目标
本文介绍如何在Cisco Business 350系列交换机上配置专用VLAN设置。
适用设备 |软件版本
简介
虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下,可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。
专用VLAN在端口之间提供第2层隔离。这意味着在桥接流量级别,与IP路由不同,共享同一广播域的端口无法相互通信。专用VLAN中的端口可以位于第2层网络的任何位置,这意味着它们不必位于同一台交换机上。专用VLAN用于接收无标记或优先级标记的流量并传输无标记流量。
以下类型的端口可以是专用VLAN中的成员:
- 混杂 — 混杂端口可以与同一专用VLAN的所有端口通信。这些端口连接服务器和路由器。
- 社区(主机) — 社区端口可以定义同一第2层域中的一组端口。它们在第2层与其他社区和隔离端口隔离。这些端口连接主机端口。
- 隔离(主机) — 隔离端口与同一专用VLAN中的其他隔离和社区端口具有完全的第2层隔离。这些端口连接主机端口。
主机流量在隔离VLAN和社区VLAN上发送,而服务器和路由器流量在主VLAN上发送。
在交换机上配置专用VLAN设置
重要信息:在继续执行以下步骤之前,请确保已在交换机上配置VLAN。要了解如何在交换机上配置VLAN设置,请单击此处获取说明。
步骤1.登录基于Web的实用程序,然后从Display Mode下拉列表中选择Advanced。
步骤2.选择VLAN Management >Private VLAN Settings。
步骤3.单击“添加”按钮。
步骤4.在Primary VLAN ID下拉列表中,选择要定义为专用VLAN中主要VLAN的VLAN。主VLAN用于允许第2层连接,从混杂端口到隔离端口和到社区端口。
注意:在本例中,选择VLAN ID 10。
步骤5.从隔离VLAN ID下拉列表中选择VLAN ID。隔离VLAN用于允许隔离端口将流量发送到主VLAN。
注意:在本例中,选择VLAN ID 20。
步骤6.从Available Community VLANs区域选择VLAN ID,然后单击>按钮,将要成为社区VLAN的VLAN移到Selected Community VLANs列表中。
注意:要在VLAN中创建端口子组(团体),必须将端口添加为团体VLAN。社区VLAN用于启用第2层连接,从社区端口到混杂端口和到同一社区的社区端口。每个社区可以有一个社区VLAN,同一专用VLAN的系统中可以共存多个社区VLAN。
注意:在本例中,选择VLAN ID 30。
步骤7.单击“应用”,然后单击“关闭”。
步骤8.(可选)单击“保存”将设置保存到启动配置文件。
您现在已在Cisco Business 350系列交换机上配置了专用VLAN设置。
有关思科业务交换机的VLAN的详细信息?有关详细信息,请查看以下任何链接。
文章框架(含内容)
目标
本文介绍如何在Cisco Business 350系列交换机上配置专用VLAN设置。
专用VLAN在端口之间提供第2层隔离。这意味着在桥接流量级别,与IP路由不同,共享同一广播域的端口无法相互通信。专用VLAN中的端口可以位于第2层网络的任何位置,这意味着它们不必位于同一台交换机上。专用VLAN用于接收无标记或优先级标记的流量并传输无标记流量。
适用设备 |软件版本
简介
虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下,可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。
注意:要了解如何通过基于Web的实用程序在交换机上配置VLAN设置,请单击此处。有关基于CLI的说明,请单击此处。
专用VLAN域由一对或多对VLAN组成。主VLAN组成域;每个VLAN对组成一个子域。一对中的VLAN称为主VLAN和辅助VLAN。专用VLAN中的所有VLAN对具有相同的主VLAN。辅助VLAN ID是区分一个子域与另一个子域的原因。
专用VLAN域只有一个主VLAN。专用VLAN域中的每个端口都是主VLAN的成员;主VLAN是整个专用VLAN域。
辅助VLAN在同一专用VLAN域内的端口之间提供隔离。以下两种类型是主VLAN中的辅助VLAN:
- 隔离VLAN — 隔离VLAN中的端口无法在第2层级别直接相互通信。
- 社区VLAN — 社区VLAN中的端口可以相互通信,但无法与其他社区VLAN或第2层任何隔离VLAN中的端口通信。
在专用VLAN域中,有三个独立的端口标识。每个端口标识都有自己的一组唯一规则,这些规则规范了一个终端与同一专用VLAN域内的其他相连终端通信的能力。以下是三个端口标识:
- 混杂 — 混杂端口可以与同一专用VLAN的所有端口通信。这些端口连接服务器和路由器。
- 社区(主机) — 社区端口可以定义同一第2层域中的一组端口。它们在第2层与其他社区和隔离端口隔离。这些端口连接主机端口。
- 隔离(主机) — 隔离端口与同一专用VLAN中的其他隔离和社区端口具有完全的第2层隔离。这些端口连接主机端口。
主机流量在隔离VLAN和社区VLAN上发送,而服务器和路由器流量在主VLAN上发送。
要使用交换机的基于Web的实用程序配置专用VLAN,请单击此处。
通过CLI在交换机上配置专用VLAN设置
创建专用主VLAN
步骤1.登录交换机控制台。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码,请改为输入凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤3.在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [vlan-id]
步骤4.在接口配置情景中,输入以下命令,将VLAN接口配置为主专用VLAN:
CBS350(config-if)#private-vlan primary
重要信息:在配置专用VLAN时,请务必记住以下指导原则:
- 如果VLAN中有一个专用VLAN端口,则无法更改VLAN类型。
- 如果VLAN类型与其他专用VLAN关联,则无法更改该VLAN类型。
- 删除VLAN时,VLAN类型不会作为VLAN的属性保留。
步骤5.(可选)要将VLAN恢复为其正常VLAN配置,请输入以下命令:
CBS350(config-if)#no private-vlan
步骤6.(可选)要返回交换机的特权执行模式,请输入以下命令:
CBS350(config-if)#end
步骤7.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
第8步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在已通过CLI在交换机上成功创建主VLAN。
创建辅助VLAN
步骤1.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤2.在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [vlan-id]
步骤3.在接口配置情景中,输入以下命令,将VLAN接口配置为辅助专用VLAN:
CBS350(config-if)#private-vlan [community | isolated]
选项有:
- 社区 — 将VLAN指定为社区VLAN。
- isolated — 将VLAN指定为隔离VLAN。
步骤4.(可选)重复步骤2和3,为专用VLAN配置其他辅助VLAN。
步骤5.(可选)要将VLAN恢复为其正常VLAN配置,请输入以下命令:
CBS350(config-if)#no private-vlan
步骤6.(可选)要返回交换机的特权执行模式,请输入以下命令:
CBS350(config-if)#end
您现在已通过CLI在交换机上成功创建辅助VLAN。
将辅助VLAN与主专用VLAN关联
步骤1.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤2.输入以下命令,输入主VLAN的VLAN接口配置情景:
CBS350(config)#vlan [primary-vlan-id]
步骤3.要配置主VLAN和辅助VLAN之间的关联,请输入以下命令:
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
选项有:
- add secondary-vlan-list — 要添加到主VLAN的辅助类型VLAN ID的列表。用逗号和空格分隔非连续VLAN ID。使用连字符指定ID范围。这是默认操作。
- remove secondary-vlan-list — 从主VLAN中删除关联的辅助类型VLAN ID列表。用逗号和空格分隔非连续VLAN ID。使用连字符指定ID范围。
步骤4.要返回交换机的特权执行模式,请输入以下命令:
CBS350(config-if)#end
现在,您已通过CLI成功将辅助VLAN关联到交换机上的主专用VLAN。
配置主专用VLAN和辅助专用VLAN的端口
步骤1.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤2.在全局配置模式下,输入以下命令进入接口配置情景:
CBS350(config)#interface [interface-id | range vlan vlan-range]
选项有:
- interface-id — 指定要配置的接口ID。
- range vlan vlan-range — 指定VLAN列表。用逗号和空格分隔非连续VLAN。使用连字符指定VLAN范围。
步骤3.在接口配置情景中,使用switchport mode命令配置VLAN成员模式。
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous — 指定专用VLAN混杂端口。如果使用此选项,请跳至步骤5。
- host — 指定专用VLAN主机端口。如果使用此选项,请跳至步骤6。
步骤4.(可选)要将端口或端口范围恢复为默认配置,请输入以下命令:
CBS350(config-if-range)#no switchport mode
步骤5.要配置混杂端口与专用VLAN的主VLAN和辅助VLAN的关联,请输入以下命令:
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
选项有:
- primary-vlan-id — 指定主VLAN的VLAN ID。
- secondary-vlan-id — 指定辅助VLAN的VLAN ID。
步骤6.要配置主机端口与专用VLAN的主VLAN和辅助VLAN的关联,请输入以下命令:
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
选项有:
- primary-vlan-id — 指定主VLAN的VLAN ID。
- secondary-vlan-id — 指定辅助VLAN的VLAN ID。
步骤7.要退出接口配置上下文,请输入以下命令:
CBS350(config-if-range)#exit
步骤8.(可选)重复步骤2至7以配置更多混杂和主机端口,并分配给相应的主专用VLAN和辅助专用VLAN。
步骤9.输入end命令返回特权执行模式:
CBS350(config-if)#end
步骤10.(可选)要验证交换机上已配置的专用VLAN,请输入以下命令:
CBS350#show vlan private-vlan tag[vlan-id]
步骤11.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
第12步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在已通过CLI成功配置主机和混杂端口与交换机上主要和辅助专用VLAN的关联。
有关思科业务交换机的VLAN的详细信息?有关详细信息,请查看以下任何链接。
反馈