思科Private VLAN与Switchport Protected

　　这两种技术都可以实现交换机中同一vlan中的接口之间不可通信的目的,但这种"不可通信"并不是真正的隔离,只是一种表面现象,其它有些办法是可以打破这种表象的!!!

　　现在网络安全要求也越来越高了，一个局域网有时候也希望能够做到互相不能访问。我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求。

　　在cisco 低端交换机中的实现方法:

　　1. 通过端口保护(Switchport protected)来实现的。

　　2. 通过PVLAN(private vlan 私有vlan)来实现.

　　Switchport Protected:

　　· Concept:

　　The switchport protection feature is local to the switch; communication between protected ports on the same switch is possible only through a Layer 3 device. To prevent communication between protected ports on different switches, you must configure the protected ports for unique VLANs on each switch and configure a trunk link between the switches. A protected port is different from a secure port.

　　A protected port does not forward any unicast, multicast, or broadcast traffic to any other protected port. A protected port continues to forward unicast, multicast, and broadcast traffic to unprotected ports and vice versa.

　　Port monitoring does not work if both the monitor and monitored ports are protected ports.

　　Protected ports are supported on IEEE 802.1Q trunks.

　　· Configuration:

　　相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:

　　Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口

　　Switch(config-if-range)#Switchitchport protected #开启端口保护

　　· 实际应用：

　　1. 防止DHCP

　　2. 防止环路

　　3. 需求必须要放在同一个vlan,但是不能够访问。因为软件限制必须在一个vlan里面。

　　4. 比如一个小区用交换机接入，所有的用户都在一个VLAN里面，但用户之间不能访问，只能和网关通讯访问互联网或

　　-à由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。

　　Private VLAN:

　　* Concept: 现在有了一种新的VLAN机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN(private VLAN, pVLAN)。专用VLAN是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port)，一个专用端口限定在第2层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定，它与路由器或第3层交换机接口相连。简单地说，在一个专用VLAN内，专用端口收到的流量只能发往混杂端口，混杂端口收到 的流量可以发往所有端口(混杂端口和专用端口)。

　　专 用 VLAN 的 应 用对于保证城域接入网络的数据通讯的安全性 是 非 常 有 效的用户只需与自己的缺省网关连接，一个专用VLAN不需要多个VLAN 和IP 子 网就 提 供 了 具备第二层数据通讯安全性的连接，所有的用户都接入专用 VLAN，从而实现了所有用户与缺省网关的连接，而与专用VLAN内的其他用户没有直接的通讯。

　　* Configuration:

　　首先建立second Vlan 2个

　　Switch(config)#vlan 101

　　Switch(config-vlan)#private-vlan community

　　###建立vlan101 并指定此vlan为公共vlan

　　Switch(config)#vlan 102

　　Switch(config-vlan)#private-vlan isolated

　　###建立vlan102 并指定此vlan为隔离vlan

　　Switch(config)#vlan 200

　　Switch(config-vlan)#private-vlan primary

　　Switch(config-vlan)#private-vlan association 101 (联合)

　　Switch(config-vlan)#private-vlan association add 102

　　###建立vlan200 并指定此vlan为主vlan，同时指定vlan101以及102为vlan200的second vlan

　　Switch(config)#int vlan 200

　　Switch(config-if)#private-vlan mapping 101,102

　　###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信!!!

　　Switch(config)#int f3/1

　　Switch(config-if)#Switchitchport private-vlan host-association 200 102

　　(4510r上为： switchport private-vlan association host 200 102)

　　Switch(config-if)#Switchitchport private-vlan mapping 200 102

　　Switch(config-if)#Switchitchport mode private-vlan host

　　###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan

　　至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信。

　　注:Cisco网站上的配置实例好像不能按照此方式使用，只是启用隔离而不能与本vlan的网关通信。按照Cisco网站上的配置，private vlan不能up。如果有多个vlan要进行PVLAN配置，second vlan必须要相应的增加，一个vlan只能在private vlan下作为 second vlan。