PVLAN技术应用,网络管理员的新宠
pvlan技术应用,网络管理员的新宠
--------------------------------------------------------------------------------
交换机是网络的核心设备之一,其技术发展非常迅速,从10mbit/s以太网、100mbit/s快速以太网,进而发展到吉比特和10吉比特以太网。交换机在通信领域和企业中的应用向纵深发展,网络管理人员对掌握专用虚拟局域网pvlan技术的需求也越来越迫切。本文通过实践经验对这方面的应用进行总结。
vlan的局限性
; 随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范******、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个vlan和相关的ip子网,通过使用vlan,每个客户被从第2层隔离开,可以防止任何恶意的行为和ethernet的信息探听。 然而,这种分配每个客户单一vlan和ip子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。
(1)vlan的限制:交换机固有的vlan数目的限制;
(2)复杂的stp:对于每个vlan,每个相关的spanning tree的拓扑都需要管理;
(3)ip地址的紧缺:ip子网的划分势必造成一些ip地址的浪费;
(4)路由的限制:每个子网都需要相应的默认网关的配置。
pvlan技术
现在有了一种新的vlan机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。这一新的vlan特性就是专用vlan(private vlan)。在private vlan的概念中,交换机端口有三种类型:isolated port,community port, promisc-uous port;它们分别对应不同的vlan类型:isolated port属于isolated pvlan,community port属于community pvlan,而代表一个private vlan整体的是primary vlan,前面两类vlan需要和它绑定在一起,同时它还包括promiscuous port。在isolated pvlan中,isolated port只能和promiscuous port通信,彼此不能交换流量;在community pvlan中,community port不仅可以和promiscuous port通信,而且彼此也可以交换流量。promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往isolated port和community port。pvlan的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个pvlan不需要多个vlan和ip子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入pvlan,从而实现了所有用户与默认网关的连接,而与pvlan内的其他用户没有任何访问。pvlan功能可以保证同一个vlan中的各个端口相互之间不能通信,但可以穿过trunk端口。这样即使同一vlan中的用户,相互之间也不会受到广播的影响。
pvlan的配置步骤
(1)put switch in vtp transparent mode
set vtp mode transparent
(2) create the primary private vlan
set vlan vlan pvlan-type primary
(3)set the isolated or community vlan(s)
set vlan vlan pvlan-type {isolated | community}
(4)map the sec vlan(s) to the primary vlan
set pvlan primary_vlan {isolated_vlan | community_
vlan} {mod/port | sc0}
(5)map each sec vlan to the primary vlan on the promiscuous port(s)
set pvlan mapping primary_vlan {isolated_vlan | community_vlan} {mod/port} [mod/port …]
(6)show pvlan c
show pvlan [primary_vlan]
show pvlan mapping
show vlan [primary_vlan]
show port
例子
下面给出一个正在网络中运行的交换机的pvlan的相关配置,仅供参考。其中,vlan 100是primary vlan,vlan 101是isolated vlan,vlan 102和vlan 103是community vlan。
n8-cssw-2> (enable) show running-c
this command shows n c only.
set system name n8-cssw-2
#vtp
set vtp domain sdunicom
set vtp mode transparent
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 100 name vlan0100 type ethernet pvlantype primary mtu 1500 said 100100 state active
set vlan 101 name vlan0101 type ethernet pvlantype isolated mtu 1500 said 100101 state active
set vlan 102 name vlan0102 type ethernet pvlantype community mtu 1500 said 100102 state active
set vlan 103 name vlan0103 type ethernet pvlantype community mtu 1500 said 100103 state active
#module 2 : 50-port 10/100/1000 ethernet
set pvlan 100 101 2/26-29,2/35-36,2/42-43
set pvlan mapping 100 101 2/49
set pvlan 100 102 2/1-13,2/30-34
set pvlan mapping 100 102 2/49
set pvlan 100 103 2/14-25
set pvlan mapping 100 103 2/49
end
n8-cssw-2> (enable) show pvlan
primary sec sec ports
------- --------- ----------------
100 101 isolated 2/26-29,2/35-36,2/42-43
100 102 community 2/1-13,2/30-34
100 103 community 2/14-25
结束语
目前很多厂商生产的交换机支持pvlan技术,pvlan技术在解决通信安全、防止广播风暴和浪费ip地址方面的优势是显而易见的,而且采用pvlan技术有助于网络的优化,再加上pvlan在交换机上的配置也相对简单,pvlan技术越来越得到网络管理人员的青睐。
转载于:https://blog.51cto.com/cisco/4826
PVLAN技术应用,网络管理员的新宠相关推荐
- PVLAN技术初探-巧用PVLAN优化网络
PVLAN技术初探 交换机是<网络的核心设备之一,其技术发展非常迅速,从10Mbit/s以太网.100Mbit/s快速以太网,进而发展到吉比特和10吉比特以太网.交换机在通信领域和企业中的应用向 ...
- 网络管理员必备工具_EventLog Analyzer一款强大的日志管理工具
网络管理员的日常工作内容可能非常繁杂.针对于公司的不同需求网络管理员需要具备各类设备的维护技能.但无论这些工作有什么不同,有一样技能是他们必须具备的,那就是网络信息安全维护能力.我们知道网络信息安全对 ...
- 硬核小知识,网络管理员的技术职业规划《一》
前言 网管员是目前我们做网络建设网络运营,网络管理包括网络安全整个技术建设当中最重要的一个环节,所以实际上很多人以为网管员将来就是网络管理员及把定位在这样一个角度是不对的. 网管员的职能表达在所在公司 ...
- 2021全国计算机技术与软件专业技术资格水平考试(软考)网络管理员考试大纲
说明:很多考生准备参加2021年软考网络管理员考试,当然本人也是要考的哦(被逼无奈)!因此整理了一份提纲供大家备考学习.之后如果有时间的话会给大家分享历年卷题目和答案解析的. 一.考试说明 1.考试目 ...
- 网络管理员入门与基础技术
学习基础知识当好称职网络管理员 本着就近原则,毕业后本人在一个国企当上了一名网络管理员.企业不大,机器也就500~600台左右吧:面积不大,也就700~800平方左右吧:楼房不多,也就6~7幢吧.网管 ...
- linux网络管理期末,网络管理员考试知识点7—网络管理技术
第7章.网络管理技术 考点1.Windows的基本管理 [考法分析] 本考点的基本考法是能够识别Windows系统下,常见命令的含义与作用 [要点分析] 1.需要熟悉掌握常见命令,如ipconfig.p ...
- 工作三年,我眼中的‘企业’网络管理员(非苦水)
我想说说工作中我个人的心得和体会,觉得写的有不正确的,大家可以踊跃发言及纠正 在台企 这类工作有个专业的术语 叫做 MIS Management Information System Enginee ...
- 最不安全的网络管理员大盘点
网络管理员总是面对具有高度挑战和技术难度的任务,因此安全就变得非常重要.这里笔者总结了七种最不安全的网络管理员,并且根据行业经验描述了这些不安全因素的特点. 一:对安全过于谨慎者 "安全先生 ...
- 一个合格网络管理员的成长经历
随着信息化进程的飞速发展,组建网络已成为每个现代企业的必经之路.而在我国的大部分中小企业中,对网络这一神奇工具的使用还非常有限,究其原因主要因为在这些企业中缺乏完整的管理思路和控制管理能力的网络管理员 ...
最新文章
- c语言相邻字符串字面量,C语言预处理#运算符的细节
- mysql的一个字段最多能插入多少数据?我们存入text类型的值上限是多大?
- java读取dcm影像文件_使用dcmtk库读取.dcm文件并获取信息+使用OpenCV显示图像
- 关于产品 / 市场契合点 PMF 的 12 个问题全解读(上)
- boost::units模块实现确保最小的 + - * / 单元类功能齐全的测试程序
- Jsp+Servlet+MYSQL注册登录案例(界面难看,ε=(´ο`*)))唉)
- django-正向查询与反向查询演练-查询集的三种状态
- 01.C(Linux命令)
- weka manual 3.6 翻译:1.1 引言
- Windows 10安装TensorFlow-gpu1.4 及CUDA8.0,cuDNN6.0,搞定了,包含安装方法和下载路径
- dell 2950 raid阵列冷迁移方法
- 使用采用 Android* OS 的英特尔® 集成性能基元
- hdu 1007 Quoit Design(最近点对)
- TCP—为什么是AIMD?
- html对象转换为字符串,如何使用JavaScript将对象转换为字符串?
- Dell 服务器开启虚拟化功能Intel VT-x
- zoomit的使用 - 一个可以直接在演示的时候写字的软件
- 基于GoLang实现API短信网关
- 一个执念重度患者的自白
- C# Excel数据验重及Table数据验重