PVLAN의 개요 및 특징
- PVLAN이란 같은 VLAN 내에서 또 한 번 논리적인 분리를 하는 것을 말한다.
- 모두를 감싸는 VLAN을 Primary VLAN이라고 부르고, 그 안에 소속된 VLAN은 Secondary VLAN이라고 부른다.
- Secondary VLAN에는 2가지 타입이 있는데, 그 중 Community는 같은 Community VLAN 안에서는 Host 간 통신이 가능한 것이고(서로 다른 Community 간 통신은 불가), Isolated는 같은 Isolated VLAN 안에서도 서로 통신이 불가한 것을 말한다. 서로 다른 Secondary VLAN 간의 통신은 아예 불가능하다고 보면 된다.
- 하나의 네트워크 안에서 VLAN ID는 절대적이다. Secondary VLAN을 만들 때에도 Primary VLAN 바깥의 VLAN과 중복되는 VLAN ID를 사용할 수 없다는 의미이다.
- Promiscuous Port는 인터넷과 연결되는 포트를 말하는데 그렇기 때문에 이 Promiscuous Port는 모든 Host로부터 접근이 가능하다. show vlan private-vlan 명령어에서도 Promiscuous Port가 모든 VLAN에 포함되어 있음을 확인할 수 있다. VLAN 멤버의 개념보다는 그냥 접근이 가능하다는 의미.
PVLAN Configuration
VTP 끄기
ASW(config)# vtp mode off
Secondary VLAN(Isolated) 생성
ASW(config)# vlan 201
ASW(config-vlan)# private-vlan isolated
Secondary VLAN(Community) 생성
ASW(config)# vlan 202
ASW(config-vlan)# private-vlan community
Primary VLAN 생성 및 Association 생성
ASW(config)# vlan 100
ASW(config-vlan)# private-vlan primary
ASW(config-vlan)# association 201,202
Promiscuous Port 설정 및 VLAN 매핑
ASW(config)# int e1/0
ASW(config-if)# switchport mode private-vlan promiscuous
ASW(config-if)# switchport private-vlan mapping 100 201,202
VLAN 202에 연결되는 인터페이스들을 host로 설정 및 VLAN 202를 VLAN 100에 포함시키기
ASW(config)# int range e0/0 - 1
ASW(config-if-range)# switchport mode private-vlan host
ASW(config-if-range)# switchport private-vlan host-association 100 202
VLAN 201에 연결되는 인터페이스들을 host로 설정 및 VLAN 201을 VLAN 100에 포함시키기
ASW(config)# int range e0/2 - 3
ASW(config-if-range)# switchport mode private-vlan host
ASW(config-if-range)# switchport private-vlan host-association 100 201'IT > Network Lab' 카테고리의 다른 글
| [Security]Site-to-Site IPSec Configuration(VPN) (0) | 2021.10.22 |
|---|