和路由器流量在主VLAN上发送。
在交换机上配置专用VLAN设置
重要信息:在继续执行以下步骤之前,请确保已在交换机上配置VLAN。若要了解如何配置交换机上的VLAN设置,请单击此处获取说明。
步骤1.登录到基于Web的实用程序,并从Display Mode下拉列表中选择Advanced。
步骤2.选择VLAN Management >Private VLAN Settings。
步骤3.单击Add按钮。
步骤4.在Primary VLAN ID下拉列表中,选择要定义为专用VLAN中的主要VLAN的VLAN。主要VLAN用于允许从混杂端口到隔离端口和团体端口的第2层连接。
注意:在本例中,选择VLAN ID 10。
步骤5.从Isolated VLAN ID下拉列表中选择VLAN ID。隔离VLAN用于允许隔离端口向主VLAN发送流量。
注意:在本例中,选择VLAN ID 20。
步骤6.从Available Community VLANs区域选择VLAN ID,然后点击>按钮,将您要成为社区VLAN的VLAN移至Selected Community VLANs列表。
注意:要在VLAN中创建端口子组(社区),必须将端口添加为社区VLAN。社区VLAN用于启用从社区端口到混杂端口以及到同一社区的社区端口的第2层连接。每个团体可以有一个团体VLAN,并且多个团体VLAN可以在系统中共存于同一个专用VLAN中。
注意:在本例中,选择VLAN ID 30。
步骤7.单击Apply,然后单击Close。
步骤8.(可选)单击Save将设置保存到启动配置文件中。
现在,您已在Cisco Business 350系列交换机上配置专用VLAN设置。
想了解有关Cisco业务交换机的VLAN的更多信息?有关详细信息,请访问以下任何链接。
包含内容的文章框架
目标
本文提供了有关如何在Cisco Business 350系列交换机上配置专用VLAN设置的说明。
专用VLAN在端口之间提供第2层隔离。这意味着在桥接流量级别,与IP路由不同,共享同一广播域的端口不能相互通信。专用VLAN中的端口可以位于第2层网络中的任何位置,这意味着它们不必位于同一台交换机上。专用VLAN旨在接收未标记或优先级标记的流量并传输未标记流量。
适用设备 | 软件版本
- CBS350(产品手册) | 3.0.0.69(下载最新版本)
- CBS350-2X(产品手册) | 3.0.0.69(下载最新版本)
- CBS350-4X(产品手册) | 3.0.0.69(下载最新版本)
简介
利用虚拟局域网 (VLAN),您可以将局域网 (LAN) 逻辑划分为不同的广播域。在敏感数据可能会在网络中广播的情况下,可以创建 VLAN 以通过指定广播到特定 VLAN 来增强安全性。只有属于某个 VLAN 的用户才能访问和操作该 VLAN 中的数据。利用 VLAN,还可在一定程度上免于将广播和组播发送到不必要的目标,从而提高性能。
注意:要了解如何通过基于 Web 的实用程序配置交换机的 VLAN 设置,请点击此处。有关基于 CLI 的说明,请点击此处。
专用VLAN域包含一对或多对VLAN。主要VLAN组成域;每个VLAN对组成一个子域。成对中的VLAN称为主要VLAN和辅助VLAN。专用VLAN内的所有VLAN对具有相同的主VLAN。辅助VLAN ID是将一个子域与另一个子域区分开来。
专用VLAN域只有一个主要VLAN。专用VLAN域中的每个端口都是主要VLAN的成员;主要VLAN是整个专用VLAN域。
辅助VLAN在同一专用VLAN域内的端口之间提供隔离。以下两种类型是主要VLAN中的辅助VLAN:
- 隔离VLAN — 隔离VLAN中的端口在第2层不能直接相互通信。
- 社区VLAN — 社区VLAN中的端口可以相互通信,但不能与其他社区VLAN或任何隔离VLAN中的第2层端口通信。
在专用VLAN域中,有三个独立的端口标识。每个端口指定都有自己的唯一规则集,用于规范一个终端与同一专用VLAN域内其他相连终端进行通信的能力。以下是三个端口标识:
- 混杂 — 混杂端口可以与同一专用VLAN的所有端口通信。这些端口连接服务器和路由器。
- 社区(主机) — 社区端口可以定义属于同一第2层域的一组端口。它们在第2层与其他社区和隔离端口隔离。这些端口连接主机端口。
- 隔离(主机) — 隔离端口与同一专用VLAN中的其他隔离和社区端口具有完全的第2层隔离。这些端口连接主机端口。
主机流量在隔离和社区VLAN上发送,而服务器和路由器流量在主VLAN上发送。
要使用交换机的基于Web的实用程序配置专用VLAN,请单击此处。
通过CLI配置交换机上的专用VLAN设置
创建专用主要VLAN
步骤 1: 登录到交换机控制台。默认用户名和密码为 cisco/cisco。如果已配置新的用户名或密码,请输入相应凭证。
步骤 2: 在交换机的特权 EXEC 模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤 3: 在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [vlan-id]
步骤4.在接口配置情景中,输入以下命令,将VLAN接口配置为主专用VLAN:
CBS350(config-if)#private-vlan primary
重要信息:请务必记住配置专用VLAN的以下指导原则:
- 如果VLAN中有属于成员的专用VLAN端口,则无法更改VLAN类型。
- 如果VLAN类型与其他专用VLAN关联,则无法更改VLAN类型。
- 删除VLAN时,VLAN类型不会保留为VLAN的属性。
步骤5.(可选)要将VLAN恢复为正常的VLAN配置,请输入以下命令:
CBS350(config-if)#no private-vlan
步骤6.(可选)要返回交换机的特权EXEC模式,请输入以下命令:
CBS350(config-if)#end
步骤 7: (可选)在交换机的特权 EXEC 模式下,输入以下命令,将已配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
步骤 8: (可选)出现 Overwrite file [startup-config]… 提示后,按键盘上的 Y(表示“是”)或 N(表示“否”)。
现在您已通过CLI在交换机上成功创建主VLAN。
创建辅助VLAN
步骤 1: 在交换机的特权 EXEC 模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤 2: 在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [vlan-id]
步骤3.在“接口配置”上下文中,通过输入以下命令将VLAN接口配置为辅助专用VLAN:
CBS350(config-if)#private-vlan [community | isolated]
选项有:
- community — 将VLAN指定为社区VLAN。
- 隔离 — 将VLAN指定为隔离VLAN。
步骤4.(可选)重复步骤2和步骤3,为您的专用VLAN配置其他辅助VLAN。
步骤5.(可选)要将VLAN恢复为正常的VLAN配置,请输入以下命令:
CBS350(config-if)#no private-vlan
步骤6.(可选)要返回交换机的特权EXEC模式,请输入以下命令:
CBS350(config-if)#end
现在您已通过CLI在交换机上成功创建辅助VLAN。
将辅助VLAN关联到主专用VLAN
步骤 1: 在交换机的特权 EXEC 模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤2.输入以下内容,进入主VLAN的VLAN接口配置情景:
CBS350(config)#vlan [primary-vlan-id]
步骤3.要配置主要VLAN和辅助VLAN之间的关联,请输入以下命令:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
选项有:
- add secondary-vlan-list — 要添加到主要VLAN的辅助类型的VLAN ID列表。以逗号分隔不连续的 VLAN ID,中间不带空格。使用连字符指定 ID 的范围。这是默认操作。
- remove secondary-vlan-list — 要从主要VLAN中删除关联的辅助类型的VLAN ID列表。以逗号分隔不连续的 VLAN ID,中间不带空格。使用连字符指定 ID 的范围。
步骤4.要返回交换机的特权EXEC模式,请输入以下命令:
CBS350(config-if)#end
现在,您已通过CLI成功将辅助VLAN关联到交换机上的主专用VLAN。
配置主要和辅助专用VLAN的端口
步骤 1: 在交换机的特权 EXEC 模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤 2: 在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [interface-id | range vlan vlan-range]
选项有:
- interface-id - 指定要配置的接口 ID。
- range vlan vlan-range - 指定 VLAN 的列表。以逗号分隔不连续的 VLAN,中间不带空格。使用连字符指定 VLAN 的范围。
步骤 3: 在接口配置情景中,使用 switchport mode 命令配置 VLAN 成员模式。
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- 混杂 — 指定专用VLAN混杂端口。如果使用此选项,请跳至步骤5。
- host — 指定专用VLAN主机端口。如果使用此选项,请跳至步骤6。
步骤4.(可选)要将端口或端口范围恢复为默认配置,请输入以下命令:
CBS350(config-if-range)#no switchport mode
步骤5.要配置混杂端口与专用VLAN的主要VLAN和辅助VLAN的关联,请输入以下命令:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
选项有:
- primary-vlan-id — 指定主要VLAN的VLAN ID。
- secondary-vlan-id — 指定辅助VLAN的VLAN ID。
步骤6.要配置主机端口与专用VLAN的主要VLAN和辅助VLAN的关联,请输入以下命令:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
选项有:
- primary-vlan-id — 指定主要VLAN的VLAN ID。
- secondary-vlan-id — 指定辅助VLAN的VLAN ID。
步骤 7: 要退出接口配置情景,请输入以下命令:
CBS350(config-if-range)#exit
步骤8.(可选)重复步骤2至7,配置更多混杂端口和主机端口,并分配到相应的主专用VLAN和辅助专用VLAN。
步骤 9: 输入 end 命令返回到特权 EXEC 模式:
CBS350(config-if)#end
步骤10.(可选)要验证交换机上配置的专用VLAN,请输入以下命令:
CBS350#show vlan private-vlan tag[vlan-id]
步骤 11: (可选)在交换机的特权 EXEC 模式下,输入以下命令,将已配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
步骤 12: (可选)出现 Overwrite file [startup-config]… 提示后,按键盘上的 Y(表示“是”)或 N(表示“否”)。
现在,您已通过CLI成功配置主机和混杂端口与交换机上的主专用VLAN和辅助专用VLAN的关联。
想了解有关Cisco业务交换机的VLAN的更多信息?有关详细信息,请访问以下任何链接。
反馈