内网数据层面安全-思科私有虚拟本地局域网（Pvlan）理论实验解析

 

VLAN（Virtual Local Area Network，虚拟本地局域网），VLAN是交换机上面的一种功能，这种技术可以把我们的网络划分成多个小型的局域网。有人可能思考，为什么要划分成多个小型的局域网呢？

原因一：限制内网中的广播流量，比如ARP请求、DHCP请求等

原因二：限制那些基于局域网传输的病毒或者攻击范围，比如ARP攻击、熊猫烧香、想哭病毒等

原因三：方便网络管理员对网管进行规划和管理

结合视频观看  效果更佳！

VLAN的特点是：

1.相同 VLAN内的用户可以正常通信

2.不同VLAN内的用户无法直接通过二层通信，需要借助于三层设备，但是三层设备可以做过滤

假设某公司需求：

一个VLAN内的用户之间无法直接访问，但是这个VLAN内的用户都可以正常访问打印机、可以正常访问服务器、可以正常通过网关上Internet。

那么这个时候思科私有技术Pvlan就可以解决这个问题。

PVLAN理论：

Pvlans可以允许一个VLAN内的粗狂的访问控制来限制连接。粗狂的意思是要么通，要么不通，无法实现某个主机到某个主机的某个端口不通，但是其他端口可以正常通。抱歉要实现这个需求需要用到交换机上面的另外一种技术，叫VACL。今天我说的是PVLAN技术，因此叫粗狂。

 

通过上图可以看出，PVLAN会把VLAN分为两类：

第一种类型：主VLAN，原本所有设备所属的VLAN叫主VLAN。

第二种类型：次要VLAN，次要VLAN是属于主VLAN的。

次要VLAN又分为两种：

第一种：隔离VLAN（Isolated VLAN）

第二种：团体VLAN（Community VLAN）

既然有VLAN，就要有端口，并且需要把端口划分进VLAN，在PVLAN里面，端口有两种类型：

第一种：混杂端口（Promiscuous Port），主VLAN所属端口。一般连接服务器、打印机、网关等端口

第二种：主机端口（Host Port），次要VLAN所属端口，也就是连接客户机的端口。

不同VLAN之间如何实现隔离和访问，三条原则：

原则一：混杂端口可以和任何类型的端口通信

原则二：隔离VLAN的端口只能和混杂VLAN的端口通信

原则三：团体VLAN端口可以和相同的团体VLAN内的端口互通，并且可以和混杂端口通信

 

实验拓扑图如下（三步走）：

 

第一步，交换机修改为VTP透明模式：

vtp mo transparent

第二步，创建主VLAN和次要VLAN：

vlan 10 //创建vlan 10

private-vlan primary //设置为主vlan

private-vlan association 501-502 //关联辅助vlan501和502

vlan 501 //创建vlan501

private-vlan community //设置为辅助vlan，团体vlan

vlan 502 //创建vlan502

private-vlan isolated //设置为辅助vlan，隔离vlan

第三步，端口划分进VLAN：

interface Ethernet0/0

switchport private-vlan mapping 10 501-502

//端口属于主vlan10，关联了501和502

switchport mode private-vlan promiscuous //设置为混杂端口

interface Ethernet0/1

switchport private-vlan host-association 10 501

//端口属于主vlan10，辅助vlan501

switchport mode private-vlan host //设置为主机端口

interface Ethernet1/1

switchport trunk encapsulation dot1q

switchport mode trunk

实验完毕，验证结果如下：

①VPC4589之间互通

②其他VPC之间都不通

③左右VPC都可以和网关通讯

扫码+小助教微信  获取更多学习资料哟~