15/02/2017 uebi

Cisco – Private VLAN

Wollte heute schnell mit VIRL Private VLAN testen, aber natuerlich ging dies nicht. Ich fand noch nie eine Software die Private VLAN unterstuetzt, aber nachdem IOSv L2 die Befehle kennt testete ich mal – mit wenig Erfolg. Es kam mir schon komisch vor, dass nur die Haelfte der eingegebenen Commands in der running-config standen… Anyway, dann nahm ich eben nen alten 3560 đŸ˜‰

Nochmal kurz: Primary VLAN ist das VLAN der obersten Hieracrchiestufe. Darunter gibt es dann isolated oder community VLANs. Isolated Ports koennen NUR mit dem Promiscuous Port reden. Community Ports koennen mit anderen Geraeten im selben Community VLAN UND dem Promiscuous Port reden.

VTP muss uebrigens transparent oder Version 3 sein.

Zu diesem Beispiel: Zwei PCs die nicht miteinander reden duerfen, aber beide im selben VLAN bzw Subnetz sind und ins Internet (uber den Router) kommen sollen.

Anwendungsbeispiel waere zB ein Hotel, in dem alle Gaeste im selben VLAN sind, damit man nicht ewig viele Subnetze braucht, aber sich trotzdem nicht gegenseitig sehen sollen.

Isolated VLAN

vlan 110
 name ISOLATED
  private-vlan isolated

 

Primary VLAN

vlan 100
 name PRIMARY
  private-vlan primary
  private-vlan association 110

 

Isolated Ports

interface FastEthernet0/1
 description PC1
 switchport private-vlan host-association 100 110
 switchport mode private-vlan host
!
interface FastEthernet0/2
 description PC2
 switchport private-vlan host-association 100 110
 switchport mode private-vlan host

 

Promiscous Port

interface FastEthernet0/24
 description Router - R1
 switchport private-vlan mapping 100 110
 switchport mode private-vlan promiscuous

 

Sollte man auf dem Switch ein SVI brauchen, welches in das isolated VLAN kommen soll, dann wuerde dies so aussehen:

interface Vlan100
 ip address 192.168.1.253 255.255.255.0
 private-vlan mapping 110

 

Jetzt kann sich PC1 und PC2 zwar nicht pingen, aber den Router erreichen und, sofern konfiguriert/benoetigt, auch das SVI.
 

Von PC2 aus wuerde dies nun so aussehen:

 

Einer der Vorteile von Private VLAN im Vergleich zu Protected Ports bzw Private VLAN Edge ist, dass die Infos auch ueber einen Trunk wandern koennen. Ein Trunk zwischen zwei Private VLAN Switches sieht aus wie jeder andere (normale) Trunk:

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk