这两种技术都可以实现交换机中同一vlan中的接口之间不可通信的目的,但这种"不可通信"并不是真正的隔离,只是一种表面现象,其它有些办法是可以打破这种表象的!!!
 现在网络安全要求也越来越高了,一个局域网有时候也希望能够做到互相不能访问。我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求。
在cisco 低端交换机中的实现方法:
1. 通过端口保护(Switchport protected)来实现的。
2. 通过PVLAN(private vlan 私有vlan)来实现.
Switchport Protected:
· Concept:
The switchport protection feature is local to the switch; communication between protected ports on the same switch is possible only through a Layer 3 device. To prevent communication between protected ports on different switches, you must configure the protected ports for unique VLANs on each switch and configure a trunk link between the switches. A protected port is different from a secure port.
A protected port does not forward any unicast, multicast, or broadcast traffic to any other protected port. A protected port continues to forward unicast, multicast, and broadcast traffic to unprotected ports and vice versa.
Port monitoring does not work if both the monitor and monitored ports are protected ports.
Protected ports are supported on IEEE 802.1Q trunks.
· Configuration:
相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式:
Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口
Switch(config-if-range)#Switchitchport protected #开启端口保护
· 实际应用:
1. 防止DHCP
2. 防止环路
3. 需求必须要放在同一个vlan,但是不能够访问。因为软件限制必须在一个vlan里面。
4. 比如一个小区用交换机接入,所有的用户都在一个VLAN里面,但用户之间不能访问,只能和网关通讯访问互联网或
-à由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。
Private VLAN:
Concept: 现在有了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN(private VLAN, pVLAN)。专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。
  
专 用 VLAN 的 应 用 对于保证城域接入网络的数据通讯的安全性 是 非 常 有 效的用户只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN 和IP 子 网 就 提 供 了 具备第二层数据通讯安全性的连接,所有的用户都接入专用 VLAN,从而实现了所有用户与缺省网关的连接,而与专用VLAN内的其他用户没有直接的通讯。
Configuration:
首先建立second Vlan 2个
  Switch(config)#vlan 101
  Switch(config-vlan)#private-vlan community
  ###建立vlan101 并指定此vlan为公共vlan
  Switch(config)#vlan 102
  Switch(config-vlan)#private-vlan isolated
  ###建立vlan102 并指定此vlan为隔离vlan
  Switch(config)#vlan 200
  Switch(config-vlan)#private-vlan primary
  Switch(config-vlan)#private-vlan association 101 (联合)
  Switch(config-vlan)#private-vlan association add 102
  ###建立vlan200 并指定此vlan为主vlan,同时指定vlan101以及102为vlan200的second vlan
  Switch(config)#int vlan 200
  Switch(config-if)#private-vlan mapping 101,102
  ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信!!!
  Switch(config)#int f3/1
Switch(config-if)#Switchitchport private-vlan host-association 200 102
(4510r上为: switchport private-vlan association host 200 102)
  Switch(config-if)#Switchitchport private-vlan mapping 200 102
  Switch(config-if)#Switchitchport mode private-vlan host
  ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan
  至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信。
注:Cisco网站上的配置实例好像不能按照此方式使用,只是启用隔离而不能与本vlan的网关通信。按照Cisco网站上的配置,private vlan不能up。如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为 second vlan。

Private VLAN 与Switchport Protected相关推荐

  1. 【锐捷交换】交换机Private Vlan配置

    功能简介 服务提供商如果给每个用户一个VLAN,则由于一台设备支持的VLAN数最大只有4096而限制了服务提供商能支持的用户数:在三层设备上,每个VLAN被分配一个子网地址或一系列地址,这种情况导致I ...

  2. php protected 属性,PHP实现在对象之外访问其私有属性private及保护属性protected的方法...

    本文实例讲述了PHP实现在对象之外访问其私有属性private及保护属性protected的方法.,具体如下: public 表示全局的访问权限,类内部外部子类都可以访问: private表示私有的访 ...

  3. C++继承详解:共有(public)继承,私有(private)继承,保护(protected)继承

    转自:http://www.cnblogs.com/qlwy/archive/2011/08/25/2153584.html C++继承:公有,私有,保护 公有继承(public).私有继承(priv ...

  4. 网络工程师——Private VLAN

    网络工程师--Private VLAN 0.背景 1.Private VLAN产生背景 2.Private VLAN技术功能 3.Private VLAN技术原理 0.背景 随着以太网的快速发展,很多 ...

  5. PVLAN (Private VLAN)

    PVLAN即私有VLAN,(Private VLAN),也称"虚拟局域网". PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离.如果将交换机或IP ...

  6. PHP中private、public、protected的区别详解

    public 表示全局,类内部外部子类都可以访问: private表示私有的,只有本类内部可以使用: protected表示受保护的,只有本类或子类或父类中可以访问: 一.public: 公有类型 在 ...

  7. private vlan(私有vlan)

    今天带大家了解一下 private vlan,也就是私有vlan. 私有 VLAN将一个VLAN的二层广播域划分了多个子域,由一个私有vlan对组成,主VLAN(Primary VLAN)和辅助VLA ...

  8. 【新华三】网络工程师 这不是普通的VLAN技术-Private VLAN

    本期主要介绍Private VLAN技术,下期介绍Super VLAN技术 随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带.基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离.V ...

  9. PHP中private什么意思,PHP中的private和public还有protected的区别

    最近H5项目繁忙,没空写PHP的学习心得.今天补上: 在接触PHP的最开始,我首先是看了PHP的源代码,PHP的源代码大致分四层:SAPI:接口层.main业务层.zend.以及扩展层EXT:这就是我 ...

最新文章

  1. Autoware安装和快速使用
  2. 【NLP_Stanford课堂】正则表达式
  3. 解读全球海缆地图,带你看懂隐藏的秘密
  4. 077 Combinations 组合
  5. 鬼谷子72术,完整收藏
  6. 11月女性时尚行业动态:浏览热度走势曲折 起伏大
  7. favicon.ico 404的问题(title栏前面的图标)
  8. 【数学】三角函数及部分微积分函数图象整理
  9. 面向对象编程(六):数据封装
  10. ubuntu类似sourcetree的git可视化工具安装
  11. The following paths are ignored by one of your .gitignore
  12. Ubuntu下配置源地址/本地源/官方源
  13. 人生,关了一扇窗,又开启另一扇门
  14. 让你的「文件传输助手」歇一歇吧,你完全有更实用的备忘录工具选择
  15. 对比Google翻译、百度翻译和有道翻译
  16. GEE6:获取每年水体数据
  17. AVFoundation | 封装一个好用的视频播放器
  18. C语言线程关闭会释放自动释放,[求助]关于C语言多线程内存释放的问题
  19. nginx 通过IP访问项目
  20. 高等数学考研笔记(八)

热门文章

  1. 一分钟集成类似抖音、头条、腾讯视频、网易新闻、飞猪、咸鱼等常用标题栏
  2. 这样的钓鱼邮件,你会中招吗?
  3. K.M.P算法个人浅谈
  4. 电脑屏幕保护推荐——Fliqlo
  5. API接口开发其实特简单,Python Flask Web 框架教程来了
  6. 星淘惠:现在做跨境电商还有优势吗?跨境电商发展怎么样
  7. 银行数字化转型导师坚鹏:基于招商银行案例研究的银行APP运营
  8. 使用ping命令检测设备在线
  9. WWDC之优化App启动速度
  10. Android面试常见问题汇总