Частные виртуальные локальные сети используются, когда нужно, чтобы один хост или несколько хостов не имели доступа к общей сети. Соответственно существуют три типа таких портов изолированные (isolated),сообщество (community) и прослушивающий (promiscuous), прослушивающий (promiscuous) порт может общаться со всеми видами портов в пределах частной виртуальной локальной сети. Также через него частные порты могут обмениваться между собой информацией. Варианты настройки приведены ниже:

Настройка изолированной виртуальной локальной сети (isolated vlan)

Обязательно переводим коммутатор в прозрачный режим (transparent) и после этого создаем изолированию виртуальную локальную сеть и первую виртуальную локальную сеть, только одна изолированная сеть может быть привязана к первой сети, к которой она будет привязана:

sw2(config)#vtp transparent

sw2(config-vlan)#vlan 201

sw2(config-vlan)#private-vlan isolated

sw2(config-vlan)#vlan 100

sw2(config-vlan)#private-vlan primary

sw2(config-vlan)#private-vlan association 201

sw2(config-vlan)#end

sw2#wr

Настраиваем порт, к которому будет подключен изолированный хост:

sw2(config)#interface f0/1

sw2(config-if)#switchport mode private-vlan host

sw2(config-if)#switchport private-vlan host-association 100 201

Проверка осуществляется командой:

sw2#show vlan private-vlan

Primary Secondary Type Ports

–– – – –

100 201 isolated Fa0/1

Также посмотреть результат можно и этой командой

sw2#show interface f0/1 switchport

Name: Fa0/1

Switchport: Enabled

Administrative Mode: private-vlan host

Operational Mode: private-vlan host

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Negotiation of Trunking: Off

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: 100 (VLAN00100) 201 (VLAN00201)

Administrative private-vlan mapping: none

Administrative private-vlan trunk native VLAN: none

Administrative private-vlan trunk Native VLAN tagging: enabled

Administrative private-vlan trunk encapsulation: dot1q

Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk private VLANs: none

Operational private-vlan:

100 (VLAN00100) 201 (VLAN00201)

Настройка сообщества виртуальной локальной сети (community vlan)

В данном случае мы настраиваем закрытое сообщество, где несколько хостов связаны между собой.

sw2(config)#vtp transparent

sw2(config-vlan)#vlan 202

sw2(config-vlan)#private-vlan community

sw2(config-vlan)#vlan 100

sw2(config-vlan)#private-vlan primary

sw2(config-vlan)#private-vlan association 202

sw2(config-vlan)#end

sw2#wr

Назначаем четыре порта, к которым будет привязано данное сообщество:

sw2(config)#interface range f0/2 – 5

sw2(config-if)#switchport mode private-vlan host

sw2(config-if)#switchport private-vlan host-association 100 202

sw2(config-if)#end

sw2#wr

Проверка осуществляется командами:

sw2#show vlan private-vlan

Primary Secondary Type Ports

–– – – –

100 202 community Fa0/2

100 202 community Fa0/3

100 202 community Fa0/4

100 202 community Fa0/5

sw2#show interface f0/1 switchport

Настройка

прослушивавшего

порта

(promiscuous)

Если нам требуется обмен данными между изолированным портом и сообществом портов, то надо настроить (promiscuous) прослушивающий порт, в который надо будет добавить все виртуальные локальные сети, которые будут обмениваться данными. Как это делается показано ниже:

sw2(config)#interface f0/24

sw2(config-if)#switchport mode private-vlan promiscuous

sw2(config-if)#switchport private-vlan mapping 100 add 201 202

sw2(config-if)#end

sw2#wr

Проверка осуществляется командами:

Sw2#show interface private-vlan mapping

sw2#show interface f0/1 switchport

МАС

адресация

По умолчанию динамические MAC адреса находятся в таблице коммутатора 5 минут, но мы можем изменить это время:

sw1(config)# mac address-table aging-time 10-1000000 vlan номер vlan

Проверяем командой:

sw1# show mac address-table aging-time

К примеру, нам надо найти, на каком коммутатора находиться нужный нам МАС адрес, вводим команду:

sw01#show mac address-table dynamic address 984b.e1ad.63e3

И получаем ответ:

Mac Address Table

––

Vlan Mac Address Type Ports

–– – – –

5 984b.e1ad.63e3 DYNAMIC Gi1/0/10

Total Mac Addresses for this criterion: 1

Если нам надо узнать какой МАС адрес использует, наш IP адрес используем данную ниже команду:

sw01#show arp | i 10.0.10.11

B результате мы получим искомый нами МАС адрес, если мы просто зададим show arp, то получим полный список IP адресов с соответствующими им МАС адресами.

Охраняемый порт (Protected Ports)