Konfigurieren der Einstellungen für die Zugehörigkeit zu einem privaten VLAN auf einem Switch über die CLI

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (794.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Dezember 2018
Dokument-ID:SMB5659

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfigurieren der Einstellungen für die Zugehörigkeit zu einem privaten VLAN auf einem Switch über die CLI

Einleitung

Mithilfe eines Virtual Local Area Network (VLAN) können Sie ein Local Area Network (LAN) logisch in verschiedene Übertragungsdomänen segmentieren. In Umgebungen, in denen über das Netzwerk möglicherweise vertrauliche Daten übertragen werden, kann durch die Erstellung von VLANs die Sicherheit verbessert werden. Eine Übertragung kann dann auf ein spezifisches VLAN beschränkt werden. Nur die Benutzer, die zu einem VLAN gehören, können auf die Daten in diesem VLAN zugreifen und sie ändern. Mithilfe von VLANs kann auch die Leistung verbessert werden, da Broadcasts und Multicasts seltener an unnötige Ziele gesendet werden müssen.

Hinweis: Um zu erfahren, wie Sie die VLAN-Einstellungen auf Ihrem Switch über das webbasierte Dienstprogramm konfigurieren können, klicken Sie hier. Anweisungen für die Konfiguration über die Kommandozeilenschnittstelle finden Sie hier.

Eine private VLAN-Domäne besteht aus einem oder mehreren Paaren von VLANs. Die Domäne besteht aus dem primären VLAN, und jedes VLAN-Paar bildet eine Subdomäne. Die VLANs in einem Paar werden als primäres und sekundäres VLAN bezeichnet. Alle VLAN-Paare in einem privaten VLAN haben dasselbe primäre VLAN. Die sekundäre VLAN-ID unterscheidet eine Subdomäne von einer anderen.

Eine private VLAN-Domäne verfügt nur über ein primäres VLAN. Jeder Port in einer privaten VLAN-Domäne ist Mitglied des primären VLAN; das primäre VLAN ist die gesamte private VLAN-Domäne.

Sekundäre VLANs ermöglichen die Isolierung zwischen Ports innerhalb derselben privaten VLAN-Domäne. Die folgenden beiden Typen sind sekundäre VLANs innerhalb eines primären VLANs:

  • Isolierte VLANs - Ports innerhalb eines isolierten VLAN können auf Layer-2-Ebene nicht direkt miteinander kommunizieren.
  • Community-VLANs - Ports in einem Community-VLAN können miteinander kommunizieren, jedoch nicht mit Ports in anderen Community-VLANs oder in isolierten VLANs auf Layer-2-Ebene.

Innerhalb einer privaten VLAN-Domäne gibt es drei separate Portbezeichnungen. Jede Port-Bezeichnung hat ihre eigenen eindeutigen Regeln, die die Fähigkeit eines Endpunkts regeln, mit anderen verbundenen Endpunkten innerhalb derselben privaten VLAN-Domäne zu kommunizieren. Es folgen die drei Portbezeichnungen:

  • Promiscuous (Promiscuous): Ein Promiscuous-Port kann mit allen Ports desselben privaten VLAN kommunizieren. Diese Ports verbinden Server und Router.
  • Community (Host) - Community-Ports können eine Gruppe von Ports definieren, die zu derselben Layer-2-Domäne gehören. Sie sind auf Layer 2 von anderen Communitys und isolierten Ports isoliert. Diese Ports verbinden Host-Ports.
  • Isolated (Host) - Ein isolierter Port ist auf Layer 2 vollständig von den anderen isolierten Ports und Community-Ports im gleichen privaten VLAN isoliert. Diese Ports verbinden Host-Ports.

Host-Datenverkehr wird über isolierte VLANs und Community-VLANs gesendet, während Server- und Router-Datenverkehr über das primäre VLAN gesendet wird.

Ziel

Ein privates VLAN bietet Layer-2-Isolierung zwischen Ports. Dies bedeutet, dass auf der Ebene des Bridging-Datenverkehrs, im Gegensatz zum IP-Routing, Ports mit derselben Broadcast-Domäne nicht miteinander kommunizieren können. Die Ports in einem privaten VLAN können sich an einer beliebigen Stelle im Layer-2-Netzwerk befinden, d. h. sie müssen sich nicht auf demselben Switch befinden. Das private VLAN ist so konzipiert, dass es nicht gekennzeichneten oder mit Priorität gekennzeichneten Datenverkehr empfängt und nicht gekennzeichneten Datenverkehr überträgt.

Dieser Artikel enthält Anweisungen zum Konfigurieren von Einstellungen für ein privates VLAN auf einem Switch.

Hinweis: Um das private VLAN mithilfe des webbasierten Dienstprogramms des Switches zu konfigurieren, klicken Sie hier.

Unterstützte Geräte

  • Sx300-Serie
  • Sx350-Serie
  • SG350X-Serie
  • Sx500-Serie
  • Sx550X-Serie

Software-Version

  • 1.4.7.06: Sx300, Sx500
  • 2.2.8.04: Sx350, SG350X, Sx550X

Private VLAN-Einstellungen auf dem Switch über die CLI konfigurieren

Erstellen eines privaten primären VLANs

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten "cisco". Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Hinweis: Die Befehle können je nach Switch-Modell variieren. In diesem Beispiel wird über Telnet auf einen SG350X-Switch zugegriffen.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

Schritt 3: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.

  • vlan-id: Gibt die zu konfigurierende VLAN-ID an.

Hinweis: In diesem Beispiel wird VLAN 2 verwendet.

Schritt 4: Konfigurieren Sie im Kontext für die Schnittstellenkonfiguration die VLAN-Schnittstelle als primäres privates VLAN, indem Sie Folgendes eingeben:

Hinweis: Standardmäßig sind keine privaten VLANs auf dem Switch konfiguriert.

Wichtig: Beachten Sie bei der Konfiguration eines privaten VLAN die folgenden Richtlinien:

  • Der VLAN-Typ kann nicht geändert werden, wenn ein privater VLAN-Port Mitglied des VLAN ist.
  • Der VLAN-Typ kann nicht geändert werden, wenn er mit anderen privaten VLANs verknüpft ist.
  • Der VLAN-Typ wird nicht als Eigenschaft des VLAN beibehalten, wenn das VLAN gelöscht wird.

Schritt 5: Geben Sie optional den folgenden Befehl ein, um die normale VLAN-Konfiguration für das VLAN wiederherzustellen:

Schritt 6: Geben Sie optional den folgenden Befehl ein, um zum privilegierten EXEC-Modus des Switches zurückzukehren:

Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten nun das primäre VLAN auf Ihrem Switch erfolgreich über die CLI erstellt haben.

Erstellen eines sekundären VLAN

Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

Schritt 2: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.

Hinweis: In diesem Beispiel wird VLAN 10 verwendet.

Schritt 3: Konfigurieren Sie im Kontext für die Schnittstellenkonfiguration die VLAN-Schnittstelle als sekundäres privates VLAN, indem Sie Folgendes eingeben:

Folgende Optionen sind verfügbar:

  • community (Community): Festlegen des VLANs als Community-VLAN
  • isolation (Isoliert): Legen Sie das VLAN als isoliertes VLAN fest.

Hinweis: In diesem Beispiel ist VLAN 10 als isoliertes VLAN konfiguriert.

Schritt 4: Wiederholen Sie optional die Schritte 2 und 3, um ein zusätzliches sekundäres VLAN für das private VLAN zu konfigurieren.

Hinweis: In diesem Beispiel sind VLAN 20 und VLAN 30 als Community-VLANs konfiguriert.

Schritt 5: Geben Sie optional den folgenden Befehl ein, um die normale VLAN-Konfiguration für das VLAN wiederherzustellen:

Schritt 6: Geben Sie optional den folgenden Befehl ein, um zum privilegierten EXEC-Modus des Switches zurückzukehren:

Sie sollten nun über die CLI erfolgreich sekundäre VLANs auf Ihrem Switch erstellt haben.

Ordnen Sie das sekundäre VLAN dem primären privaten VLAN zu.

Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

Schritt 2: Geben Sie den Konfigurationskontext für die VLAN-Schnittstelle des primären VLAN ein. Geben Sie dazu Folgendes ein:

Hinweis: In diesem Beispiel ist VLAN 2 das primäre VLAN.

Schritt 3: Geben Sie Folgendes ein, um die Zuordnung zwischen dem primären VLAN und den sekundären VLANs zu konfigurieren:

Folgende Optionen sind verfügbar:

  • add second-vlan-list: Eine Liste der VLAN-IDs vom Typ "second", die einem primären VLAN hinzugefügt werden sollen. Trennen Sie VLAN-IDs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen ID-Bereich zu definieren. Dies ist die Standardaktion.
  • remove second-vlan-list: Eine Liste der VLAN-IDs vom Typ "second", um die Zuordnung von einem primären VLAN zu entfernen. Trennen Sie VLAN-IDs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen ID-Bereich zu definieren.

Hinweis: In diesem Beispiel werden die sekundären VLANs 10, 20 und 30 dem primären VLAN hinzugefügt.

Schritt 4: Geben Sie Folgendes ein, um zum privilegierten EXEC-Modus des Switches zurückzukehren:

Sie sollten nun die sekundären VLANs über die CLI erfolgreich mit dem primären privaten VLAN auf Ihrem Switch verknüpft haben.

Konfigurieren von Ports für die primären und sekundären privaten VLANs

Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

Schritt 2: Geben Sie im globalen Konfigurationsmodus den nachfolgenden Befehl ein, um in den Kontext für die Schnittstellenkonfiguration zu wechseln.

Folgende Optionen sind verfügbar:

  • interface-id: Gibt eine zu konfigurierende Schnittstellen-ID an.
  • range vlan vlan-range: Gibt eine Liste von VLANs an. Trennen Sie VLANs, die nicht direkt aufeinanderfolgen, durch ein Komma ohne Leerzeichen. Verwenden Sie einen Bindestrich, um einen VLAN-Bereich zu definieren.

Hinweis: In diesem Beispiel wird die Schnittstelle ge1/0/10 eingegeben.

Schritt 3: Verwenden Sie im Kontext für die Schnittstellenkonfiguration den Befehl switchport mode, um den Modus für die VLAN-Mitgliedschaft zu konfigurieren.

  • Promiscuous - Gibt einen privaten Promiscuous-VLAN-Port an. Wenn diese Option verwendet wird, fahren Sie mit Schritt 5 fort.
  • host - Gibt einen privaten VLAN-Host-Port an. Wenn diese Option verwendet wird, fahren Sie mit Schritt 6 fort.

Hinweis: In diesem Beispiel ist der Port als Promiscuous definiert.

Schritt 4: Geben Sie optional den folgenden Befehl ein, um die Standardkonfiguration für den Port oder den Port-Bereich wiederherzustellen:

Schritt 5: Geben Sie Folgendes ein, um die Zuordnung eines Promiscuous Ports zu primären und sekundären VLANs des privaten VLANs zu konfigurieren:

Folgende Optionen sind verfügbar:

  • primary-vlan-id: Gibt die VLAN-ID des primären VLAN an.
  • secondary-vlan-id: Gibt die VLAN-ID des sekundären VLAN an.

Hinweis: In diesem Beispiel wird die Promiscuous-Schnittstelle dem primären VLAN 2 zugeordnet und dem sekundären VLAN 30 hinzugefügt.

Schritt 6: Geben Sie Folgendes ein, um die Zuordnung eines Host-Ports zu primären und sekundären VLANs des privaten VLANs zu konfigurieren:

Folgende Optionen sind verfügbar:

  • primary-vlan-id: Gibt die VLAN-ID des primären VLAN an.
  • secondary-vlan-id: Gibt die VLAN-ID des sekundären VLAN an.

Hinweis: In diesem Beispiel werden die Host-Schnittstellenbereiche 40 bis 45 dem primären VLAN 2 zugeordnet und dem sekundären VLAN 20 hinzugefügt.

Schritt 7. Geben Sie den nachfolgenden Befehl ein, um den Kontext für die Schnittstellenkonfiguration zu verlassen.

Schritt 8: Wiederholen Sie optional die Schritte 2 bis 7, um weitere Promiscuous- und Host-Ports zu konfigurieren und den entsprechenden primären und sekundären privaten VLANs zuzuweisen.

Hinweis: In diesem Beispiel werden die Host-Schnittstellenbereiche 36 bis 39 dem primären VLAN 2 zugeordnet und dem sekundären VLAN 10 hinzugefügt.

Schritt 9. Geben Sie den Befehl end ein, um wieder in den privilegierten EXEC-Modus zu wechseln:

Schritt 10. Geben Sie optional den folgenden Befehl ein, um die auf Ihrem Switch konfigurierten privaten VLANs zu überprüfen:

Schritt 11: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

Schritt 12: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten nun erfolgreich die Zuordnung von Host- und Promiscuous-Ports zu primären und sekundären privaten VLANs auf Ihrem Switch über die CLI konfiguriert haben.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Dec-2018
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren