Obiettivo
In questo documento viene spiegato come configurare le impostazioni della VLAN privata su uno switch Cisco Business serie 350.
Dispositivi interessati | Versione software
Introduzione
Una LAN virtuale o VLAN (Virtual Local Area Network) consente di segmentare logicamente una LAN (Local Area Network) in più domini di broadcast. Quando sulla rete vengono trasmessi anche dati sensibili, la creazione di VLAN offre una maggiore sicurezza e il traffico viene quindi indirizzato a VLAN specifiche. Solo gli utenti che appartengono alla VLAN possono accedere e modificare i dati trasmessi su tale rete. L'uso delle VLAN inoltre può migliorare le prestazioni in quanto riduce la necessità di inviare pacchetti broadcast e multicast a destinazioni non necessarie.
Una VLAN privata fornisce un'isolamento di layer 2 tra le porte. Ciò significa che a livello di traffico di bridging, diversamente dal routing IP, le porte che condividono lo stesso dominio di broadcast non possono comunicare tra loro. Le porte di una VLAN privata possono trovarsi in qualsiasi punto della rete di layer 2, ossia non devono trovarsi sullo stesso switch. La VLAN privata è progettata per ricevere traffico senza tag o con tag di priorità e trasmettere traffico senza tag.
In una VLAN privata possono essere membri i seguenti tipi di porte:
- Promiscuo: una porta promiscua può comunicare con tutte le porte della stessa VLAN privata. Queste porte connettono server e router.
- Community (host) - Le porte della community possono definire un gruppo di porte che sono membri dello stesso dominio di layer 2. Al layer 2 sono isolati dalle altre comunità e dai porti isolati. Queste porte collegano le porte host.
- Isolato (host) - Una porta isolata ha completato l'isolamento di layer 2 dalle altre porte isolate e della community all'interno della stessa VLAN privata. Queste porte collegano le porte host.
Il traffico host viene inviato su VLAN isolate e di comunità, mentre il traffico server e router viene inviato sulla VLAN primaria.
Configurazione delle impostazioni della VLAN privata su uno switch
Importante: Prima di procedere con la procedura seguente, verificare che le VLAN siano state configurate sullo switch. per informazioni su come configurare le VLAN sullo switch, fare clic qui per istruzioni.
Passaggio 1. Accedere all'utility basata sul Web e scegliere Avanzate dall'elenco a discesa Display Mode (Modalità di visualizzazione).
Passaggio 2. Selezionare VLAN Management > Private VLAN Settings.
Passaggio 3. Fare clic sul pulsante Aggiungi.
Passaggio 4. Nell'elenco a discesa ID VLAN primario, scegliere una VLAN da definire come VLAN primaria nella VLAN privata. La VLAN primaria è utilizzata per consentire la connettività di layer 2 da porte promiscue a porte isolate e a porte della community.
Nota: nell'esempio, viene scelto l'ID VLAN 10.
Passaggio 5. Selezionare un ID VLAN dall'elenco a discesa ID VLAN isolata. Una VLAN isolata viene usata per consentire alle porte isolate di inviare il traffico alla VLAN primaria.
Nota: nell'esempio, viene scelto l'ID VLAN 20.
Passaggio 6. Selezionare un ID VLAN dall'area VLAN della community disponibili, quindi fare clic sul pulsante > per spostare le VLAN che si desidera impostare come VLAN della community nell'elenco VLAN della community selezionate.
Nota: Per creare un sottogruppo di porte (comunità) all'interno di una VLAN, le porte devono essere aggiunte a una VLAN di comunità. La VLAN della community viene utilizzata per abilitare la connettività di layer 2 dalle porte della community alle porte promiscue e alle porte della community della stessa community. Può esistere una singola VLAN di community per ciascuna community e più VLAN di community possono coesistere nel sistema per la stessa VLAN privata.
Nota: nell'esempio, viene scelto l'ID VLAN 30.
Passaggio 7. Fare clic su Apply (Applica), quindi su Close (Chiudi).
Passaggio 8. (Facoltativo) Fare clic su Save per salvare le impostazioni nel file della configurazione di avvio.
Le impostazioni della VLAN privata sono state configurate sullo switch Cisco Business serie 350.
Hai bisogno di ulteriori informazioni sulle VLAN per i tuoi switch aziendali Cisco? Per ulteriori informazioni, consultare i seguenti link.
Ossatura articolo con contenuto
Obiettivo
In questo documento viene spiegato come configurare le impostazioni della VLAN privata su uno switch Cisco Business serie 350.
Una VLAN privata fornisce un'isolamento di layer 2 tra le porte. Ciò significa che a livello di traffico di bridging, diversamente dal routing IP, le porte che condividono lo stesso dominio di broadcast non possono comunicare tra loro. Le porte di una VLAN privata possono trovarsi in qualsiasi punto della rete di layer 2, ossia non devono trovarsi sullo stesso switch. La VLAN privata è progettata per ricevere traffico senza tag o con tag di priorità e trasmettere traffico senza tag.
Dispositivi interessati | Versione software
Introduzione
Una LAN virtuale o VLAN (Virtual Local Area Network) consente di segmentare logicamente una LAN (Local Area Network) in più domini di broadcast. Quando sulla rete vengono trasmessi anche dati sensibili, la creazione di VLAN offre una maggiore sicurezza e il traffico viene quindi indirizzato a VLAN specifiche. Solo gli utenti che appartengono alla VLAN possono accedere e modificare i dati trasmessi su tale rete. L'uso delle VLAN inoltre può migliorare le prestazioni in quanto riduce la necessità di inviare pacchetti broadcast e multicast a destinazioni non necessarie.
Nota: per informazioni su come configurare le VLAN sullo switch con l'utility basata sul Web, fare clic qui. Per le istruzioni basate sulla CLI, fare clic qui.
Un dominio VLAN privato è composto da una o più coppie di VLAN. La VLAN primaria costituisce il dominio; e ciascuna coppia di VLAN costituisce un sottodominio. Le VLAN in una coppia sono chiamate VLAN primaria e VLAN secondaria. Tutte le coppie di VLAN all'interno di una VLAN privata hanno la stessa VLAN primaria. L'ID della VLAN secondaria differenzia un sottodominio dall'altro.
Un dominio VLAN privato ha solo una VLAN primaria. Ciascuna porta di un dominio VLAN privato è un membro della VLAN primaria; la VLAN primaria è l'intero dominio VLAN privato.
Le VLAN secondarie forniscono l'isolamento tra le porte nell'ambito dello stesso dominio VLAN privato. I due tipi seguenti sono VLAN secondarie all'interno di una VLAN primaria:
- VLAN isolate: le porte di una VLAN isolata non possono comunicare direttamente tra loro al livello 2.
- VLAN di comunità: le porte all'interno di una VLAN di comunità possono comunicare tra loro ma non possono comunicare con le porte di altre VLAN di comunità o di VLAN isolate al livello 2.
In un dominio VLAN privato, sono disponibili tre designazioni di porte separate. Ogni designazione di porta prevede una serie di regole univoche che regolamentano la capacità di un endpoint di comunicare con altri endpoint connessi nello stesso dominio VLAN privato. Le designazioni delle tre porte sono le seguenti:
- Promiscuo: una porta promiscua può comunicare con tutte le porte della stessa VLAN privata. Queste porte connettono server e router.
- Community (host) - Le porte della community possono definire un gruppo di porte che sono membri dello stesso dominio di layer 2. Al layer 2 sono isolati dalle altre comunità e dai porti isolati. Queste porte collegano le porte host.
- Isolato (host) - Una porta isolata ha completato l'isolamento di layer 2 dalle altre porte isolate e della community all'interno della stessa VLAN privata. Queste porte collegano le porte host.
Il traffico host viene inviato su VLAN isolate e di comunità, mentre il traffico server e router viene inviato sulla VLAN primaria.
Per configurare la VLAN privata con l'utility basata sul Web dello switch, fare clic qui.
Configurazione delle impostazioni della VLAN privata sullo switch dalla CLI
Creazione di una VLAN primaria privata
Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco/cisco. Se sono stati configurati un nuovo nome utente o password, immettere queste credenziali.
i comandi possono variare a seconda del modello di switch in uso.
Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:
CBS350#configure
Passaggio 3. In modalità di configurazione globale, accedere al contesto di configurazione interfaccia immettendo quanto segue:
CBS350(config)#interface [vlan-id]
- vlan-id: per specificare l'ID VLAN da configurare.
Passaggio 4. Nel contesto di configurazione interfaccia, configurare l'interfaccia VLAN come VLAN privata primaria immettendo quanto segue:
CBS350(config-if)#private-vlan primary
Per impostazione predefinita, non sono configurate VLAN private sullo switch.
Importante: Durante la configurazione di una VLAN privata, tenere presenti le seguenti linee guida:
- Non è possibile modificare il tipo di VLAN se è presente una porta VLAN privata membro della VLAN.
- Non è possibile modificare il tipo di VLAN se è associato ad altre VLAN private.
- Quando si elimina la VLAN, il tipo di VLAN non viene mantenuto come proprietà della VLAN.
Passaggio 5. (Facoltativo) Per riportare la VLAN alla normale configurazione VLAN, immettere quanto segue:
CBS350(config-if)#no private-vlan
Passaggio 6. (Facoltativo) Per tornare in modalità di esecuzione privilegiata dello switch, immettere quanto segue:
CBS350(config-if)#end
Passaggio 7. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:
CBS350#copy running-config startup-config
Passaggio 8. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).
La VLAN primaria sullo switch è stata creata correttamente dalla CLI.
Creazione di una VLAN secondaria
Passaggio 1. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:
CBS350#configure
Passaggio 2. In modalità di configurazione globale, accedere al contesto di configurazione interfaccia immettendo quanto segue:
CBS350(config)#interface [vlan-id]
Passaggio 3. Nel contesto di configurazione interfaccia, configurare l'interfaccia VLAN come VLAN privata secondaria immettendo quanto segue:
CBS350(config-if)#private-vlan [community | isolated]
Le opzioni sono:
- community: per designare la VLAN come VLAN di comunità.
- isolata: per definire la VLAN come VLAN isolata.
Passaggio 4. (Facoltativo) Ripetere i passaggi 2 e 3 per configurare una VLAN secondaria aggiuntiva per la VLAN privata.
Passaggio 5. (Facoltativo) Per riportare la VLAN alla normale configurazione VLAN, immettere quanto segue:
CBS350(config-if)#no private-vlan
Passaggio 6. (Facoltativo) Per tornare in modalità di esecuzione privilegiata dello switch, immettere quanto segue:
CBS350(config-if)#end
La creazione delle VLAN secondarie sullo switch dalla CLI è stata completata.
Associare la VLAN secondaria alla VLAN privata primaria
Passaggio 1. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:
CBS350#configure
Passaggio 2. Per accedere al contesto di configurazione dell'interfaccia VLAN della VLAN principale, immettere quanto segue:
CBS350(config)#vlan [primary-vlan-id]
Passaggio 3. Per configurare l'associazione tra la VLAN primaria e le VLAN secondarie, immettere quanto segue:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
Le opzioni sono:
- add secondary-vlan-list: elenco di ID VLAN di tipo secondario da aggiungere a una VLAN primaria. Per separare gli ID VLAN non consecutivi, non usare spazi ma virgole. Per definire un intervallo di ID, usare un trattino. Questa è l'azione predefinita.
- remove secondaria-vlan-list: elenco di ID VLAN di tipo secondario per rimuovere l'associazione da una VLAN primaria. Per separare gli ID VLAN non consecutivi, non usare spazi ma virgole. Per definire un intervallo di ID, usare un trattino.
Passaggio 4. Per tornare alla modalità di esecuzione privilegiata dello switch, immettere quanto segue:
CBS350(config-if)#end
L'associazione delle VLAN secondarie alla VLAN privata primaria sullo switch è stata completata tramite la CLI.
Configurazione delle porte sulle VLAN private primaria e secondaria
Passaggio 1. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:
CBS350#configure
Passaggio 2. In modalità di configurazione globale, accedere al contesto di configurazione interfaccia immettendo quanto segue:
CBS350(config)#interface [interface-id | range vlan vlan-range]
Le opzioni sono:
- interface-id: per specificare l'ID dell'interfaccia da configurare.
- range vlan vlan-range: per specificare un elenco di VLAN. Per separare le VLAN non consecutive, non usare spazi ma virgole. Per definire un intervallo di VLAN, usare un trattino.
Passaggio 3. Nel contesto di configurazione interfaccia, usare il comando switchport mode per configurare la modalità appartenenza della VLAN.
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscua: per specificare una porta promiscua VLAN privata. Se si utilizza questa opzione, andare al passo 5.
- host: per specificare una porta host VLAN privata. Se si utilizza questa opzione, andare al passo 6.
Passaggio 4. (Facoltativo) Per riassegnare la porta o l'intervallo di porte alla configurazione predefinita, immettere quanto segue:
CBS350(config-if-range)#no switchport mode
Passaggio 5. Per configurare l'associazione di una porta promiscua con le VLAN primaria e secondaria della VLAN privata, immettere quanto segue:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
Le opzioni sono:
- primary-vlan-id: per specificare l'ID VLAN della VLAN primaria.
- secondary-vlan-id: per specificare l'ID VLAN della VLAN secondaria.
Passaggio 6. Per configurare l'associazione di una porta host con le VLAN primaria e secondaria della VLAN privata, immettere quanto segue:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
Le opzioni sono:
- primary-vlan-id: per specificare l'ID VLAN della VLAN primaria.
- secondary-vlan-id: per specificare l'ID VLAN della VLAN secondaria.
Passaggio 7. Per uscire dal contesto di configurazione interfaccia, immettere quanto segue:
CBS350(config-if-range)#exit
Passaggio 8. (Facoltativo) Ripetere i passaggi da 2 a 7 per configurare le porte host e promiscue e assegnarle alle VLAN private primarie e secondarie corrispondenti.
Passaggio 9. Per tornare in modalità di esecuzione privilegiata, immettere il comando end:
CBS350(config-if)#end
Passaggio 10. (Facoltativo) Per verificare le VLAN private configurate sullo switch, immettere quanto segue:
CBS350#show vlan private-vlan tag[vlan-id]
Passaggio 11. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:
CBS350#copy running-config startup-config
Passaggio 12. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).
L'associazione delle porte host e promiscue con le VLAN private primaria e secondaria sullo switch è stata configurata correttamente dalla CLI.
Hai bisogno di ulteriori informazioni sulle VLAN per i tuoi switch aziendali Cisco? Per ulteriori informazioni, consultare i seguenti link.