本节书摘来自异步社区《NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)》一书中的第2章,第2.3节,作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson,更多章节内容可以访问云栖社区“异步社区”公众号查看
NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)PVLAN提供了一种将单个VALN划分为多个隔离的二层网络的机制。既可以在单台Nexus交换机上配置PVLAN,也可以将主VLAN(primary VLAN)、隔离VALN(isolated VALN)和团体VLAN(community VLAN)中继到其他需要参与该PVLAN域的设备上,从而将PVLAN扩展到多台设备上。PVLAN主要用于以下场景。
IP地址管理:通常来说,VLAN与IP子网之间存在一对一的对应关系。如果需要大量VLAN,而且每个子网仅有少量主机时,就可以采用PVALN技术,用更大的子网配置一个汇聚层并将每个隔离的主机组配置到各个隔离VLAN中,这就一来,当主机在隔离VLAN之间进行迁移时,就不需要更改其IP地址或子网掩码。安全性:PVLAN在二层网络提供了额外的安全等级。对于隔离VLAN来说,只能与相同隔离VLAN中的成员进行二层通信。如果需要在隔离VLAN之间进行通信,那么就必须通过上游路由器或防火墙,从而为相同广播域中的主机应用安全策略提供了可能。广播抑制:利用PVLAN技术可以将广播流量的传播范围控制到那些能够从接收特定广播流量受益的设备上。PVLAN域包括以下两类主要VALN。
主VALN(Primary VLAN):主VLAN是定义广播域的地方。混杂端口(promiscuous port)属于主VLAN,可以与主VLAN中的其他端口进行通信,也可以与隔离VLAN端口及团体VALN端口进行通信。从VLAN(Secondary VLAN):与主VLAN共享IP地址空间的子网,但是每个从VLAN都需要通过以下两种方式进行隔离。隔离VLAN(Isolated VLAN):隔离VLAN中的每个端口都被限制为只能与主VLAN中的混杂端口进行通信。隔离VALN中的端口无法接收来自其他设备的广播。团体VLAN(Community VLAN):团体VLAN端口被限制为可以与其他团体VLAN通信,也可以与相同团体VLAN中的其他端口以及主VLAN中的混杂端口进行通信。一个主VLAN可以关联多个从VLAN,这些关联关系就定义了一个PVLAN域。
在下面的配置示例中,将讨论满足以下需求的6台主机的配置情况。
主机1(192.168.100.21):仅与主机2及其默认网关进行通信。主机2(192.168.100.22):仅与主机1及其默认网关进行通信。主机3(192.168.100.23):仅与主机4及其默认网关进行通信。主机4(192.168.100.24):仅与主机3及其默认网关进行通信。主机5(192.168.100.25):仅向其默认网关发送流量。主机6(192.168.100.26):仅向其默认网关发送流量。
例2-18解释了主VLAN、隔离VLAN以及团体VLAN的配置方式,并定义了它们之间的关系。
例2-18 定义PVLAN
例2-19解释了三层SVI(Switched Virtual Interface,交换式虚拟接口)以及相关联的二层从VLAN的定义方式。
例2-19 为从VLAN创建SVI
例2-20解释了在接入交换机上配置PVLAN的方式并将主机端口分配给相应的从VLAN。
例2-20 接入交换机的PVLAN配置
例2-21验证了主VLAN以及相关联的从VLAN的SVI映射关系。
例2-21 验证三层SVI PVLAN映射
例2-22验证了主VLAN、相关联的从VLAN以及接入交换机Kenya上属于每个VLAN的主机端口的映射关系。
例2-22 验证PVLAN映射
