|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 1、前言 交換機是網絡的核心設備之一,其技術發展非常迅速,從10Mbit/s以太網、100Mbit/s快速以太網,進而發展到吉比特和10吉比特以太網。交換機在通信領域和企業中的應用向縱深發展,網絡管理人員對掌握專用虛擬局域網PVLAN技術的需求也越來越迫切。本文通過實踐經驗對這方面的應用進行總結。 2、 VLAN的局限性 隨著網絡的迅速發展,用戶對于網絡數據通信的安全性提出了更高的要求,諸如防范黑客攻擊、控制病毒傳播等,都要求保證網絡用戶通信的相對安全性;傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網,通過使用VLAN,每個客戶被從第2層隔離開,可以防止任何惡意的行為和Ethernet的信息探聽。 然而,這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面。 (1)VLAN的限制:交換機固有的VLAN數目的限制; (2)復雜的STP:對于每個VLAN,每個相關的Spanning Tree的拓撲都需要管理; (3)IP地址的緊缺:IP子網的劃分勢必造成一些IP地址的浪費; (4)路由的限制:每個子網都需要相應的默認網關的配置。 3 、PVLAN技術 現在有了一種新的VLAN機制,所有服務器在同一個子網中,但服務器只能與自己的默認網關通信。這一新的VLAN特性就是專用VLAN(Private VLAN)。在Private VLAN的概念中,交換機端口有三種類型:Isolated port,Community port, Promiscuous port;它們分別對應不同的VLAN類型:Isolated port屬于Isolated PVLAN,Community port屬于Community PVLAN,而代表一個Private VLAN整體的是Primary VLAN,前面兩類VLAN需要和它綁定在一起,同時它還包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交換流量;在Community PVLAN中,Community port不僅可以和Promiscuous port通信,而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機接口相連,它收到的流量可以發往Isolated port和Community port。PVLAN的應用對于保證接入網絡的數據通信的安全性是非常有效的,用戶只需與自己的默認網關連接,一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連接,所有的用戶都接入PVLAN,從而實現了所有用戶與默認網關的連接,而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信,但可以穿過Trunk端口。這樣即使同一VLAN中的用戶,相互之間也不會受到廣播的影響。 4、 PVLAN的配置步驟 (1)Put switch in VTP transparent mode set vtp mode transparent (2) Create the primary private VLAN set vlan vlan pvlan-type primary (3)Set the isolated or community VLAN(s) set vlan vlan pvlan-type {isolated community} (4)Map the secondary VLAN(s) to the primary VLAN set pvlan primary_vlan {isolated_vlan community_ vlan} {mod/port sc0} (5)Map each secondary VLAN to the primary VLAN on the promiscuous port(s) set pvlan mapping primary_vlan {isolated_vlan community_vlan} {mod/port} [mod/port ...] (6)Show PVLAN configuration show pvlan [primary_vlan] show pvlan mapping show vlan [primary_vlan] show port [page_break]5 、例子 下面給出一個正在網絡中運行的交換機的PVLAN的相關配置,僅供參考。其中,VLAN 100是Primary VLAN,VLAN 101是Isolated VLAN,VLAN 102和VLAN 103是Community VLAN。 N8-CSSW-2> (enable) show running-config This command shows non-default configurations only. set system name N8-CSSW-2 #vtp set vtp domain sdunicom set vtp mode transparent set vlan 1 name default type ethernet mtu 1500 said 100001 state active set vlan 100 name VLAN0100 type ethernet pvlantype primary mtu 1500 said 100100 state active set vlan 101 name VLAN0101 type ethernet pvlantype isolated mtu 1500 said 100101 state active set vlan 102 name VLAN0102 type ethernet pvlantype community mtu 1500 said 100102 state active set vlan 103 name VLAN0103 type ethernet pvlantype community mtu 1500 said 100103 state active #module 2 : 50-port 10/100/1000 Ethernet set pvlan 100 101 2/26-29,2/35-36,2/42-43 set pvlan mapping 100 101 2/49 set pvlan 100 102 2/1-13,2/30-34 set pvlan mapping 100 102 2/49 set pvlan 100 103 2/14-25 set pvlan mapping 100 103 2/49 end N8-CSSW-2> (enable) show pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- 100 101 isolated 2/26-29,2/35-36,2/42-43 100 102 community 2/1-13,2/30-34 100 103 community 2/14-25 6 、結束語 目前很多廠商生產的交換機支持PVLAN技術,PVLAN技術在解決通信安全、防止廣播風暴和浪費IP地址方面的優勢是顯而易見的,而且采用PVLAN技術有助于網絡的優化,再加上PVLAN在交換機上的配置也相對簡單,PVLAN技術越來越得到網絡管理人員的青睞。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
