Layer 2 Security Private VLANs

REFERENCE

Configuring Private VLANs

MEMO

  • トランクを使って複数のSWにまたがることが可能
  • SVIはプライマリVLANに設定できる
  • PVLANを使った時のSTPインスタンスはプライマリVLANになる。セカンダリVLANはプライマリと同じになる。

1.まずはVTPモード変更

Switch(config)#vtp mode transparent

2.プライマリVLANとセカンダリVLANを作り、セカンダリは独立かコミュニティを割り当てる(独立VLANは1つ、コミュニティは複数作れる)

Switch(config)#vlan 10
Switch(config-vlan)#name PRIMARY-VLAN
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#
Switch(config-vlan)#vlan 100
Switch(config-vlan)#name ISOLATED-VLAN
Switch(config-vlan)#private-vlan isolated
Switch(config-vlan)#
Switch(config-vlan)#vlan 200
Switch(config-vlan)#name COMMUNITY-VLAN
Switch(config-vlan)#private-vlan community

3.プライマリVLAN(10)に入り、自身のセカンダリVLAN(100、200)を教える

Switch(config-vlan)#vlan 10
Switch(config-vlan)#private-vlan association 100,200

4.最後に各ポートを設定する

・プロミスキャスポート
Switch(config)#int fa1/0/24
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 10 100,200

・独立VLANポート
Switch(config-if)#int range fa1/0/1 - 2
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan host-association 10 100

・コミュニティVLANポート
Switch(config)#int range fa1/0/3 - 4
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan host-association 10 200
Switch(config-if-range)#

設定の確認

Switch#show vlan private-vlan

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------
10      100       isolated          Fa1/0/1, Fa1/0/2, Fa1/0/24
10      200       community         Fa1/0/3, Fa1/0/4, Fa1/0/24

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0/5, Fa1/0/6, Fa1/0/7
                                                Fa1/0/8, Fa1/0/9, Fa1/0/10
                                                Fa1/0/11, Fa1/0/12, Fa1/0/13
                                                Fa1/0/14, Fa1/0/15, Fa1/0/16
                                                Fa1/0/17, Fa1/0/18, Fa1/0/19
                                                Fa1/0/20, Fa1/0/21, Fa1/0/22
                                                Fa1/0/23, Gi1/0/1, Gi1/0/2
10   PRIMARY-VLAN                     active
100  ISOLATED-VLAN                    active
200  COMMUNITY-VLAN                   active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

Switch#show run
!
vlan 10
 name PRIMARY-VLAN
  private-vlan primary
  private-vlan association 100,200
!
vlan 100
 name ISOLATED-VLAN
  private-vlan isolated
!
vlan 200
 name COMMUNITY-VLAN
  private-vlan community
!
interface FastEthernet1/0/1
 switchport private-vlan host-association 10 100
 switchport mode private-vlan host
!
interface FastEthernet1/0/2
 switchport private-vlan host-association 10 100
 switchport mode private-vlan host
!
interface FastEthernet1/0/3
 switchport private-vlan host-association 10 200
 switchport mode private-vlan host
!
interface FastEthernet1/0/4
 switchport private-vlan host-association 10 200
 switchport mode private-vlan host
!
interface FastEthernet1/0/24
 switchport private-vlan mapping 10 100,200
 switchport mode private-vlan promiscuous

コメント