一、Pvlan知识点
二、PVLAN配置案例(cisco)
1、设置主VLAN
SW1(config)#vlan 200
private-vlan primary 2、设置二级子VLANSW1(config)#vlan 201 private-vlan isolated 设置为隔离VLANSW1(config)#vlan 202 private-vlan community 设置为联盟VLAN3、将子VLAN划入主VLAN中,建立一个关联SW1(config)#vlan 200 private-vlan association 201-202SW1(config)#vlan 200 private-vlan association add 203 加入一个子VLAN private-vlan association remove 203 移除一个子VLAN4、将端口设定一个模式,并划入相应的VLAN中int e0 switchport mode private-vlan host 设置端口的模式,根据子VLAN的类型成为相应的端口 switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201int e1
switchport mode private-vlan promiscuous 设置混杂端口
switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLAN switchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLANshow vlan private-vlan
5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。int vlan 200 private-valn mapping 201-202 #设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。show interfaces private-vlan mapping
Pvlan三层支持、二层也有端口隔离特性
单隔离组:同一个VLAN的用户要求安全,使用端口隔离
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23port-group 1 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23 port link-type access port access vlan 100 port-isolate enableinterface g0/0/24 上联端口
port-isolate uplink-port创建隔离组2
port-isolate group 2 将端口GigabitEthernet4/0/2加入隔离组2interface GigabitEthernet 4/0/2 port-isolate enable group 2interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口 port-isolate uplink-port group 2display isolate port 显示隔离端口三、华为MUX-VLAN知识
产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。 例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企 业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。 为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有 大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还 增加了网络管理者的工作量同时也增加了维护量。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户 之间是隔离的
四、华为MUX-VLAN配置步骤
vlan 100 #主vlan
vlan 10 #group vlanvlan 20 #separate vlanvlan 100 #MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN 和Group VLANmux-vlan #设置vlan100为主vlan,Principal port可以和MUX VLAN内的所有接口进行通信
subordinate group 10 #(互通型从VLAN )
注释:可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个 Principal VLAN
subordinate separate 20 #(隔离型从 VLAN)
注释:只能和Principal port 进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个 Principal VLAN
mux-vlan命令用来将当前VLAN配置为MUX VLAN中的主VLAN(Principal VLAN)
subordinate separate命令用来配置主VLAN下的隔离型从VLAN
subordinate group命令用来配置主VLAN下的互通型从VLANport mux-vlan enable命令用来开启接口MUX VLAN功能interface g0/0/1 上行口
port link-type access port default vlan 100interface g0/0/2 下行口port link-type access port default vlan 10interface g0/0/3 下行口port link-type access port default vlan 20interface rang g0/0/1 to g0/0/3port mux-vlan enable #启用mux-vlan端口隔离(相同隔离组不能相互通讯,不同的隔离组可以相互通讯的)system-view
vlan 10
port-isolate mode l2
interface rang g0/0/1 to g0/0/24port link-type access port default vlan 10interface g0/0/1port-isolate group 10 #启用端口隔离,并加入到group10interface g0/0/2port-isolate group 10interface g0/0/3port-isolate group 20interface g0/0/4port-isolate group 20port-isolate mode all
port-group portgroup1group-member gigabitethernet 1/0/10 to gigabitethernet 1/0/20port-isolate enable group 2五、VACL知识点
六、VACL配置步骤第一步:access 1 permit any any第二步:vlan access-map cisco第三步:match ip address 1action drop 动作第四步:针对vlan100调用vlan filter cisco vlan-list 100