اموزش و ویدو کامل PVLAN یا Private vlan در سیسکو

cisco

اموزش و ویدو کامل PVLAN یا Private vlan در سیسکو

: ابوالفضل رضی پور; cisco; 15 تیر 1396; امتیاز:

( 2 امتیاز )

امتیاز کاربران

از کاربرد های PVLAN در Data Center ها و شبکه های Hosting است … سرور های متعددی را اجاره میدهند که سرورها تنها باید به روتر و Gateway يا Firewall شبکه دسترسی داشته باشند و در عین حال لازم نیست به هر سرور یک IP Subnet جداگانه اختصاص دهیم و Routing برقرار کنیم یا VLAN های متعدد را به Firewall و Gateway شبکه Trunk کنیم بلکه در لایه دو دستگاه ها را از هم جدا میکنیم.

لطفا کمی صبر کنید تا پلاگین ویدئو باز شود

PVLAN یا Private vlan

در برخی از مواقع جداسازی پایگاه‌های داده و یا سرورهای اصلی سازمان یک ضرورت است و این کار با روش‌های مختلفی قابل انجام است. یکی از این روش‌ها استفاده از تکنیک Private VLAN است. شرکت سیسکو تکنیک Private Vlan یا همان VLANهای خصوصی را روشی برای ایزوله سازی یا تفکیک پورت‌های یکسان موجود در یک محدوده Broadcast همسان می‌داند. تکنیک Private Vlan دارای انواع متفاوتی است.

استفاده از تکنیک Private VLAN در سوئیچ‌های توزیع شده مجازی کاملا پشتیبانی می‌شود. شما می‌توانید یک VLAN خصوصی از نوع Primary در سوئیچ توزیع شده مجازی تعریف نماید که همزمان امکان استفاده از آن در سوئیچ‌های واقعی شبکه نیز وجود داشته باشد. با این کار ترافیک ورودی به سوئیچ واقعی که از آن VLAN خاص استفاده می‌کند، به سوئیچ توزیع شده مجازی متصل خواهد شد و پس از آن بایستی یک VLAN خصوصی از نوع Secondary تعریف کنید تا بتوانید ترافیک شبکه را هر چه بیشتر تفکیک نماید. با انجام این مراحل با رسیدن ترافیک به میزبان ESXi سوئیچ توزیع شده مجازی با استفاده از VLANهای خصوصی Secondary که در ذیل به سه حالت‌ آن اشاره خواهیم کرد به جداسازی مجدد ترافیک دریافتی اقدام می‌کند.

حالت‌ Promiscuous (بی قاعده) در این شرایط این پورت قادر به برقراری ارتباط با تمامی کانال‌های ارتباطی از جمله پورت‌های Isolated و پورت‌های Community در داخل یک VLAN خصوصی است و عموما دستگاه‌ها و یا سرویس‌هایی را که تمامی ماشین‌های مجازی یا کامپیوترهای شبکه بایستی به آن دسترسی داشته باشند در این حالت تنظیم می‌شوند.

حالت‌ Isoltaed (ایزوله شده) این پورت از تمامی پورت‌های دیگر که در VLAN خصوصی لایه 2 قرار دارند تفکیک یا ایزوله می‌شود و تنها پورت‌های Promiscuous امکان دسترسی به آن را دارند. با استفاده از این VLAN خصوصی تمامی ترافیک شبکه به پورت Isolated بسته می‌شود و تنها به درخواست‌هایی که از پورت Promiscuous ارسال شده باشد پاسخ داده خواهد شد.

حالت‌ Community (دسته‌ای) در این حالت VLANهای خصوصی دسته‌ای یا گروهی ایجاد می‌شوند یعنی گروهی از ماشین‌های مجازی که به صورت دسته ای یا Community تنظیم شده‌اند با یکدیگر ارتباط برقرار می‌کنند و امکان دسترسی آنها به ماشین‌های مجازی که از پورت‌های Promiscuous نیز استفاده می‌کنند امکان پذیر است. این روش نیز مانند سایر روش‌های ذکر شده در بالا در لایه 2 اقدام به جدا سازی ترافیک کرده و اطلاعات را از دیگر کارت‌های شبکه که بر روی یک VLAN خصوصی قرار دارند تفکیک می‌کند.

هر ماشین مجازی که در VLAN خصوصی از نوع Promiscuous قرار داشته باشد حتی قادر است تا با سایر ماشین‌های مجازی که در VLANهای خصوصی دیگر قرار دارند ارتباط داشته باشد. ماشین‌های مجازیی که در یک VLAN خصوصی از حالت‌ Community قرار دارند می‌توانند با دیگر ماشین‌هایی که در این دسته و ماشین‌های موجود در VLAN خصوصی Promiscuous قرار دارند ارتباط داشته باشد. اما ماشین‌های مجازی موجود در VLAN خصوصی Isolated قادر به برقراری ارتباط با دیگر ماشین‌های مجازی از نوع Isolated یا Community نمی‌باشند و تنها می‌توانند با ماشین‌های مجازی موجود در VLAN خصوصی Promiscuous ارتباط برقرار کنند.

و اما یک سناریو خوب در مورد PVLAN

قبل از هر کاری باید مود درر vtp را به حالت TRANSPARENT ببریم زیرا pvlan در مود گفته شده قادر به کار خواهد بود.

!switch to Transparent mode

Switch-hellodigi(config)# vtp mode transparent
Setting device to VTP TRANSPARENT mode.

!Create Isolated VLAN

Switch-hellodigi(config)# vlan 102
Switch-hellodigi(config-vlan)# private-vlan isolated

!create community vlan

Switch-hellodigi(config)# vlan 101

Switch-hellodigi(config-vlan)#private-vlan community

!Create Primary VLAN and map with secondary vlans
Switch-hellodigi(config-vlan)# vlan 100
Switch-hellodigi(config-vlan)# private-vlan primary
Switch-hellodigi(config-vlan)# private-vlan association 101 102

تا الان پیکر بندی سوییچ به شرح زیر است :

vlan 100
private-vlan primary
private-vlan association 101 102
!
vlan 101
private-vlan community

vlan 102
private-vlan isolated

در این مرحله پورت promiscuous را ایجاد کرده و با سایر vlan ها map می کنیم

Switch-hellodigi(config)# interface ge0/1
Switch-hellodigi(config-if)# switchport mode private-vlan promiscuous
Switch-hellodigi(config-if)# switchport private-vlan mapping 100 101 102

! association of Ge0/2 and Ge0/3 ports with Primary and Secondary VLANS. According to our scenario Ge0/2 and Ge0/3 should be in community Vlan.

Switch-hellodigi(config)# interface range ge0/2-ge0/3
Switch-hellodigi(config-if)# switchport mode private-vlan host
Switch-hellodigi(config-if)# switchport private-vlan host-association 100 101

! association Ge0/4 and Ge0/5 ports with Primary and Secondary VLANS. According to our !scenario Ge0/4 and Ge0/ should be in Isolated Vlan.

Switch-hellodigi(config)# interface range ge0/4-ge0/5
Switch-hellodigi(config-if)# switchport mode private-vlan host
Switch-hellodigi(config-if)# switchport private-vlan host-association 100 102

Configuration is completed now so let’s see how the output looks like.

Switch-hellodigi# show interface status

Port      Name               Status       Vlan       Duplex Speed Type
Gi0/1                        connected    100        a-full a-100 10/100BaseTX
Gi0/2                        connected    100,101 a-full a-100 10/100/0BaseTX
Gi0/3                        connected    100,101 a-full a-100 10/100BaseTX
Gi0/4                        connected    100,102 a-full a-100 10/100BaseTX
Gi0/5                        connected    100,102 a-full a-100 10/100BaseTX