Private VLAN Configuration

PVLAN설정시 제한되는 사항들

  • PVLAN trunk port는 IEEE 802.1Q 만을 지원.
  • Isolated 또는 community VLAN 은 하나의 primary VLAN연결만 갖는다.
  • VTP는 PVLAN을 지원하지 않는다. PVLAN 포트를 원하는 각 장치에 PVLAN을 구성.
  • PVLAN 사용시, VTP mode는 반드시 transparent로 설정.

Private VLAN Configuration

  1. 관련된 모든 스위치의 VTP모드를 transparent로 바꾼다.
  2. Secondary VLANs(isolated & community)를 만든다.
  3. Primary VLAN 을 만든다.
  4. Secondary VLAN을 Primary VLAN에 연결한다. 오직 하나의 isolated VLAN만 primary VLAN에 매핑할 수 있지만, community VLAN은 여러개가 가능.
  5. Secondary, primary VLAN을 적절하게 연결하고, Isolated port 또는 community port를 설정.
  6. (Optionally) Interface를 promiscuous port로 설정해서, 모든 secondary VLAN과 primary VLAN을 연결시킨다. 일반적으로, 라우터나 방화벽 인터페이스가 연결되는 스위치의 포트를 promiscuous port로 구성한다.
  7. (Optionally) 멀티스위치 PVLAN 환경에서는, interswitch trunk port에 PVLAN 기능을 구성한다.

  아래 그림은 앞으로 진행할 구성에 사용될 시나리오를 보여준다. 스위치에서 VLAN 200을 primary VLAN으로 구성하고 secondary VLAN 400(isolated VLAN) 과 600(community VLAN)을 구성할 것이다.

  스위치에 다음과 같이 구성한다.

  • Interface Fa1/1는 isolated interface로 구성. 인터페이스에 연결된 호스트가 모든 promiscuous port를 제외한 다른 포트와 통신하지 못한다.
  • Interface Fa1/2, 1/3은 community interface로 구성. 인터페이스에 연결된 호스트가 다른 community port와 모든 promiscuous port와 통신 가능.
  • Interface Fa1/4 는 promiscuous interface로 구성. Default gateway router와 연결
  • 인접 스위치에서 PVLAN 기반의 분리를 유지하기 위한 방식으로 Gi0/1 trunk 인터페이스를 연결한다.