프라이빗 VLAN

단일 VLAN을 분리해야 하는 필요성은 다음 구축 시나리오에서 특히 유용합니다.

• 서버 팜-일반적인 인터넷 서비스 프로바이더는 서버 팜을 사용하여 수많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에서 다양한 서버를 찾기 때문에 관리가 용이해집니다. 레이어 2 브로드캐스트가 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

• 메트로폴리탄 이더넷 네트워크 — 메트로 서비스 프로바이더는 다양한 주택, 임대 커뮤니티 및 비즈니스에 레이어 2 이더넷 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존 솔루션은 확장이 불가능하며 관리가 어려우며, IP 주소 낭비가 발생할 가능성이 있습니다. PVLAN은 보다 안전하고 효율적인 솔루션을 제공합니다.

PVLAN은 단일 스위치에 구성하거나 여러 스위치를 확장하도록 구성할 수 있습니다. 도메인 및 포트 유형은 다음과 같습니다.

• 기본 VLAN - PVLAN의 기본 VLAN은 전체 PVLAN에 대해 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 분리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

• 분리된 VLAN/분리된 포트 - 기본 VLAN은 단 하나의 분리된 VLAN만 포함할 수 있습니다. 분리된 VLAN 내의 인터페이스는 패킷을 무차별 포트 또는 ISL(Inter-Switch Link) 포트로만 전달할 수 있습니다. 분리된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 분리된 인터페이스는 다른 분리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터에 만 액세스해야 하는 경우, 디바이스는 분리된 트렁크 포트에 연결되어야 합니다.

• 커뮤니티 VLAN/커뮤니티 포트 - 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 모든 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 무차별 포트 또는 ISL 포트와도 통신할 수 있습니다. 예를 들어 다른 고객 디바이스와 격리해야 하지만 서로 통신할 수 있어야 하는 두 개의 고객 디바이스가 있는 경우 커뮤니티 포트를 사용합니다.

• 무차별 포트 - 무차별 포트는 인터페이스가 분리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 레이어 2 통신을 갖습니다. 무차별 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인에는 포함되지 않습니다. 레이어 3 게이트웨이, DHCP 서버 및 엔드포인트 디바이스와 통신해야 하는 기타 신뢰할 수 있는 디바이스는 일반적으로 무차별 포트에 연결됩니다.

• ISL(Inter-Switch Link) - ISL은 PVLAN의 여러 스위치를 연결하고 두 개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치를 포괄할 때만 필요합니다.

구성된 PVLAN은 기본 도메인( 기본 VLAN)입니다. PVLAN 내에서 보조 VLAN 을 구성합니다. 이 VLAN은 기본 도메인 내에 중첩되는 하위 도메인이 됩니다. PVLAN은 단일 스위치에 구성하거나 여러 스위치를 확장하도록 구성할 수 있습니다. 에 그림 1 표시된 PVLAN에는 기본 PVLAN 도메인과 다양한 하위 도메인이 있는 두 개의 스위치가 포함됩니다.

그림 1: PVLAN의 하위 도메인

에 그림 3표시된 바와 같이 PVLAN에는 하나의 기본 도메인과 여러 보조 도메인만 있습니다. 도메인 유형은 다음과 같습니다.

• 기본 VLAN -VLAN은 프레임을 다운스트림과 격리된 커뮤니티 VLAN으로 전달하는 데 사용됩니다. PVLAN의 기본 VLAN은 전체 PVLAN에 대해 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 분리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

• 보조 분리된 VLAN - 기본 VLAN에서만 패킷을 수신하고 프레임을 기본 VLAN으로 업스트림으로 전달하는 VLAN입니다. 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 기본 VLAN은 단 하나의 분리된 VLAN만 포함할 수 있습니다. 분리된 VLAN(분리된 인터페이스) 내의 인터페이스는 패킷을 무차별 포트 또는 PVLAN 트렁크 포트로만 전달할 수 있습니다. 분리된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 분리된 인터페이스가 다른 분리된 인터페이스로부터 패킷을 수신할 수 없습니다. 고객 디바이스가 라우터에 만 액세스해야 하는 경우, 디바이스는 분리된 트렁크 포트에 연결되어야 합니다.

• 보조 스위치 간 분리된 VLAN - VLAN은 한 스위치에서 다른 스위치로 분리된 VLAN 트래픽을 PVLAN 트렁크 포트를 통해 전달하는 데 사용되었습니다. IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리된 VLAN에는 802.1Q 태그가 필요합니다. 스위치 간 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다.

• 보조 커뮤니티 VLAN —VLAN은 커뮤니티 구성원(VLAN 내 사용자의 하위 집합) 간에 프레임을 전송하고 프레임을 기본 VLAN으로 전달하는 데 사용됩니다. 커뮤니티 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 모든 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 무차별 포트 또는 PVLAN 트렁크 포트와도 통신할 수 있습니다.

그림 2 은(는) 여러 스위치에 걸친 PVLAN을 보여주며, 여기서 기본 VLAN(100)에는 두 개의 커뮤니티 도메인 (300 및 )과 400한 개의 스위치 간 분리 도메인이 포함됩니다.

그림 2: 여러 스위치에 걸친 PVLAN

구성된 PVLAN은 기본 도메인이 되고, 보조 VLAN은 기본 도메인 내에 중첩되는 하위 도메인이 됩니다. PVLAN은 단일 라우터에 생성될 수 있습니다. 에 그림 3 표시된 PVLAN에는 하나의 기본 PVLAN 도메인과 여러 개의 보조 하위 도메인이 있는 하나의 라우터가 포함됩니다.

그림 3: 라우터 하나가 있는 PVLAN의 하위 도메인

도메인 유형은 다음과 같습니다.

• 기본 VLAN -VLAN은 프레임을 다운스트림과 격리된 커뮤니티 VLAN으로 전달하는 데 사용됩니다.

• 보조 분리된 VLAN - 기본 VLAN에서만 패킷을 수신하고 프레임을 기본 VLAN으로 업스트림으로 전달하는 VLAN입니다.

• 보조 스위치 간 분리된 VLAN - VLAN은 한 라우터에서 다른 라우터로 분리된 VLAN 트래픽을 PVLAN 트렁크 포트를 통해 포워칭하는 데 사용되었습니다.

• 보조 커뮤니티 VLAN-VLAN은 VLAN 내 사용자의 하위 집합인 커뮤니티 구성원 간에 프레임을 전송하고 프레임을 기본 VLAN으로 업스트림으로 전달하는 데 사용됩니다.

그림 4 은(는) 단일 스위치에서 PVLAN을 보여주며, 여기서 기본 VLAN(VLAN 100)에는 두 개의 커뮤니티 VLAN(VLAN 및 VLAN 300400)과 한 개의 분리된 VLAN(VLAN 50)이 포함됩니다.

그림 4: 단일 EX 스위치의 프라이빗 VLAN

그림 5 은(는) 여러 스위치에 걸친 PVLAN을 보여주며, 여기서 기본 VLAN(VLAN 100)에는 두 개의 커뮤니티 VLAN(VLAN 및 VLAN 300400)과 한 개의 분리된 VLAN(VLAN 200)이 포함됩니다. 또한 스위치 1과 2가 스위치 간 링크(PVLAN 트렁크 링크)를 통해 연결되어 있음을 보여줍니다.

그림 5: 여러 EX 시리즈 스위치를 아우르는 PVLAN

또한 에 표시 그림 4 되고 있는 PVLAN은 커뮤니티 및 그림 5 분리된 VLAN 간에 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 무차별 포트를 사용합니다. 라우터에 연결된 무차별 포트를 사용하는 대신 에 있는 스위치 또는 에 표시된 스위치 그림 4 중 하나(일부 EX 스위치)에서 그림 5 RVI를 구성할 수 있습니다.

분리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면, 및 에 표시된 대로 라우터를 무차별 포트에 그림 4그림 5연결하거나 RVI를 구성해야 합니다.

RVI 옵션을 선택하면 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치를 포함하든 관계없이 전체 PVLAN 도메인에 서비스를 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스가 수신한 레이어 3 패킷은 RVI에 의해 매핑되고 라우팅됩니다.

RVI를 설정할 때 RVI가 보조 VLAN 인터페이스에 의해 수신된 ARP 요청을 처리할 수 있도록 ARP(proxy Address Resolution Protocol)도 활성화해야 합니다.

단일 스위치와 여러 스위치에서 PVLAN을 구성하는 방법에 대한 정보는 단일 EX 시리즈 스위치에서 프라이빗 VLAN 생성(CLI 절차)을 참조하십시오. RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스 구성을 참조하십시오.

분리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 무차별 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

패킷이 고객별 802.1Q 태그로 표시되면 해당 태그는 네트워크의 모든 스위치 또는 라우터에 대한 패킷의 소유권을 식별합니다. 때로는 서로 다른 하위 도메인의 패킷을 추적하기 위해 PVLAN 내에서 802.1Q 태그가 필요합니다. 표 1 은(는) 기본 VLAN 또는 보조 VLAN에서 VLAN 802.1Q 태그가 필요한 경우를 나타냅니다.

PVLAN은 IP 주소 보존을 제공하고 IP 주소를 효율적으로 할당합니다. 일반적인 네트워크에서 VLAN은 일반적으로 단일 IP 서브넷에 해당합니다. PVLAN에서 모든 보조 VLAN의 호스트는 서브넷이 기본 VLAN에 할당되므로 동일한 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트는 기본 VLAN과 연결된 IP 서브넷을 기반으로 IP 주소가 할당되며 IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 정보를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN은 최대 6가지의 다른 포트 유형을 사용할 수 있습니다. 에 묘사된그림 2 네트워크는 무차별 포트를 사용하여 정보를 라우터로 전송하고, 커뮤니티 포트를 사용하여 금융 및 HR 커뮤니티를 해당 스위치에 연결하고, 서버를 연결하기 위해 분리된 포트, 두 개의 스위치를 연결하는 PVLAN 트렁크 포트를 사용합니다. PVLAN 포트에는 다른 제한이 있습니다.

• 무차별 트렁크 포트 - 무차별 포트는 인터페이스가 분리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 레이어 2 통신을 갖습니다. 무차별 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인 중 하나에 포함되지 않습니다. 레이어 3 게이트웨이, DHCP 서버 및 엔드포인트 디바이스와 통신해야 하는 기타 신뢰할 수 있는 디바이스는 일반적으로 무차별 포트에 연결됩니다.

• PVLAN 트렁크 링크 - 스위치 간 링크라고도 하는 PVLAN 트렁크 링크는 여러 스위치에 걸쳐 PVLAN이 구성된 경우에만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

• PVLAN 트렁크 포트 - 스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 스위치 간 분리된 VLAN)의 멤버이며, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 분리된 포트 이외의 모든 포트와 통신할 수 있습니다.

  PVLAN 트렁크 포트와 분리된 포트 간의 통신은 일반적으로 단방향입니다. 스위치 간 분리된 VLAN의 PVLAN 트렁크 포트 구성원은 송신 전용이며 즉, 분리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 분리된 포트로 전달하지 않습니다(무차별 액세스 포트에서 수신된 패킷이 있기 때문에 무차별 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 한).

• 보조 VLAN 트렁크 포트(표시되지 않음)—보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗 VLAN의 경우, 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전송할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 다른 기본 VLAN의 멤버인 한 여러 보조 VLAN에 대한 트래픽을 전송할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN의 트래픽을 전송하고 기본 VLAN pvlan400의 일부인 분리된 VLAN에 대한 트래픽을 전송할 수도 있습니다.

• 커뮤니티 포트 - 커뮤니티 포트는 서로 그리고 무차별 포트와 통신합니다. 커뮤니티 포트는 일부 사용자 그룹에만 해당됩니다. 이러한 인터페이스는 레이어 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 분리된 포트와 분리됩니다.

• 분리된 액세스 포트—분리된 포트는 무차별 포트 및 PVLAN 트렁크 포트에서만 레이어 2 연결을 갖습니다. 이 두 포트가 동일한 분리된 VLAN(또는 스위치 간 분리된 VLAN) 도메인의 구성원이라 하더라도 분리된 포트는 다른 분리된 포트와 통신할 수 없습니다. 일반적으로 메일 서버 또는 백업 서버와 같은 서버가 분리된 포트에 연결됩니다. 호텔에서 각 객실은 일반적으로 분리된 포트에 연결되며, 이는 객실 간 통신이 불가능하지만 각 객실은 무차별 포트에서 인터넷에 액세스할 수 있음을 의미합니다.

• 무차별 액세스 포트(표시되지 않음)—이러한 포트는 태그 없는 트래픽을 전달합니다. 무차별 액세스 포트에서 수신되는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. 트래픽이 VLAN 지원 포트의 디바이스로 수신되고 무차별 액세스 포트에서 송신되면 트래픽은 송신에 태그가 지정되지 않습니다. 태그가 지정된 트래픽이 무차별 액세스 포트에서 수신되면 트래픽은 폐기됩니다.

• 인터스위치 링크 포트 - ISL(Interswitch Link) 포트는 PVLAN이 해당 라우터를 확장할 때 두 개의 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내의 모든 VLAN의 구성원입니다(즉, 기본 VLAN, 커뮤니티 VLAN 및 분리된 VLAN).

  ISL 포트와 분리된 포트 간의 통신은 단방향입니다. 스위치 간 분리된 VLAN에 있는 ISL 포트의 구성원은 송신 전용이며, 즉 ISL 포트의 수신 트래픽은 분리된 VLAN에 할당되지 않습니다. 분리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 분리된 포트로 전달할 수 없습니다. 표 3 은(는) 여러 유형의 포트 사이에 레이어 2 연결이 존재하는지 여부를 요약합니다.

표 2 은(는) ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내의 다양한 포트 유형 간의 레이어 2 연결을 요약합니다.

표 4 은(는) PVLAN 내의 다른 유형의 포트 사이에 레이어 2 연결이 존재하는지 여부를 요약합니다.

에서 표 4언급했듯이 분리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 단방향입니다. 즉, 분리된 포트는 패킷만 PVLAN 트렁크 포트로 전송할 수 있으며 PVLAN 트렁크 포트는 분리된 포트에서만 패킷을 수신할 수 있습니다. 반대로 PVLAN 트렁크 포트는 패킷을 분리된 포트로 보낼 수 없으며, 분리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

에 그림 6 표시된 플로우차트는 PVLAN 생성 프로세스에 대한 일반적인 아이디어를 제공합니다. 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터를 아우르는 PVLAN에만 적용됩니다.)

• 기본 VLAN은 태그가 지정된 VLAN이어야 합니다.

• 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

• 격리 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

에 표시된 그림 6것처럼 단일 라우터에서 VLAN을 구성하는 것은 비교적 간단합니다.

그림 6: 단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음 단계로 구성됩니다.

1. 기본 VLAN 이름과 802.1Q 태그를 구성합니다.

2. 기본 VLAN을 설정합니다 no-local-switching .

3. 무차별 트렁크 포트 및 액세스 포트를 구성합니다.

4. 기본 VLAN의 무차별 트렁크 및 액세스 포트 멤버를 만듭니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 분리된 VLAN 또는 둘 모두를 구성할 수 있습니다. 보조 커뮤니티 VLAN 구성은 다음 단계로 구성됩니다.

1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

2. VLAN에 대한 액세스 인터페이스를 구성합니다.

3. 커뮤니티 VLAN에 기본 VLAN을 할당하고

분리된 VLAN은 분리된 VLAN이 멤버로 액세스 인터페이스를 가지고 옵션이 no-local-switching 기본 VLAN에서 활성화되면 내부적으로 생성됩니다.

IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리된 VLAN에는 802.1Q 태그가 필요합니다.

트렁크 포트는 멀티라우터 PVLAN 구성에만 필요합니다. 트렁크 포트는 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다.

• 액세스 인터페이스는 하나의 PVLAN 도메인에만 속할 수 있습니다. 즉, 두 개의 다른 기본 VLAN에 참여할 수 없습니다.

• 트렁크 인터페이스는 보조 VLAN이 두 개의 다른 기본 VLAN에 있는 한 두 개의 보조 VLAN의 멤버가 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 두 개의 보조 VLAN의 구성원이 될 수 없습니다.

• MSTP(Multiple Spanning Tree Protocol)의 단일 영역은 PVLAN 내에 포함된 모든 VLAN에 구성되어야 합니다.

• VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

• IGMP 스누핑은 프라이빗 VLAN에서 지원되지 않습니다.

• 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

• 동일한 기본 VLAN에서 보조 VLAN 간의 라우팅은 지원되지 않습니다.

• 일부 구성 문은 보조 VLAN에 지정할 수 없습니다. 다음 명령문은 기본 PVLAN에서 [edit vlans vlan-name switch-options]만 계층 수준에서 구성할 수 있습니다.

• 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 기본 VLAN으로 변경하고 변경을 커밋해야 합니다. 예를 들어, 다음 절차를 따릅니다.

  1. 기본 VLAN을 일반 VLAN으로 변경합니다.

  2. 구성을 커밋합니다.

  3. 일반 VLAN을 보조 VLAN으로 변경합니다.

  4. 구성을 커밋합니다.

  보조 VLAN을 기본 VLAN으로 변경하려면 동일한 커밋 시퀀스를 따릅니다. 즉, 보조 VLAN을 정상적인 VLAN으로 만들고 해당 변경을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

다음 기능은 ELS 구성 스타일을 지원하는 Junos 스위치의 PVLAN에서 지원 되지 않습니다 .

• 송신 VLAN 방화벽 필터

• ERP(Ethernet Ring Protection)

• 유연한 VLAN 태깅

• global-mac-statistics

• IRB(Integrated Routing and Bridging) 인터페이스

• 멀티섀시 링크 어그리게이션 그룹(MC-LAG)

• 포트 미러링

• Q-in-Q 터널링

• VSTP(VLAN Spanning Tree Protocol)

• VoIP(Voice over IP)

기본 PVLAN에서 [edit vlans vlan-name switch-options] 만 계층 수준에서 다음 문을 구성할 수 있습니다.

• mac-table-size

• no-mac-learning

• mac-statistics

• interface-mac-limit

PVLAN은 다음과 같은 다른 포트 유형을 사용할 수 있습니다.

• 무차별 트렁크 포트 - 무차별 포트는 라우터, 방화벽, 서버 또는 프로바이더 네트워크에 연결된 업스트림 트렁크 포트입니다. 무차별 트렁크 포트는 PVLAN 내의 분리된 및 커뮤니티 포트를 포함하여 모든 인터페이스와 통신할 수 있습니다.

• PVLAN 트렁크 포트 - 스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 스위치 간 분리된 VLAN)의 멤버이며, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 모든 포트와 통신할 수 있습니다.

  PVLAN 트렁크 포트와 분리된 포트 간의 통신은 일반적으로 단방향입니다. 스위치 간 분리된 VLAN의 PVLAN 트렁크 포트 구성원은 송신 전용이며 즉, 분리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 분리된 포트로 전달하지 않습니다(무차별 액세스 포트에서 수신된 패킷이 있기 때문에 무차별 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 한).

• 보조 VLAN 트렁크 포트 - 보조 VLAN 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗(기본) VLAN의 경우, 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전송할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 다른 기본 VLAN의 멤버인 한 여러 보조 VLAN에 대한 트래픽을 전송할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN의 트래픽을 전송하고 기본 VLAN pvlan400의 일부인 분리된 VLAN에 대한 트래픽을 전송할 수도 있습니다.

  주:

  트래픽이 보조 VLAN 트렁크 포트에서 송신되면 일반적으로 보조 포트가 의 멤버인 기본 VLAN 태그를 전달합니다. 보조 VLAN 트렁크 포트에서 송신되는 트래픽이 보조 VLAN 태그를 유지하려면 문을 사용합니다 extend-secondary-vlan-id .

• 커뮤니티 포트 - 커뮤니티 포트는 서로 그리고 무차별 포트와 통신합니다. 커뮤니티 포트는 일부 사용자 그룹에만 해당됩니다. 이러한 인터페이스는 레이어 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 분리된 포트와 분리됩니다.

• 분리형 액세스 포트 - 분리된 포트는 무차별 포트 및 PVLAN 트렁크 포트만 레이어 2 연결성을 갖습니다. 이 두 포트가 동일한 분리된 VLAN의 구성원이라 하더라도 분리된 액세스 포트는 다른 분리된 포트와 통신할 수 없습니다.

• 무차별 액세스 포트 - 이러한 포트는 태그 없는 트래픽을 전달하며 단 하나의 기본 VLAN의 멤버가 될 수 있습니다. 무차별 액세스 포트에서 수신되는 트래픽은 무차별 액세스 포트가 의 멤버인 기본 VLAN의 멤버인 보조 VLAN의 포트로 전달됩니다. 이 경우 트래픽은 보조 VLAN 포트가 트렁크 포트인 경우 보조 VLAN 포트에서 송신할 때 적절한 보조 VLAN 태그를 전달합니다. 트래픽이 보조 VLAN 포트에서 수신되고 무차별 액세스 포트에서 송신되면 트래픽은 송신에 태그가 지정되지 않습니다. 태그가 지정된 트래픽이 무차별 액세스 포트에서 수신되면 트래픽은 폐기됩니다.

보조 VLAN 트렁크 포트를 사용할 때는 다음 사항을 유의해야 합니다.

• 보조 VLAN 트렁크 포트가 참여할 각 기본 VLAN에 대해 격리 VLAN ID를 구성해야 합니다. 이는 보조 VLAN 트렁크 포트가 전달할 보조 VLAN이 단일 디바이스에 국한되어 있더라도 마찬가지입니다.

• 특정 기본 VLAN에 대해 포트를 보조 VLAN 트렁크 포트로 구성하는 경우, 동일한 물리적 포트를 다음 중 일부로 구성할 수도 있습니다.

  • 다른 기본 VLAN에 대한 보조 VLAN 트렁크 포트

  • 다른 기본 VLAN을 위한 PVLAN 트렁크

  • 무차별 트렁크 포트

  • 비-프라이빗 VLAN에 대한 액세스 포트

• 보조 VLAN 트렁크 포트에서 수신되고(보조 VLAN 태그가 있는) PVLAN 트렁크 포트에서 송신되는 트래픽은 송신의 보조 VLAN 태그를 유지합니다.

• 보조 VLAN 트렁크 포트에서 수신되고 무차별 트렁크 포트에서 송신되는 트래픽은 송신에 적절한 기본 VLAN 태그를 가지고 있습니다.

• 보조 VLAN 트렁크 포트에서 수신되고 무차별 액세스 포트에서 송신되는 트래픽은 송신에 태그가 지정되지 않습니다.

• 기본 VLAN 태그가 있고 보조 VLAN 트렁크 포트에서 송신되는 무차별 트렁크 포트에서 수신되는 트래픽은 송신에 적절한 보조 VLAN 태그를 전달합니다. 예를 들어, 스위치에 다음을 구성한 것으로 가정합니다.

  • 기본 VLAN 100

  • 기본 VLAN의 일부로 커뮤니티 VLAN 200

  • 무차별 트렁크 포트

  • community VLAN 200을 전송하는 보조 트렁크 포트

  기본 VLAN 태그 100이 있는 무차별 트렁크 포트에서 패킷이 수신되고 보조 VLAN 트렁크 포트에서 송신되면 송신에 태그 200을 전달합니다.

이제 동일한 인터페이스에서 802.1X 인증 및 프라이빗 VLAN(PVLAN)을 모두 구성할 수 있습니다.

IEEE 802.1X 인증은 신청자의 자격 증명이 제시되고 (RADIUS 서버)에서 일치 authentication server 할 때까지 인터페이스에서 신청자(클라이언트)와 오고가는 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN을 보호하는 네트워크 에지 보안을 제공합니다.

프라이빗 VLAN(PVLAN)은 VLAN 내의 포트 간에 레이어 2 격리를 제공하며, 보조 VLAN을 생성하여 브로드캐스트 도메인을 여러 개의 개별 브로드캐스트 하위 도메인으로 분할합니다. PVLAN은 브로드캐스트 및 알 수 없는 유니캐스트 트래픽의 흐름을 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다.

802.1X 인증 및 PVLAN으로 구성된 스위치에서 새 디바이스가 PVLAN 네트워크에 연결되면 디바이스가 인증된 다음 PVLAN 구성 또는 RADIUS 프로필을 기반으로 보조 VLAN에 할당됩니다. 그런 다음 디바이스는 IP 주소를 획득하고 PVLAN 네트워크에 대한 액세스 권한을 부여합니다.

동일한 인터페이스에서 이러한 두 기능을 구성하기 위해 다음 지침과 제한 사항을 염두에 두십시오.

• 802.1X 지원 인터페이스는 무차별 인터페이스(구성에 의한 기본 VLAN의 멤버인 인터페이스) 또는 ISL(Interswitch-link) 인터페이스로 구성할 수 없습니다.

• 논리 인터페이스에서 동일한 PVLAN 도메인에 속하는 다른 VLAN에 대해 여러 사용자를 인증할 수 없습니다. 예를 들어 인터페이스 ge-0/0/0이 로 supplicant multiple 구성되고 클라이언트 C1과 C2가 인증되어 동적 VLAN V1과 V2에 각각 추가되는 경우, V1과 V2는 서로 다른 PVLAN 도메인에 속해야 합니다.

• VoIP VLAN과 데이터 VLAN이 다르면 이러한 두 VLAN은 서로 다른 PVLAN 도메인에 있어야 합니다.

• PVLAN 구성원이 변경되면(즉, 인터페이스가 다른 PVLAN에서 재구성됨) 클라이언트를 재인증해야 합니다.

이제 프라이빗 VLAN(PVLAN)에서 DHCP 스누핑과 같은 액세스 포트 보안 기능을 활성화할 수 있습니다.

보안상의 이유로 브로드캐스트 및 알 수 없는 유니캐스트 트래픽의 흐름을 제한하고 알려진 호스트 간의 통신을 제한하는 것이 유용합니다. PVLAN 기능을 사용하면 브로드캐스트 도메인을 여러 분리된 브로드캐스트 하위 도메인으로 분할하여 기본적으로 VLAN을 VLAN 내부에 배치할 수 있습니다.

이더넷 LAN은 네트워크 디바이스의 주소 스푸핑(forging) 및 DoS(Layer 2 Denial of Service)와 같은 공격에 취약합니다. 다음 액세스 포트 보안 기능은 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 디바이스를 보호하는 데 도움이 되며, 이제 PVLAN에서 이러한 보안 기능을 구성할 수 있습니다.

• DHCP 스누핑 - 신뢰할 수 없는 포트에서 수신 DHCP 서버 메시지를 필터링하고 차단합니다. DHCP 스누핑은 DHCP 스누핑 데이터베이스라고 하는 DHCP 리스 정보의 데이터베이스를 구축하고 유지합니다.

• DHCPv6 스누핑 - IPv6에 대한 DHCP 스누핑.

• DHCP 옵션 82 - DHCP 릴레이 에이전트 정보 옵션으로도 알려져 있습니다. IP 주소 및 MAC 주소 스푸핑 및 DHCP IP 주소 기아와 같은 공격으로부터 스위치를 보호합니다. 옵션 82는 DHCP 클라이언트의 네트워크 위치에 대한 정보를 제공합니다. DHCP 서버는 이 정보를 사용하여 클라이언트에 대한 IP 주소 또는 기타 매개 변수를 구현합니다.

• DHCPv6 옵션:

  • 옵션 37—DHCPv6용 원격 ID 옵션, 은(는) 원격 호스트의 네트워크 위치에 대한 정보를 DHCPv6 패킷에 삽입합니다.

  • 옵션 18 —DHCPv6용 서킷 ID 옵션, 클라이언트 포트에 대한 정보를 DHCPv6 패킷에 삽입합니다.

  • 옵션 16—DHCPv6용 벤더 ID 옵션, 은(는) 클라이언트 하드웨어 벤더에 대한 정보를 DHCPv6 패킷에 삽입합니다.

• DAI(Dynamic ARP Inspection) - ARP(Address Resolution Protocol) 스푸핑 공격을 방지합니다. ARP 요청 및 응답은 DHCP 스누핑 데이터베이스의 항목과 비교되며, 이러한 비교 결과를 기반으로 필터링 결정이 이루어집니다.

• IP 소스 가드 — 이더넷 LAN에 대한 IP 주소 스푸핑 공격의 영향을 완화합니다. DHCP 스누핑 데이터베이스에 대해 신뢰할 수 없는 액세스 인터페이스에서 전송된 패킷의 소스 IP 주소를 검증합니다. 패킷을 검증할 수 없는 경우 폐기됩니다.

• IPv6 소스 가드 - IPv6을 위한 IP 소스 가드입니다.

• IPv6 인접 검색 검사 -IPv6 주소 스푸핑 공격을 방지합니다. 인접 검색 요청 및 응답을 DHCPv6 스누핑 데이터베이스의 항목과 비교하고, 이러한 비교 결과를 기반으로 필터링 결정이 이루어집니다.

PVLAN에서 액세스 포트 보안 기능을 구성하기 위해 다음 지침과 제한 사항을 염두에 두십시오.

• 기본 vlan과 보조 VLAN 모두에 동일한 액세스 포트 보안 기능을 적용해야 합니다.

• PVLAN은 하나의 통합 라우팅 및 브리징(IRB) 인터페이스만 가질 수 있으며 IRB 인터페이스는 기본 VLAN에 있어야 합니다.

• PVLAN의 액세스 포트 보안 구성 제한은 PVLAN에 없는 액세스 포트 보안 기능 구성의 제한 사항과 동일합니다. 보안 서비스 관리 가이드에서 액세스 포트 보안 문서를 참조하십시오.

• 문제
• 솔루션

• 문제
• 솔루션

• 문제
• 솔루션