什么是私有Vlan?

最新推荐文章于 2023-07-03 21:20:26 发布
最新推荐文章于 2023-07-03 21:20:26 发布
阅读量561 收藏 1
点赞数
文章标签: 交换机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DFfanfan/article/details/106336363
版权

最近有遇到问私有Vlan,查了点资料整理:打个比方5000个主机连在运营商交换机上,运营商把这些主机放在同一个VLAN里,有一个非常大的安全隐患:其中任意一台主机冒充网关,其它主机出网流量就被假冒网关劫持了。

   运营商把每个主机放在一个独一无二的VLAN里,可以杜绝ARP欺骗,但是却没有那么多VLAN,毕竟VLAN最大值也不过4096其实,用户主机只要能ARP广播发现网关的MAC地址,进而和网关通信,就可以与整个Internet通信,对吗?因为网关是连在Internet上的

那怎样的解决方案,可以让主机只能ARP广播发现网关的MAC地址,从而杜绝ARP欺骗攻击?同时又最大程度减少VLAN的使用数量?这个解决方案的名字叫"私有VLAN"

私有VLAN(Private VLAN)

主机们被分配在同一个Secondary VLAN(101)里,可是它们却不在一个广播域里,所以它们无法通过ARP广播发现彼此的MAC地址。ARP欺骗攻击很显然无法一展身手。

网关被分配在Primary VLAN(100)里。神奇的一幕发生了,位于VLAN 100里的网关却与每-

个位于VLAN 101的主机在一个广播域。既然在一个广播域,主机们就可以ARP广播发现网关的MAC地址,进而可以与Internet主机通信。

为什么同属于VLAN 101的主机,却不在一个广播域?

而网关和主机不在一个VLAN里,却能工作在一个广播域?3002089150

其实,这些奇巧淫技没有什么稀奇,不过是技术上一点小技巧。交换机的内部交换矩阵,按照配置的指令,将Primary VLAN(100)与每一个主机VLAN(101)桥接(Bridging)在一起,但不是完全桥接,因为主机之间却无法桥接。

凡凡妹子
关注
私有VLAN(cisco)和MUX VLAN(HUAWEI)
qq_40741808的博客
05-07 1836
目录 私有VLAN(cisco) MUX VLAN(HUAWEI) 一、私有VLAN 概述 出现原因 为了安全性考虑,若一主机被攻克,而该主机与主机在同一VLAN下的主机是可以相互通信的,会造成网络的不安全性。而如果要把每台主机都放在不同的VLAN下的话,则网络需要的三层设备会增加。很多VLAN相互通信生成树复杂。需要在三层隔离VLAN间通信时,使用ACL也增加管理员的工作,同样也不希望划分更...
cisco 私有VLAN 详解
08-23
计算机网络CISCO 私有VLAN私有VLAN 原理,相关的知识
私有vlan
weixin_34179762的博客
11-24 261
一 拓扑图 二 配置私有vlan(pvlan) 只有VTP模式为透明模式,才能配置pvlan (1)配置pc1-4及s2(给测试用) pc1-4按照拓扑图上的说明配置 s2(config)#interface fastEthernet 0/1 s2(config-if)#switchport mode access s2(config)#interf...
private vlan私有vlan
mengmeng_921的博客
06-06 2663
私有 VLAN将一个VLAN的二层广播域划分了多个子域,由一个私有vlan对组成,主VLAN(Primary VLAN)和辅助VLAN(Second VLAN);私有 VLAN对共享同一个主VLAN,一个私有VLAN域中只有一个主VLAN,包含两种类型的辅助VLAN,分别是隔离VLAN(Isolated VLAN)和群体VLAN(Community VLAN);同一个隔离VLAN之内的端口不能互相二层通信。一个私有 VLAN域中只能有一个隔离VLAN;同一个群体VLAN之内的端口可以互相二层通信,群体VLA
私有VLAN
qq_44948209的博客
05-20 362
私有 VLAN,PVLAN 必须配置在透明模式的交换机上,VTP版本1或2 PVLAN把一个VLAN划分成多个不同的VLAN,这些VLAN使用同一个网段。 PVLAN由主VLAN和辅助VLAN组成,主VLAN只有一个,辅助VLAN可以有多个,辅助VLAN分团体VLAN和隔离VLAN,一个主VLAN只能有一个隔离VLAN。 主VLAN,辅助VLAN,关联 # 主VLAN vlan 100 private-vlan primary // VLAN 100 主 VLAN private-vlan asso
PVLAN---思科的私有vlan
weixin_34297704的博客
10-08 170
PVLAN注意事项:PVLAN 只能在VTP transparent模式配置PVLAN 在一个primary vlan下可以有多个secondary vlansecondary vlan 下:可以有island port 、community port 、 promiscuous port。island port 仅可以和promiscuous port 相互通信。c...
私有vlanprivate-vlan)实验文档.docx
05-23
私有VLANPrivate VLAN,简称PVLAN)是一种高级的VLAN配置技术,主要用于增强网络的安全性和隔离性。它在传统的VLAN基础上提供了一种增强的二层隔离机制,允许在一个VLAN内部实现不同级别的通信隔离。私有VLAN通过...
什么是VLAN?为什么要用VLAN?VLAN协议的原理单交换机实现VLAN的原理跨交换机实现VLAN的原理 VLAN是否有漏洞,如果有该如何利用?
最新发布
09-12
VLAN(Virtual Local Area Network,虚拟局域网)是一种将局域网内的设备划分成多个逻辑上的...为了防止这种攻击,管理员需要在交换机上配置端口安全措施,比如使用动态访问控制列表(DACLs)、私有VLANs或安全端口。
实验十七、私有VLAN实验.pdf
10-08
通过实验十七、私有VLAN实验,我们可以了解私有VLAN的原理、交换机私有VLAN的划分方法、VLAN私有VLAN的不同。 私有VLAN的主要特点是,它可以将一个VLAN分隔成多个独立的子网络,每个子网络可以独立地管理和配置,...
-Cisco私有VLAN+Cisco+Private
03-01
私有VLANPrivate VLAN)是思科网络解决方案中的一项技术,它旨在解决网络服务提供商在使用传统VLAN技术时遇到的两个主要问题:可扩展性问题和IP地址管理问题。随着客户数量的增加,每个客户分配一个单独的VLAN会...
H3C_Private vlan基础配置案例
04-21
H3C_Private vlan基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
私有VLAN知识点
weixin_34064653的博客
06-22 258
一、Pvlan知识点二、PVLAN配置案例(cisco)1、设置主VLANSW1(config)#vlan 200 private-vlan primary 2、设置二级子VLANSW1(config)#vlan 201 private-vlan isolated 设置为隔离VLANSW1(config)#vlan 202 private-vlan commun...
VLAN-2-私有VLAN
weixin_30617695的博客
03-13 433
好的设计方式通常要求工程师为每个vlan使用一个ip子网。然而在有些情况下,将设备分割到许多小VLAN中以增加安全性的需求,与节省可用子网的目标相互冲突。通过使用私有vlan交换机能够分离接口,就好像它们位于不同的vlan中,但同时这些接口共同属于同一个子网。 私有vlan最常见的部署是在服务提供商(SP),SP可以对整个大楼只使用一个子网,通过使用私有vlan,将不同客...
VLAN还可以私有?从原理到配置,给你说明白
11-16 2621
最近遇到一个粉丝小友问我有关私有VLAN的问题,老杨想着,也还没仔细在公众号科普过,今晚就展开来讲讲。 打个比方,5000个主机连在运营商交换机上,运营商把这些主机放在同一个VLAN里。这里就有一个非常大的安全隐患: 其中任意一台主机冒充网关,其它主机出网流量就被假冒网关劫持了。 运营商把每个主机放在一个独一无二的VLAN里,可以杜绝ARP欺骗。但是却没有那么多VLAN,毕竟VLAN最大值也不过4096。 其实,用户主机只要能ARP广播发现网关的MAC地址,进而和网关通信,就可以与整个Inter
PVLAN(private VLAN) 私有VLAN
weixin_34242658的博客
12-22 368
PVLAN(private VLAN)私有VLAN 作用:能够为VLAN内不同端口之间提供隔离的VLAN,能够在一个VLAN之中实现端口之间的隔离。 注意:配置时,VTP必须为透明模式 组成: 每个PVLAN包括两种VLAN: 1、主VLAN 2、辅助VLAN 又分为两种:隔离VLAN、联盟VLAN 辅助VLAN是属于主VLAN的,一个主VLAN...
实训十一:交换机私有VLAN配置
weixin_60462069的博客
09-17 783
在设置 Private VLAN 关联前,三种类型的 Private VLAN 都没有以太网端口的成员端口存在 Private VLAN 关联关系的 Primary VLAn 不能被删除;使用指南:Private VLAN 分为三种:Primary VLAN,在 Primary VLAN 内的端口可以和关联到该 Primary VLAn 的 Isolated VLAN 和 Community VLAN 中的端口进行通信;VLAN,community 将当前 VLAN 设置为 Community VLAN
Private VLAN介绍
Long_UP的博客
04-18 2565
划分VLAN的问题 可分配的VLAN编号是1-4094,需要划分更多的VLAN怎么办 每一个VLAN都划分一个子网,当划分多个VL AN时,导致地址的浪费 Private VLAN Private VLAN (私有VLAN,PVLAN) 是能够为相同VLAN内不同端口提供隔离的VLAN。 Pravite VLAN的组成 PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLA...
你知道私有VLAN怎么配置?
04-19 739
前言 “该死,今天去隔壁办公室给学长送了杯奶茶结果被我们主管看到了,他竟然在同事面前阴阳怪气地说了我一通,下午还让我独立一个人完成项目,哎,真是太难了!”小妍一回来就愁眉苦脸的。 “你主管让你干嘛了?很难吗?” “也没有很难,但是我不知道要用什么技术,我要是配错了,少说一个部门,往大地说,全公司的网络可都断了,到那时候我的实习肯定泡汤了,然后我就再也不能给学长送奶茶了!!“小妍说着说着就开始”哭啼啼“地假装抹眼泪。 ”有那么严重吗?他到底想让你干嘛啊?“ ”他说公司有个部门很特殊,一台主机就分配一
Private VLAN典型配置举例
m0_68698993的博客
07-03 884
将下行端口GigabitEthernet1/0/2、GigabitEthernet1/0/3添加到VLAN 201,GigabitEthernet1/0/4、GigabitEthernet1/0/5添加到VLAN 202,并配置它们工作在host模式。可以看到,工作在promiscuous模式的端口GigabitEthernet1/0/1和工作在host模式的端口GigabitEthernet1/0/2~GigabitEthernet1/0/5均以Untagged方式允许VLAN报文通过。
私有vlan配置命令
06-20
私有VLAN (Private VLAN) 是一种网络技术,用于隔离同一交换机上的不同端口之间的流量,提供一定程度的安全性和隔离性。在Cisco IOS设备上配置私有VLAN通常涉及以下步骤: 1. 创建私有VLAN池(Prvlan Pool): ``` switch(config)# vlan private-vlan 100 ``` 这里创建了一个私有VLAN ID为100的池。 2. 创建主VLAN(Principal VLAN): ``` switch(config-vlan)# name VLAN_NAME switch(config-vlan)# switchport mode access switch(config-vlan)# switchport access vlan PRINCIPAL_VLAN ``` 将交换机端口配置为主VLAN,允许用户访问外部网络。 3. 配置从VLAN(Isolate VLAN): ``` switch(config)# private-vlan 100 add vid secondary_VLAN ``` 将特定的VLAN添加到私有VLAN池中,作为从VLAN,通常用于隔离。 4. 配置私有端口: ``` switch(config-if)# private-vlan enable switch(config-if)# private-vlan primary vid PRINCIPAL_VLAN ``` 在每个从VLAN接口上启用私有VLAN并指定其主VLAN。 5. 如果需要,可以配置私有端口仅允许从主VLAN或特定从VLAN通信: ``` switch(config-if)# private-vlan allowed vid PRINCIPAL_VLAN | SEPARATE_VLAN ``` 6. 测试配置: ``` show private-vlan brief | include VLAN_NAME ``` 查看配置是否生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值