專有VLAN技術在宿舍網絡中的應用研究

2019-02-19 02:59:02□李永

產業與科技論壇 2019年3期

□李永

一、專有VLAN的關鍵技術

兩層隔離技術是PVLAN技術實施的特有技術配置部署優勢，通過配置部署該技術，實現上層VLAN部署在局域網中全局可見，而下層VLAN部署可以實現VLAN之間或VLAN內部主機之間的相互隔離。

(一)PVLAN類型。一是主VLAN：PVLAN的一級VLAN。二是隔離VLAN(isolated VLAN)：PVLAN二級VLAN,同一個PVLAN部署時只允許部署一個該類型的二級VLAN。三是團體VLAN(community VLAN)：PVLAN的二級VLAN，同一個PVLAN部署時允許部署多個該類型的二級VLAN.

(二)PVLAN接口類型。一是Isolated port：該類型接口配置時只能和promiscuous類型接口的終端用戶實施數據通信。二是community port：該類型接口之間可以進行數據通信，也可以和promiscuous類型接口的終端用戶進行數據通信，適用于同組內終端用戶的相互數據通信。三是promiscuous port：該類型接口用于上連接口，可以和PVLAN內部的所有端口上的終端用戶進行數據通信。

(三)PVLAN數據通信規則。一是primary VLAN:與之關聯的所有isolated VLAN，community VLAN內的終端用戶進行數據通信。二是community VLAN:與之處于相同community VLAN內的community port終端用戶通信，也可以與PVLAN中的promiscuous端口通信。三是isolated VLAN:不能與處于相同isolated VLAN內的其它isolated port的終端用戶進行數據通信，但可以與promiscuous端口的終端用戶進行數據通信。

(四)配置命令。

配置PVLANs。

Switch(config-vlan)#private-vlan [primary | isolated | community]

Switch(config-vlan)#private-vlan association {secondary_vlan_list| add svl | remove svl}

Switch#show vlan private-vlan type

配置PVLAN端口。

Switch(config-if)#switchport mode private-vlan {host | promiscuous}

Switch(config-if)#switchport private-vlan host-associationprimary_vlan_IDsecondary_vlan_ID}

Switch(config-if)#private-vlan mappingprimary_vlan_ID{secondary_vlan_list| add svl | remove svl}

Switch#show interfaces private-vlan mapping

二、南京技師學院宿舍生活區域PVLAN的設計與實現

(一)南京技師學院宿舍生活區域設計要求。一是網絡配置部署能給處在共同子網內的設備之間提供更高的安全性。二是網絡配置部署應嚴禁避免接入層交換機的設備之間的互聯互通。三是網絡配置部署時需要內部隔離部分終端用戶設備，隔離的設備之間嚴禁進行數據通信。四是網絡配置部署方案中，應按照網絡角色要求讓某些設備聯通，而讓它們和其他設備不能相互通信。五是使用專有的借口映射技術，實現與該VLAN之外的VLAN進行數據通信。圖1給出南京技師學院宿舍生活區域網絡結構圖。

圖1 南京技師學院宿舍生活區域網絡結構圖

(二)關鍵設備的配置部署。

Sw1(config)#vlan 50

Sw1(config-vlan)#private-vlan primary

Sw1(config-vlan)#vlan 500

Sw1(config-vlan)#private-vlan isolated

Sw1(config-vlan)#vlan 501

Sw1(config-vlan)#privated-vlan community

Sw1(config-vlan)#vlan 50

Sw1(config-vlan)#privated-vlan association 500,501

Sw1(config-vlan)#interface range fa3/1-2

Sw1(config-if)#switchport

Sw1(config-if)#switchport mode private-vlan host

Sw1(config-if)#switchport mode private-vlan host-association 50 500

Sw1(config-if)#no shutdown

Sw1(config-if)#interface range fa3/46, fa3/48

Sw1(config-if)#switchport

Sw1(config-if)#switchport mode private-vlan host

Sw1(config-if)#switchport mode private-vlan host-association 50 501

Sw1(config-if)#no shutdown

Sw1(config-if)#interface g1/2

Sw1(config-if)#switchport

Sw1(config-if)#switchport mode private-vlan promiscuous

Sw1(config-if)#switchport mode private-vlan mapping 50 500,501

Sw1(config-if)#no shutdown

Sw1(config-if)#interface vlan 50

Sw1(config-if)#ip address 172.16.90.253

Sw1(config-if)# private-vlan mapping 50 500,501

Sw1(config-if)#no shutdown

Sw1(config-if)#end

Sw1#copy running-config startup-config

三、結語

專用VLAN技術解決了多個VLAN和IP子網隔離二層數據通信安全連接的弊端。PVLAN中的終端可以直接部署到PVLAN網絡中，達到與默認網關連接的目的，同時按照PVLAN中一級、二級VLAN的通信規則，實現內部終端的相互通信。