Перейти к содержанию

PVLAN

Технология Private VLAN разделяет единый широковещательный домен на изолированные поддомены уровня L2. Все устройства остаются в одной IP-подсети, но получают ограничения на взаимодействие между портами внутри одной VLAN.

Варианты настройки функционала:

  • Изоляция портов - каждый порт может быть настроен как изолированный. Это означает, что порт не может взаимодействовать с другими изолированными портами;
  • Приватные группы в VLAN - простой способ ограничения пересылки трафика путем разделения портов на группы;
  • PVLAN - домен PVLAN может использовать несколько первичных и вторичных VLAN для ограничения пересылки трафика. Только первичные VLAN известны за пределами домена PVLAN.

Особенность реализации:

  • По умолчанию все интерфейсы являются членами PVLAN 1.

Назначение применяемой команды/конфигурации

Команды в режиме настройки интерфейса

1
2
3
4
5
pvlan <range_list>
pvlan isolation

no pvlan <range_list>
no pvlan isolation

Команды отображения информации

1
show pvlan [<range_list> | isolation]

Пример конфигурирования

Схема подключений

Схема подключения для примера настройки PVLAN

VLAN 10 определена как изолированная (isolated) — порты не взаимодействуют друг с другом. VLAN 20 определена как групповая (community) — порты взаимодействуют внутри группы.

Настройка

Шаг 1. Перевести порт GigabitEthernet 1/20 в режим access и поместить его в vlan 2500

1
2
3
ASW5(config)# interface GigabitEthernet 1/20
ASW5(config-if)# switchport mode access
ASW5(config-if)# switchport access vlan 2500

Шаг 2. Настроить порт как promiscuous (неизолированный), он может обмениваться трафиком с любыми другими портами внутри Private VLAN

1
ASW5(config-if)# pvlan 10,20

Шаг 3. Первести порты GigabitEthernet 1/21, GigabitEthernet 1/22 в режим access и поместить их в vlan 2500

1
2
ASW5(config)# interface GigabitEthernet 1/21-22
ASW5(config-if)# switchport access vlan 2500

Шаг 4. Настроить порты как изолированные и поместить их в secondary VLAN

1
2
ASW5(config-if)# pvlan isolation
ASW5(config-if)# pvlan 10

Шаг 5. Перевести порт GigabitEthernet 1/23 в режим access и поместить его в vlan 2500

1
2
3
ASW5(config)# interface GigabitEthernet 1/23
ASW5(config-if)# switchport mode access
ASW5(config-if)# switchport access vlan 2500

Шаг 6. Настроить порты как community port и поместить его в secondary VLAN

1
ASW5(config-if)# pvlan 20

Полный вывод выполненных конфигураций

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
interface GigabitEthernet 1/20
 switchport access vlan 2500
 pvlan 10,20
!
interface GigabitEthernet 1/21
 switchport access vlan 2500
 pvlan isolation
 pvlan 10
!
interface GigabitEthernet 1/22
 switchport access vlan 2500
 pvlan isolation
 pvlan 10
!
interface GigabitEthernet 1/23
 switchport access vlan 2500
 pvlan 20

Изучение состояния устройства

Просмотр конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
ASW5# show pvlan 
PVLAN ID  Ports
--------  -----------------------------------------------------------------------------
1         GigabitEthernet 1/1, GigabitEthernet 1/2, GigabitEthernet 1/3,
          GigabitEthernet 1/4, GigabitEthernet 1/5, GigabitEthernet 1/6,
          GigabitEthernet 1/7, GigabitEthernet 1/8, GigabitEthernet 1/9,
          GigabitEthernet 1/10, GigabitEthernet 1/11, GigabitEthernet 1/12,
          GigabitEthernet 1/13, GigabitEthernet 1/14, GigabitEthernet 1/15,
          GigabitEthernet 1/16, GigabitEthernet 1/17, GigabitEthernet 1/18,
          GigabitEthernet 1/19, GigabitEthernet 1/20, GigabitEthernet 1/21,
          GigabitEthernet 1/22, GigabitEthernet 1/23, GigabitEthernet 1/24,
          GigabitEthernet 1/25, GigabitEthernet 1/26, GigabitEthernet 1/27,
          GigabitEthernet 1/28, GigabitEthernet 1/29, GigabitEthernet 1/30,
          GigabitEthernet 1/31, GigabitEthernet 1/32, GigabitEthernet 1/33,
          GigabitEthernet 1/34, GigabitEthernet 1/35, GigabitEthernet 1/36,
          GigabitEthernet 1/37, GigabitEthernet 1/38, GigabitEthernet 1/39,
          GigabitEthernet 1/40, GigabitEthernet 1/41, GigabitEthernet 1/42,
          GigabitEthernet 1/43, GigabitEthernet 1/44, GigabitEthernet 1/45,
          GigabitEthernet 1/46, GigabitEthernet 1/47, GigabitEthernet 1/48,
          25GigabitEthernet 1/1, 25GigabitEthernet 1/2, 25GigabitEthernet 1/3,
          25GigabitEthernet 1/4, GigabitEthernet 1/49
10        GigabitEthernet 1/20, GigabitEthernet 1/21, GigabitEthernet 1/22
20        GigabitEthernet 1/20, GigabitEthernet 1/23


ASW5# show pvlan isolation 
Port                              Isolation
--------------------------------  ---------
GigabitEthernet 1/1               Disabled
GigabitEthernet 1/2               Disabled
GigabitEthernet 1/3               Disabled
GigabitEthernet 1/4               Disabled
GigabitEthernet 1/5               Disabled
GigabitEthernet 1/6               Disabled
GigabitEthernet 1/7               Disabled
GigabitEthernet 1/8               Disabled
GigabitEthernet 1/9               Disabled
GigabitEthernet 1/10              Disabled
GigabitEthernet 1/11              Disabled
GigabitEthernet 1/12              Disabled
GigabitEthernet 1/13              Disabled
GigabitEthernet 1/14              Disabled
GigabitEthernet 1/15              Disabled
GigabitEthernet 1/16              Disabled
GigabitEthernet 1/17              Disabled
GigabitEthernet 1/18              Disabled
GigabitEthernet 1/19              Disabled
GigabitEthernet 1/20              Disabled
GigabitEthernet 1/21              Enabled          
GigabitEthernet 1/22              Enabled 
GigabitEthernet 1/23              Disabled
GigabitEthernet 1/24              Disabled
GigabitEthernet 1/25              Disabled
GigabitEthernet 1/26              Disabled
GigabitEthernet 1/27              Disabled
GigabitEthernet 1/28              Disabled
GigabitEthernet 1/29              Disabled
GigabitEthernet 1/30              Disabled
GigabitEthernet 1/31              Disabled
GigabitEthernet 1/32              Disabled
GigabitEthernet 1/33              Disabled
GigabitEthernet 1/34              Disabled
GigabitEthernet 1/35              Disabled
GigabitEthernet 1/36              Disabled
GigabitEthernet 1/37              Disabled
GigabitEthernet 1/38              Disabled
GigabitEthernet 1/39              Disabled
GigabitEthernet 1/40              Disabled
GigabitEthernet 1/41              Disabled
GigabitEthernet 1/42              Disabled
GigabitEthernet 1/43              Disabled
GigabitEthernet 1/44              Disabled         
GigabitEthernet 1/45              Disabled
GigabitEthernet 1/46              Disabled
GigabitEthernet 1/47              Disabled
GigabitEthernet 1/48              Disabled
25GigabitEthernet 1/1             Disabled
25GigabitEthernet 1/2             Disabled
25GigabitEthernet 1/3             Disabled
25GigabitEthernet 1/4             Disabled
GigabitEthernet 1/49              Disabled