4.2. Private VLAN
4.2.1. Các đặc điểm của PVLAN
Thông thường, lưu lượng được truyền đi mà không bị hạn chế trong một VLAN. Các gói tin được gửi đi từ một máy nguồn trong mạng thường chỉ được nghe bởi máy ở đích đến vì đây là bản chất của chuyển mạch lớp 2. Tuy nhiên, nếu một máy gửi broadcast một gói tin cho toàn mạng thì tất cả các máy trên mạng đều nhận được. chúng ta có thể sử dụng VLAN Access List để lọc các gói tin giữa nơi gửi và đích đến nếu cả hai đều nối chung một switch.
Đôi khi khả năng phân đoạn các traffic trong một VLAN diễn ra tốt đẹp mà không cần phải sử dụng nhiều VLAN hay router. Ví dụ, trong một VLAN chứa các server farm, tất cả các máy chủ có khả năng giao tiếp với các router hay gateway nhưng các máy chủ sẽ không nhận các gói tin được gửi broadcast từ các máy chủ khác. Giả sử các máy chủ thuộc về một doanh nghiệp riêng biệt; bây giờ mỗi máy chủ đều bị tách khỏi các máy chủ khác nhưng vẫn có khả năng kết nối với các client không có trong mạng thông qua gateway.
Các nhà cung cấp dịch vụ mạng đã áp dụng công nghệ này. Ở đây, các nhà cung cấp có thể sử dụng một VLAN để kết nối với mạng của một số khách hàng. Mỗi khách hàng cần phải sử dụng gateway của nhà cung cấp trên VLAN. Rõ ràng, các trang web của khách hàng không cần phải tương tác với nhau.
Private Vlan(PVLANs) có thể giải quyết vấn đề này trên thiết bị switch Catalyst. Tóm lại, máy chủ có thể kết nối với một secondary VLAN thông qua giao tiếp với các cổng trên primary VLAN(ví dụ, router), nhưng không phải kết nối với một secondary VLAN khác. Một secondary VLAN được cấu hình như một trong các loại sau đây:
Tất cả các secondary VLAN phải thuộc một primary VLAN để có thể thiết lập mội quan hệ một chiều có nghĩa là secondary VLAN có thể giao tiếp với primary VLAN nhưng lại không thể giao tiếp với các secondary VLAN khác. Private VLAN được cấu hình bằng cách sử dụng các trường hợp đặc biệt của
một VLAN thông thường. Tuy nhiên, VLAN Trunking(VTP)không cho phép truyền bất kỳ thông tin về cấu hình private VLAN. Vì vậy, private VLAN chỉ có tác dụng trên một switch nội bộ. Mỗi private VLAN phải được cấu hình trên một switch nội bộ để có thể kết nối chúng. Chúng ta phải cấu hình các cổng vật lý của switch để có thể sử dụng private VLAN trong một VLAN. Chúng ta cũng phải định nghĩa các port với một trong các kiểu sau:
Hình 1.1 cho thấy các hoạt động cơ bản của private VLAN. Một số máy tính kết nối với một secondary community VLAN. Hai community VLAN thuộc một primary VLAN, nơi mà các router kết nối lại tất cả. Router kết nối tới cổng community của primary VLAN. Một máy tính duy nhất kết nối vào secondary isolated VLAN, vì vậy nó chỉ có thể giao tiếp với cổng promisuous của router.
4.2.2. Cấu hình Private VLAN
Để cấu hình Private VLAN, chúng ta bắt đầu bằng việc xác định bất kỳ secondary VLAN cần được cô lập bằng cách sử dụng các lệnh cấu hình sau đây:
Switch(config)# vlan vlan-id
Switch(config-vlan)#private-vlan {isolated | community}
Các secondary VLAN có thể là một isolated VLAN(không có kết nối giữa các isolated port) hoặc một community VLAN(có kết nối giữa các port trong nhóm).
Bây giờ primary VLAN sẽ cung cấp các kết nối Private VLAN bằng cách
sử dụng các lệnh sau đây:
Switch(config)#vlan vlan-id
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association {secondary-vlan-list | add
secondary-vlan-list | remove secondary-vlan-list }
Hãy chắc rằng primary VLAN có thể giao tiếp với các secondary VLAN bằng cách sử dụng chung một từ khóa association. Nếu các primary VLAN đã được cấu hình, chúng ta có thể thêm (add) hoặc xóa (remove) liên kết giữa các secondary VLAN riêng biệt.
Những câu lệnh cấu hình VLAN chỉ tạo ra các kết nối theo một chiều từ secondary tới primary VLAN. Chúng ta cũng phải gắn các cổng trên switch vào các private VLAN tương ứng.
4.2.2.1. Associate port trên Private VLAN
Đầu tiên, xác định các chức năng của port này khi tham gia vào một
private VLAn bằng cách sử dụng các lệnh cấu hình sau đây:
Switch(config-if ) #switchport mode private-vlan {host | promiscuous}
Nếu một host được kết nối với một port của router, firewall, hoặc có chung gateway với VLAn, chúng ta sẽ sử dụng chung từ khóa là promiscuous. Điều này cho phép các host tìm thấy các port khác như
promiscuous, isolated, hoặc community port đang giao tiếp với primary VLAN. Nói cách khác, bất kỳ port isolated hoặc community nào cũng phải có chung từ khóa là host.
Đối với một port là nonpromiscuous (sử dụng câu lệnh switchport mode private-vlan host),chúng ta phải gắn các port trên switch vào các primary và secondary VLAN một cách hợp lý. Các port trên switch phải biết làm thế nào để tương tác với các VLAN khác nhau bằng cách sử dụng câu lệnh cấu hình interface dưới đây:
Switch(config-if)#switchport private-vlan host-association primary-vlan-id secondary-vlan-id
NOTE:
Khi các port trên switch giao tiếp với private VLAN, chúng ta không thể cấu hình tĩnh access VLAN. Thay vào đó, các port sẽ đưa vào primary và secondary VLAN cùng một lúc. Điều đó không có nghĩa là các port có đầy đủ các tính năng của các VLAN đó. Thay vào đó, chúng sẽ giao tiếp theo một chiều giữa các secondary và primary VLAN. Là promiscuous port (sử dụng câu lệnh switchport mode private-vlan promiscuous), chúng ta phải map các port vào primary và secondary VLAN. Lưu ý rằng các port ở chế độ promiscuous, hoặc các port có thể giao tiếp các thiết bị thuộc private VLAN, sẽ được map vào các secondary VLAN liên quan. Một port ở chế độ promiscuous thì có thể giao thiếp theo hai chiều (chiều thứ nhất là từ secondary VLAN tới primary VLAN chiều thứ hai là theo hướng ngược lại) trong khi đó các port thuộc secondary VLAN chỉ có thể giao tiếp theo một chiều(từ
secondary VLAN tới primary VLAN).
Sử dụng câu lệnh để cấu hình interface để map port ở chế độ promiscuous vào primary hay secondary VLAN:
Switch (config-if)#switchport private-vlan mapping primary-vlan-id
secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}
Ví dụ:
Giả sử switch trong hình 16-1 được cấu hình như trong ví dụ 16-2. các PC nối với các port FastEthernet 1/1 và 1/2 thuộc community VLAN 10, PC nối với port FastEthernet 1/4 và 1/5 thuộc community VLAN 20, và PC nối với port FastEthernet 1/3 thuộc isolated VLAN 30. Các router nối với port FastEthernet 2/1 ở mode promiscuous thuộc primary VLAN 100. Mỗi VLAN có một vai trò riêng và primary VLAN sẽ liên kết các secondary VLAN với nhau. Sau đó mỗi interface sẽ giao tiếp với một primary VLAN và secondary VLAN(nếu có một PC kết nối vào) hoặc được map vào primary hay secondary VLAN(nếu một PC kết nối vào ở mode promiscuous).
4.2.1. Các đặc điểm của PVLAN
Thông thường, lưu lượng được truyền đi mà không bị hạn chế trong một VLAN. Các gói tin được gửi đi từ một máy nguồn trong mạng thường chỉ được nghe bởi máy ở đích đến vì đây là bản chất của chuyển mạch lớp 2. Tuy nhiên, nếu một máy gửi broadcast một gói tin cho toàn mạng thì tất cả các máy trên mạng đều nhận được. chúng ta có thể sử dụng VLAN Access List để lọc các gói tin giữa nơi gửi và đích đến nếu cả hai đều nối chung một switch.
Đôi khi khả năng phân đoạn các traffic trong một VLAN diễn ra tốt đẹp mà không cần phải sử dụng nhiều VLAN hay router. Ví dụ, trong một VLAN chứa các server farm, tất cả các máy chủ có khả năng giao tiếp với các router hay gateway nhưng các máy chủ sẽ không nhận các gói tin được gửi broadcast từ các máy chủ khác. Giả sử các máy chủ thuộc về một doanh nghiệp riêng biệt; bây giờ mỗi máy chủ đều bị tách khỏi các máy chủ khác nhưng vẫn có khả năng kết nối với các client không có trong mạng thông qua gateway.
Các nhà cung cấp dịch vụ mạng đã áp dụng công nghệ này. Ở đây, các nhà cung cấp có thể sử dụng một VLAN để kết nối với mạng của một số khách hàng. Mỗi khách hàng cần phải sử dụng gateway của nhà cung cấp trên VLAN. Rõ ràng, các trang web của khách hàng không cần phải tương tác với nhau.
Private Vlan(PVLANs) có thể giải quyết vấn đề này trên thiết bị switch Catalyst. Tóm lại, máy chủ có thể kết nối với một secondary VLAN thông qua giao tiếp với các cổng trên primary VLAN(ví dụ, router), nhưng không phải kết nối với một secondary VLAN khác. Một secondary VLAN được cấu hình như một trong các loại sau đây:
- Isolated – bất kỳ các port trên switch thuộc isolated VLAN có thể kết nối đến primary VLAN nhưng không thể kết nối với các secondary VLAN khác. Ngoài ra, máy chủ kết nối với các port thuộc isolated VLAN thì không thể giao tiếp với nhau. Trên thực tế, các máy chủ bị cô lập tất cả mọi thứ ngoại trừ primary VLAN.
- Community-bất kỳ các port trên switch cùng chung một community VLAN thì có thể giao tiếp với nhau và với các primary VLAn nhưng không giao tiếp với bất kỳ secondary VLAN nào khác. Đây là cơ sở, cung cấp giải pháp cho các server farm và workgroup trong một tổ chức, trong khi cô lập giữa các tổ chức.
Tất cả các secondary VLAN phải thuộc một primary VLAN để có thể thiết lập mội quan hệ một chiều có nghĩa là secondary VLAN có thể giao tiếp với primary VLAN nhưng lại không thể giao tiếp với các secondary VLAN khác. Private VLAN được cấu hình bằng cách sử dụng các trường hợp đặc biệt của
một VLAN thông thường. Tuy nhiên, VLAN Trunking(VTP)không cho phép truyền bất kỳ thông tin về cấu hình private VLAN. Vì vậy, private VLAN chỉ có tác dụng trên một switch nội bộ. Mỗi private VLAN phải được cấu hình trên một switch nội bộ để có thể kết nối chúng. Chúng ta phải cấu hình các cổng vật lý của switch để có thể sử dụng private VLAN trong một VLAN. Chúng ta cũng phải định nghĩa các port với một trong các kiểu sau:
- Promiscous- các port trên switch có thể kết nối với một router, firewall hoặc sử dụng chung một gateway. Các port này có thể kết nối với bất kỳ primary hoặc secondary VLAN. Nói cách khác, nếu các port thuộc mode promiscuous thì sẽ được bõ qua các quy tắc của private VLAN.
- Host-các port trên switch kết nối đến máy chủ thông thường thuộc isolated VLAN hay community VLAN. Port chỉ giao tiếp với một promiscuou hoặc một port trên cùng một community VLAN.
Hình 1.1 cho thấy các hoạt động cơ bản của private VLAN. Một số máy tính kết nối với một secondary community VLAN. Hai community VLAN thuộc một primary VLAN, nơi mà các router kết nối lại tất cả. Router kết nối tới cổng community của primary VLAN. Một máy tính duy nhất kết nối vào secondary isolated VLAN, vì vậy nó chỉ có thể giao tiếp với cổng promisuous của router.
4.2.2. Cấu hình Private VLAN
Để cấu hình Private VLAN, chúng ta bắt đầu bằng việc xác định bất kỳ secondary VLAN cần được cô lập bằng cách sử dụng các lệnh cấu hình sau đây:
Switch(config)# vlan vlan-id
Switch(config-vlan)#private-vlan {isolated | community}
Các secondary VLAN có thể là một isolated VLAN(không có kết nối giữa các isolated port) hoặc một community VLAN(có kết nối giữa các port trong nhóm).
Bây giờ primary VLAN sẽ cung cấp các kết nối Private VLAN bằng cách
sử dụng các lệnh sau đây:
Switch(config)#vlan vlan-id
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association {secondary-vlan-list | add
secondary-vlan-list | remove secondary-vlan-list }
Hãy chắc rằng primary VLAN có thể giao tiếp với các secondary VLAN bằng cách sử dụng chung một từ khóa association. Nếu các primary VLAN đã được cấu hình, chúng ta có thể thêm (add) hoặc xóa (remove) liên kết giữa các secondary VLAN riêng biệt.
Những câu lệnh cấu hình VLAN chỉ tạo ra các kết nối theo một chiều từ secondary tới primary VLAN. Chúng ta cũng phải gắn các cổng trên switch vào các private VLAN tương ứng.
4.2.2.1. Associate port trên Private VLAN
Đầu tiên, xác định các chức năng của port này khi tham gia vào một
private VLAn bằng cách sử dụng các lệnh cấu hình sau đây:
Switch(config-if ) #switchport mode private-vlan {host | promiscuous}
Nếu một host được kết nối với một port của router, firewall, hoặc có chung gateway với VLAn, chúng ta sẽ sử dụng chung từ khóa là promiscuous. Điều này cho phép các host tìm thấy các port khác như
promiscuous, isolated, hoặc community port đang giao tiếp với primary VLAN. Nói cách khác, bất kỳ port isolated hoặc community nào cũng phải có chung từ khóa là host.
Đối với một port là nonpromiscuous (sử dụng câu lệnh switchport mode private-vlan host),chúng ta phải gắn các port trên switch vào các primary và secondary VLAN một cách hợp lý. Các port trên switch phải biết làm thế nào để tương tác với các VLAN khác nhau bằng cách sử dụng câu lệnh cấu hình interface dưới đây:
Switch(config-if)#switchport private-vlan host-association primary-vlan-id secondary-vlan-id
NOTE:
Khi các port trên switch giao tiếp với private VLAN, chúng ta không thể cấu hình tĩnh access VLAN. Thay vào đó, các port sẽ đưa vào primary và secondary VLAN cùng một lúc. Điều đó không có nghĩa là các port có đầy đủ các tính năng của các VLAN đó. Thay vào đó, chúng sẽ giao tiếp theo một chiều giữa các secondary và primary VLAN. Là promiscuous port (sử dụng câu lệnh switchport mode private-vlan promiscuous), chúng ta phải map các port vào primary và secondary VLAN. Lưu ý rằng các port ở chế độ promiscuous, hoặc các port có thể giao tiếp các thiết bị thuộc private VLAN, sẽ được map vào các secondary VLAN liên quan. Một port ở chế độ promiscuous thì có thể giao thiếp theo hai chiều (chiều thứ nhất là từ secondary VLAN tới primary VLAN chiều thứ hai là theo hướng ngược lại) trong khi đó các port thuộc secondary VLAN chỉ có thể giao tiếp theo một chiều(từ
secondary VLAN tới primary VLAN).
Sử dụng câu lệnh để cấu hình interface để map port ở chế độ promiscuous vào primary hay secondary VLAN:
Switch (config-if)#switchport private-vlan mapping primary-vlan-id
secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}
Ví dụ:
Giả sử switch trong hình 16-1 được cấu hình như trong ví dụ 16-2. các PC nối với các port FastEthernet 1/1 và 1/2 thuộc community VLAN 10, PC nối với port FastEthernet 1/4 và 1/5 thuộc community VLAN 20, và PC nối với port FastEthernet 1/3 thuộc isolated VLAN 30. Các router nối với port FastEthernet 2/1 ở mode promiscuous thuộc primary VLAN 100. Mỗi VLAN có một vai trò riêng và primary VLAN sẽ liên kết các secondary VLAN với nhau. Sau đó mỗi interface sẽ giao tiếp với một primary VLAN và secondary VLAN(nếu có một PC kết nối vào) hoặc được map vào primary hay secondary VLAN(nếu một PC kết nối vào ở mode promiscuous).
Comment