프라이빗 VLAN

단일 VLAN을 분리해야 하는 필요성은 다음과 같은 구축 시나리오에서 특히 유용합니다.

• 서버 팜 - 일반적인 인터넷 서비스 공급자는 서버 팜을 사용하여 수많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에 다양한 서버를 배치하면 관리를 용이하게 할 수 있습니다. 레이어 2 브로드캐스트가 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

• 메트로폴리탄 이더넷 네트워크 - 메트로 서비스 프로바이더는 다양한 주택, 임대 커뮤니티 및 기업에 레이어 2 이더넷 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존 솔루션은 확장 불가능하고 관리하기 어려워 잠재적인 IP 주소 낭비로 이어졌습니다. PVLAN은 보다 안전하고 효율적인 솔루션을 제공합니다.

PVLAN은 단일 스위치에서 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. 도메인 및 포트 유형은 다음과 같습니다.

• 기본 VLAN—PVLAN의 기본 VLAN은 전체 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN과 여러 개의 커뮤니티 VLAN)을 포함할 수 있습니다.

• 격리된 VLAN/격리된 포트 - 기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 분리된 VLAN 내의 인터페이스는 무차별 포트 또는 ISL(Inter-Switch Link) 포트로만 패킷을 전달할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 또한 격리된 인터페이스는 다른 격리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터 에만 액세스해야 하는 경우 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

• 커뮤니티 VLAN/커뮤니티 포트 - 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 프로미스큐어스 포트 또는 ISL 포트와도 통신할 수 있습니다. 예를 들어 다른 고객 장치와 격리해야 하지만 서로 통신할 수 있어야 하는 두 개의 고객 장치가 있는 경우 커뮤니티 포트를 사용합니다.

• 프로미스큐어스 포트 - 프로미스큐어스 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 레이어 2 통신을 갖습니다. 프로미스큐어스 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인에 포함되지 않습니다. 엔드포인트 디바이스와 통신해야 하는 레이어 3 게이트웨이, DHCP 서버 및 기타 신뢰할 수 있는 디바이스는 일반적으로 프로미스큐어스 포트에 연결됩니다.

• ISL(Inter-Switch Link) - ISL은 PVLAN의 여러 스위치를 연결하고 두 개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치에 걸쳐 있는 경우에만 필요합니다.

구성된 PVLAN은 기본 도메인(기본 VLAN)입니다. PVLAN 내에서 보조 VLAN을 구성하며, 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. PVLAN은 단일 스위치에서 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. 에 그림 1 표시된 PVLAN에는 기본 PVLAN 도메인과 다양한 하위 도메인이 있는 두 개의 스위치가 포함되어 있습니다.

그림 1: PVLAN의 하위 도메인

에서 그림 3볼 수 있듯이 PVLAN에는 하나의 기본 도메인과 여러 개의 보조 도메인만 있습니다. 도메인 유형은 다음과 같습니다.

• 기본 VLAN—프레임 다운스트림을 격리 및 커뮤니티 VLAN으로 전달하는 데 사용되는 VLAN입니다. PVLAN의 기본 VLAN은 전체 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN과 여러 개의 커뮤니티 VLAN)을 포함할 수 있습니다.

• 보조 격리 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN입니다. 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 기본 VLAN은 하나의 분리된 VLAN만 포함할 수 있습니다. 격리된 VLAN(격리된 인터페이스) 내의 인터페이스는 프로미스큐어스 포트 또는 PVLAN 트렁크 포트로만 패킷을 전달할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 또한 격리된 인터페이스는 다른 격리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 라우터 에만 액세스해야 하는 경우 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

• 보조 스위치 간 격리된 VLAN—PVLAN 트렁크 포트를 통해 한 스위치에서 다른 스위치로 격리된 VLAN 트래픽을 전달하는 데 사용되는 VLAN입니다. IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리 VLAN에 802.1Q 태그가 필요합니다. 스위치 간 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다.

• 보조 커뮤니티 VLAN—커뮤니티 구성원(VLAN 내 사용자 하위 집합) 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되는 VLAN입니다. 커뮤니티 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 프로미스큐어스 포트 또는 PVLAN 트렁크 포트와도 통신할 수 있습니다.

그림 2 에서는 여러 스위치에 걸친 PVLAN을 보여주며, 기본 VLAN(100)에는 두 개의 커뮤니티 도메인 (300 과 )과 400한 개의 스위치 간 격리 도메인이 포함되어 있습니다.

그림 2: 다중 스위치에 걸친 PVLAN

구성된 PVLAN은 기본 도메인이 되고 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. PVLAN은 단일 라우터에서 생성될 수 있습니다. 에 그림 3 표시된 PVLAN에는 하나의 라우터와 하나의 기본 PVLAN 도메인 및 여러 개의 보조 하위 도메인이 포함됩니다.

그림 3: 하나의 라우터가 있는 PVLAN의 하위 도메인

도메인 유형은 다음과 같습니다.

• 기본 VLAN—프레임 다운스트림을 격리 및 커뮤니티 VLAN으로 전달하는 데 사용되는 VLAN입니다.

• 보조 격리 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN입니다.

• 보조 스위치 간 격리 VLAN—PVLAN 트렁크 포트를 통해 한 라우터에서 다른 라우터로 격리된 VLAN 트래픽을 전달하는 데 사용되는 VLAN입니다.

• 보조 커뮤니티 VLAN—VLAN 내 사용자의 하위 집합인 커뮤니티 구성원 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되는 VLAN입니다.

그림 4 은 단일 스위치의 PVLAN을 보여주며, 기본 VLAN(VLAN 100)에는 2개의 커뮤니티 VLAN(VLAN 300 및 VLAN 400)과 1개의 분리된 VLAN(VLAN 50)이 포함되어 있습니다.

그림 4: 단일 EX 스위치의 프라이빗 VLAN

그림 5 에서는 기본 VLAN(VLAN 100)에 2개의 커뮤니티 VLAN(VLAN 300 및 VLAN 400)과 1개의 분리된 VLAN(VLAN 200)이 포함된 다중 스위치에 걸친 PVLAN을 보여줍니다. 또한 스위치 1과 2가 스위치 간 링크(PVLAN 트렁크 링크)를 통해 연결되어 있음을 보여줍니다.

그림 5: 여러 EX 시리즈 스위치에 걸친 PVLAN

또한 에 그림 4 표시된 PVLAN은 커뮤니티 및 그림 5 격리된 VLAN 간에 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 무차별 포트를 사용합니다. 라우터에 연결된 무차별 포트를 사용하는 대신 의 그림 4 스위치 또는 에 그림 5 표시된 스위치 중 하나(일부 EX 스위치)에서 RVI를 구성할 수 있습니다.

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 및 그림 5에 표시된 그림 4 대로 라우터를 무차별 포트에 연결하거나 RVI를 구성해야 합니다.

RVI 옵션을 선택하는 경우 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치가 포함되어 있는지 여부에 관계없이 전체 PVLAN 도메인에 서비스를 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스에서 수신한 레이어 3 패킷은 RVI에 매핑되고 RVI에 의해 라우팅됩니다.

RVI를 설정할 때 RVI가 보조 VLAN 인터페이스에서 수신한 ARP 요청을 처리할 수 있도록 프록시 ARP(Address Resolution Protocol)도 활성화해야 합니다.

단일 스위치 및 여러 스위치에서 PVLAN을 구성하는 방법에 대한 자세한 내용은 단일 EX 시리즈 스위치에서 프라이빗 VLAN 생성(CLI 절차)을 참조하십시오. RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스 구성을 참조하십시오.

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 무차별 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

패킷에 고객별 802.1Q 태그가 표시되면 해당 태그가 네트워크의 스위치 또는 라우터에 대한 패킷의 소유권을 식별합니다. 때로는 다른 하위 도메인의 패킷을 추적하기 위해 PVLAN 내에서 802.1Q 태그가 필요합니다. 표 1 는 기본 VLAN 또는 보조 VLAN에 VLAN 802.1Q 태그가 필요한 시기를 나타냅니다.

PVLAN은 IP 주소를 보존하고 IP 주소를 효율적으로 할당합니다. 일반적인 네트워크에서 VLAN은 일반적으로 단일 IP 서브넷에 해당합니다. PVLAN에서 서브넷이 기본 VLAN에 할당되기 때문에 모든 보조 VLAN의 호스트는 동일한 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트에는 기본 VLAN과 연결된 IP 서브넷을 기반으로 IP 주소가 할당되며, 해당 IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 마스킹 정보를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN은 최대 6개의 서로 다른 포트 유형을 사용할 수 있습니다. 에그림 2 묘사된 네트워크는 무차별 포트를 사용하여 라우터로 정보를 전송하고, 커뮤니티 포트를 사용하여 재무 및 HR 커뮤니티를 해당 스위치에 연결하고, 격리된 포트를 사용하여 서버를 연결하고, PVLAN 트렁크 포트를 사용하여 두 스위치를 연결합니다. PVLAN 포트에는 다양한 제한 사항이 있습니다.

• 프로미스큐어스 트렁크 포트 - 프로미스큐어스 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 레이어 2 통신을 합니다. 프로미스큐어스 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인 중 하나에 포함되지 않습니다. 엔드포인트 디바이스와 통신해야 하는 레이어 3 게이트웨이, DHCP 서버 및 기타 신뢰할 수 있는 디바이스는 일반적으로 프로미스큐어스 포트에 연결됩니다.

• PVLAN 트렁크 링크 - 스위치 간 링크라고도 하는 PVLAN 트렁크 링크는 PVLAN이 여러 스위치에 걸쳐 구성된 경우에만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

• PVLAN 트렁크 포트 - PVLAN 트렁크 포트는 스위치를 확장하기 위해 멀티스위치 PVLAN 구성에 필요합니다. PVLAN 트렁크 포트는 PVLAN 내 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 스위치 간 격리 VLAN)의 멤버이며 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 격리된 포트를 제외한 모든 포트와 통신할 수 있습니다.

  PVLAN 트렁크 포트와 분리된 포트 간의 통신은 일반적으로 단방향입니다. 스위치 간 격리된 VLAN에서 PVLAN 트렁크 포트의 구성원은 송신 전용이며, 이는 격리된 포트가 PVLAN 트렁크 포트로 패킷을 전달할 수 있지만 PVLAN 트렁크 포트는 격리된 포트로 패킷을 전달하지 않는다는 것을 의미합니다(패킷이 무차별 액세스 포트에서 수신되어 프로미스큐어스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 한).

• 보조 VLAN 트렁크 포트(표시되지 않음) - 보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 지정된 프라이빗 VLAN의 경우 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전송할 수 있습니다. 그러나 각 보조 VLAN이 서로 다른 기본 VLAN의 멤버인 한 보조 VLAN 트렁크 포트는 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달할 수 있으며 기본 VLAN pvlan400의 일부인 분리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

• 커뮤니티 포트 - 커뮤니티 포트는 서로 통신하며 무차별 포트와 통신합니다. 커뮤니티 포트는 선택된 사용자 그룹에만 서비스를 제공합니다. 이러한 인터페이스는 레이어 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 격리된 포트와 분리됩니다.

• 격리된 액세스 포트 - 격리된 포트는 프로미스큐어스 포트 및 PVLAN 트렁크 포트에만 레이어 2 연결이 있습니다. 이 두 포트가 동일한 격리된 VLAN(또는 스위치 간 격리된 VLAN) 도메인의 구성원인 경우에도 격리된 포트는 다른 분리된 포트와 통신할 수 없습니다. 일반적으로 메일 서버 또는 백업 서버와 같은 서버는 격리된 포트에 연결됩니다. 호텔에서 각 방은 일반적으로 격리된 포트에 연결되어 있으므로 방 간 통신은 불가능하지만 각 방은 무차별 포트에서 인터넷에 액세스할 수 있습니다.

• Promiscuous access port (표시되지 않음) - 이 포트는 태그가 지정되지 않은 트래픽을 전달합니다. 프로미스큐어스 액세스 포트에서 수신되는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. 트래픽이 VLAN 지원 포트에서 디바이스로 수신되고 프로미스큐어스 액세스 포트에서 송신되는 경우, 트래픽은 송신 시 태그 해제됩니다. 태그가 지정된 트래픽이 무차별 액세스 포트로 수신되면 해당 트래픽은 폐기됩니다.

• 스위치 간 링크 포트 - ISL(Interswitch Link) 포트는 PVLAN이 해당 라우터에 걸쳐 있을 때 두 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 분리된 VLAN)의 멤버입니다.

  ISL 포트와 분리된 포트 간의 통신은 단방향입니다. 스위치 간 분리된 VLAN에서 ISL 포트의 구성원 자격은 송신 전용이며, 이는 ISL 포트의 수신 트래픽이 분리된 VLAN에 할당되지 않음을 의미합니다. 격리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달할 수 없습니다. 표 3 에서는 서로 다른 유형의 포트 간에 레이어 2 연결이 존재하는지 여부를 요약합니다.

표 2 에는 ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내에 있는 여러 유형의 포트 간 레이어 2 연결이 요약되어 있습니다.

표 4 은(는) PVLAN 내의 여러 유형의 포트 간에 레이어 2 연결이 존재하는지 여부를 요약합니다.

에서 표 4언급했듯이 격리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 단방향입니다. 즉, 격리된 포트는 PVLAN 트렁크 포트로만 패킷을 전송할 수 있고, PVLAN 트렁크 포트는 격리된 포트에서만 패킷을 수신할 수 있습니다. 반대로, PVLAN 트렁크 포트는 분리된 포트로 패킷을 전송할 수 없으며, 분리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

에 그림 6 표시된 순서도는 PVLAN을 생성하는 프로세스에 대한 일반적인 아이디어를 제공합니다. 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터에 걸쳐 있는 PVLAN에만 적용됩니다.)

• 기본 VLAN은 태그가 지정된 VLAN이어야 합니다.

• 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

• 격리 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

에 표시된 그림 6것처럼 단일 라우터에서 VLAN을 구성하는 것은 비교적 간단합니다.

그림 6: 단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음 단계로 구성됩니다.

1. 기본 VLAN 이름 및 802.1Q 태그를 구성합니다.

2. 기본 VLAN에 설정합니다 no-local-switching .

3. 무차별 트렁크 포트 및 액세스 포트를 구성합니다.

4. 무차별 트렁크 및 액세스 포트를 기본 VLAN의 멤버로 만듭니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 격리 VLAN 또는 둘 다를 구성할 수 있습니다. 보조 커뮤니티 VLAN 구성은 다음 단계로 구성됩니다.

1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

2. VLAN에 대한 액세스 인터페이스를 구성합니다.

3. 커뮤니티 VLAN에 기본 VLAN을 할당하고,

격리된 VLAN은 분리된 VLAN에 액세스 인터페이스가 멤버로 있고 옵션이 no-local-switching 기본 VLAN에서 활성화될 때 내부적으로 생성됩니다.

IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리 VLAN에 802.1Q 태그가 필요합니다.

트렁크 포트는 다중 라우터 PVLAN 구성에만 필요하며, 트렁크 포트는 기본 VLAN과 모든 보조 VLAN에서 트래픽을 전송합니다.

• 액세스 인터페이스는 하나의 PVLAN 도메인에만 속할 수 있으므로 두 개의 서로 다른 기본 VLAN에 참여할 수 없습니다.

• 보조 VLAN이 두 개의 서로 다른 기본 VLAN에 있는 한 트렁크 인터페이스는 두 개의 보조 VLAN의 구성원이 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 두 개의 보조 VLAN의 멤버가 될 수 없습니다.

• PVLAN에 포함된 모든 VLAN에서 MSTP(Multiple Spanning Tree Protocol)의 단일 영역을 구성해야 합니다.

• VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

• IGMP 스누핑은 프라이빗 VLAN에서 지원되지 않습니다.

• 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

• 동일한 기본 VLAN에 있는 보조 VLAN 간의 라우팅은 지원되지 않습니다.

• 일부 구성 명령문은 보조 VLAN에서 지정할 수 없습니다. 기본 PVLAN의 [edit vlans vlan-name switch-options] 계층 수준 에서만 다음 문을 구성할 수 있습니다.

• 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 일반 VLAN으로 변경하고 변경 사항을 커밋해야 합니다. 예를 들어 다음 절차를 따릅니다.

  1. 기본 VLAN을 일반 VLAN으로 변경합니다.

  2. 구성을 커밋합니다.

  3. 일반 VLAN을 보조 VLAN으로 변경합니다.

  4. 구성을 커밋합니다.

  보조 VLAN을 기본 VLAN으로 변경하려면 동일한 커밋 순서를 따릅니다. 즉, 보조 VLAN을 일반 VLAN으로 만들고 해당 변경 사항을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

다음 기능은 ELS 구성 스타일을 지원하는 Junos 스위치의 PVLAN에서 지원되지 않습니다 .

• 송신 VLAN 방화벽 필터

• 이더넷 링 보호(ERP)

• 유연한 VLAN 태깅

• global-mac-statistics

• 통합 라우팅 및 브리징(IRB) 인터페이스

• 멀티섀시 링크 어그리게이션 그룹(MC-LAG)

• 포트 미러링

• Q-in-Q 터널링

• VLAN 스패닝 트리 프로토콜(VSTP)

• VoIP(Voice over IP)

기본 PVLAN의 [edit vlans vlan-name switch-options] 계층 수준에서만 다음 명령문을 구성할 수 있습니다.

• 맥 테이블 크기

• no-mac-learning

• 맥 통계

• 인터페이스 mac-limit

PVLAN은 다음과 같은 다양한 포트 유형을 사용할 수 있습니다.

• 무차별 트렁크 포트 - 무차별 포트는 라우터, 방화벽, 서버 또는 프로바이더 네트워크에 연결된 업스트림 트렁크 포트입니다. 프로미스큐어스 트렁크 포트는 PVLAN 내의 격리된 포트 및 커뮤니티 포트를 포함한 모든 인터페이스와 통신할 수 있습니다.

• PVLAN 트렁크 포트 - PVLAN 트렁크 포트는 스위치를 확장하기 위해 멀티스위치 PVLAN 구성에 필요합니다. PVLAN 트렁크 포트는 PVLAN 내 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 스위치 간 격리 VLAN)의 멤버이며 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 모든 포트와 통신할 수 있습니다.

  PVLAN 트렁크 포트와 분리된 포트 간의 통신은 일반적으로 단방향입니다. 스위치 간 격리된 VLAN에서 PVLAN 트렁크 포트의 구성원은 송신 전용이며, 이는 격리된 포트가 PVLAN 트렁크 포트로 패킷을 전달할 수 있지만 PVLAN 트렁크 포트는 격리된 포트로 패킷을 전달하지 않는다는 것을 의미합니다(패킷이 무차별 액세스 포트에서 수신되어 프로미스큐어스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 한).

• 보조 VLAN 트렁크 포트 - 보조 VLAN 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 지정된 프라이빗(기본) VLAN의 경우 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전달할 수 있습니다. 그러나 각 보조 VLAN이 서로 다른 기본 VLAN의 멤버인 한 보조 VLAN 트렁크 포트는 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달할 수 있으며 기본 VLAN pvlan400의 일부인 분리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

  주:

  트래픽이 보조 VLAN 트렁크 포트에서 송신될 때 일반적으로 보조 포트가 속한 기본 VLAN의 태그를 전달합니다. 보조 VLAN 트렁크 포트에서 송신되는 트래픽이 보조 VLAN 태그를 유지하도록 하려면 문을 사용합니다 extend-secondary-vlan-id .

• 커뮤니티 포트 - 커뮤니티 포트는 서로 통신하며 무차별 포트와 통신합니다. 커뮤니티 포트는 선택된 사용자 그룹에만 서비스를 제공합니다. 이러한 인터페이스는 레이어 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 격리된 포트와 분리됩니다.

• 격리된 액세스 포트 - 격리된 포트는 프로미스큐어스 포트 및 PVLAN 트렁크 포트와만 레이어 2 연결을 갖습니다. 분리된 액세스 포트는 이 두 포트가 동일한 분리된 VLAN의 구성원인 경우에도 다른 분리된 포트와 통신할 수 없습니다.

• 무차별 액세스 포트 - 이 포트는 태그가 지정되지 않은 트래픽을 전달하며 하나의 기본 VLAN에만 속할 수 있습니다. 프로미스큐어스 액세스 포트에서 수신되는 트래픽은 프로미스큐어스 액세스 포트가 멤버인 기본 VLAN의 멤버인 보조 VLAN의 포트로 전달됩니다. 이 경우 보조 VLAN 포트가 트렁크 포트인 경우 트래픽은 보조 VLAN 포트에서 송신될 때 적절한 보조 VLAN 태그를 전달합니다. 트래픽이 보조 VLAN 포트에서 수신되고 프로미스큐어스 액세스 포트에서 송신되는 경우, 트래픽은 송신 시 태그 해제됩니다. 태그가 지정된 트래픽이 무차별 액세스 포트로 수신되면 해당 트래픽은 폐기됩니다.

보조 VLAN 트렁크 포트를 사용할 때는 다음 사항에 유의하십시오.

• 보조 VLAN 트렁크 포트가 참여할 각 기본 VLAN에 대해 격리 VLAN ID를 구성해야 합니다. 이는 보조 VLAN 트렁크 포트가 전달할 보조 VLAN이 단일 디바이스로 제한되는 경우에도 마찬가지입니다.

• 포트를 지정된 기본 VLAN에 대한 보조 VLAN 트렁크 포트로 구성하는 경우 동일한 물리적 포트를 다음 중 하나로 구성할 수도 있습니다.

  • 다른 기본 VLAN에 대한 보조 VLAN 트렁크 포트

  • 다른 기본 VLAN에 대한 PVLAN 트렁크

  • 무차별 트렁크 포트

  • 프라이빗 VLAN이 아닌 VLAN의 액세스 포트

• 보조 VLAN 트렁크 포트(보조 VLAN 태그 포함)에서 수신되고 PVLAN 트렁크 포트에서 송신되는 트래픽은 송신 시 보조 VLAN 태그를 유지합니다.

• 보조 VLAN 트렁크 포트에서 수신되고 프로미스큐어스 트렁크 포트에서 송신되는 트래픽은 송신 시 적절한 기본 VLAN 태그가 있습니다.

• 보조 VLAN 트렁크 포트에서 수신되고 프로미스큐어스 액세스 포트에서 송신되는 트래픽은 송신 시 태그가 지정되지 않습니다.

• 기본 VLAN 태그가 있는 프로미스큐어스 트렁크 포트에서 수신되고 보조 VLAN 트렁크 포트에서 송신되는 트래픽은 송신 시 적절한 보조 VLAN 태그를 전달합니다. 예를 들어, 스위치에서 다음을 구성했다고 가정해 보겠습니다.

  • 기본 VLAN 100

  • 기본 VLAN의 일부인 커뮤니티 VLAN 200

  • 무차별 트렁크 포트

  • 커뮤니티 VLAN 200을 전달하는 보조 트렁크 포트

  패킷이 기본 VLAN 태그 100이 있는 프로미스큐어스 트렁크 포트에서 수신되고 보조 VLAN 트렁크 포트에서 송신되는 경우, 송신 시 태그 200을 전달합니다.

이제 동일한 인터페이스에서 802.1X 인증 및 프라이빗 VLAN(PVLAN)을 모두 구성할 수 있습니다.

IEEE 802.1X 인증은 신청자의 자격 증명이 제시되고 authentication server(RADIUS 서버)에서 일치할 때까지 인터페이스에서 신청자(클라이언트)와 주고 받은 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN을 보호하는 네트워크 에지 보안을 제공합니다.

프라이빗 VLAN(PVLAN)은 VLAN 내의 포트 간에 레이어 2 격리를 제공하며, 보조 VLAN을 생성하여 브로드캐스트 도메인을 여러 개의 개별 브로드캐스트 하위 도메인으로 분할합니다. PVLAN은 브로드캐스트 및 알려지지 않은 유니캐스트 트래픽 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다.

802.1X 인증 및 PVLAN으로 구성된 스위치에서 새 디바이스가 PVLAN 네트워크에 연결되면 디바이스가 인증된 다음 PVLAN 구성 또는 RADIUS 프로파일에 따라 보조 VLAN에 할당됩니다. 그런 다음 디바이스는 IP 주소를 획득하고 PVLAN 네트워크에 대한 액세스 권한이 부여됩니다.

동일한 인터페이스에서 이러한 두 기능을 구성하기 위해 다음 지침 및 제한 사항을 염두에 두십시오.

• 802.1X 지원 인터페이스를 무차별 인터페이스(구성에 따라 기본 VLAN의 멤버인 인터페이스) 또는 ISL(Interswitch-Link) 인터페이스로 구성할 수 없습니다.

• 예를 들어, 인터페이스 ge-0/0/0이 로 supplicant multiple 구성되고 클라이언트 C1과 C2가 인증되어 동적 VLAN V1과 V2에 각각 추가되면, V1과 V2는 서로 다른 PVLAN 도메인에 속해야 합니다.

• VoIP VLAN과 데이터 VLAN이 다른 경우 이 두 VLAN은 서로 다른 PVLAN 도메인에 있어야 합니다.

• PVLAN 멤버십이 변경되면(즉, 인터페이스가 다른 PVLAN에서 재구성되는 경우) 클라이언트를 재인증해야 합니다.

이제 프라이빗 VLAN(PVLAN)에서 DHCP 스누핑과 같은 액세스 포트 보안 기능을 활성화할 수 있습니다.

보안상의 이유로 브로드캐스트 및 알 수 없는 유니캐스트 트래픽의 흐름을 제한하고 알려진 호스트 간의 통신도 제한하는 것이 유용한 경우가 많습니다. PVLAN 기능을 사용하면 브로드캐스트 도메인을 여러 개의 분리된 브로드캐스트 하위 도메인으로 분할하여 VLAN을 VLAN 내에 배치할 수 있습니다.

이더넷 LAN은 네트워크 디바이스의 주소 스푸핑(단조) 및 레이어 2 DoS(서비스 거부)와 같은 공격에 취약합니다. 다음 액세스 포트 보안 기능은 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 디바이스를 보호하는 데 도움이 되며, 이제 PVLAN에서 이러한 보안 기능을 구성할 수 있습니다.

• DHCP 스누핑 - 신뢰할 수 없는 포트에서 수신 DHCP 서버 메시지를 필터링하고 차단합니다. DHCP 스누핑은 DHCP 스누핑 데이터베이스라고 하는 DHCP 임대 정보 데이터베이스를 구축하고 유지 관리합니다.

• DHCPv6 스누핑—IPv6에 대한 DHCP 스누핑.

• DHCP 옵션 82 - DHCP 릴레이 에이전트 정보 옵션이라고도 합니다. IP 주소 및 MAC 주소의 스푸핑과 DHCP IP 주소 부족과 같은 공격으로부터 스위치를 보호합니다. 옵션 82는 DHCP 클라이언트의 네트워크 위치에 대한 정보를 제공합니다. DHCP 서버는 이 정보를 사용하여 클라이언트에 대한 IP 주소 또는 기타 매개 변수를 구현합니다.

• DHCPv6 옵션:

  • 옵션 37—DHCPv6를 위한 원격 ID 옵션; 원격 호스트의 네트워크 위치에 대한 정보를 DHCPv6 패킷에 삽입합니다.

  • 옵션 18—DHCPv6에 대한 서킷 ID 옵션; 클라이언트 포트에 대한 정보를 DHCPv6 패킷에 삽입합니다.

  • 옵션 16—DHCPv6에 대한 벤더 ID 옵션; 클라이언트 하드웨어 공급업체에 대한 정보를 DHCPv6 패킷에 삽입합니다.

• 동적 ARP 검사(DAI) - ARP(Address Resolution Protocol) 스푸핑 공격을 방지합니다. ARP 요청 및 응답은 DHCP 스누핑 데이터베이스의 항목과 비교되며, 필터링 결정은 이러한 비교 결과에 기반하여 이루어집니다.

• IP 소스 가드 - 이더넷 LAN에 대한 IP 주소 스푸핑 공격의 영향을 완화합니다. DHCP 스누핑 데이터베이스에 대해 신뢰할 수 없는 액세스 인터페이스에서 전송된 패킷의 소스 IP 주소를 검증합니다. 패킷의 유효성을 검사할 수 없는 경우 폐기됩니다.

• IPv6 source guard—IPv6용 IP source guard.

• IPv6 neighbor discovery inspection—IPv6 주소 스푸핑 공격을 방지합니다. 은(는) 이웃 검색 요청 및 응답을 DHCPv6 스누핑 데이터베이스의 항목과 비교하고, 필터링 결정은 이러한 비교 결과를 기반으로 이루어집니다.

PVLAN에서 액세스 포트 보안 기능을 구성하기 위해 다음 지침 및 제한 사항을 염두에 두십시오.

• 기본 VLAN과 모든 보조 VLAN 모두에 동일한 액세스 포트 보안 기능을 적용해야 합니다.

• PVLAN은 하나의 통합 라우팅 및 브리징(IRB) 인터페이스만 가질 수 있으며, IRB 인터페이스는 기본 VLAN에 있어야 합니다.

• PVLAN의 액세스 포트 보안 구성에 대한 제한은 PVLAN에 없는 액세스 포트 보안 기능 구성에 대한 제한과 동일합니다. 보안 서비스 관리 가이드에서 액세스 포트 보안 설명서를 참조하십시오.

• 문제
• 솔루션

• 문제
• 솔루션

• 문제
• 솔루션