Private VLAN模拟实验
Specialized VLAN,亦称专用虚拟局域网,采用双级VLAN分隔技术,仅上层VLAN在顶层网络中可见,而各子层级的下级VLAN之间实现完全隔离。若将交换机或IP DSLAM设备的所有端口分别独立分配为单独的下级VLAN区域,则可实现各端口间的完全隔离状态
常用于企业内网以阻止这些接口或接口组中的网络设备互相通信然而这些设备虽分属不同的pVLAN却仍可共享同一个IP子网地址池
该团体VLAN下具备以下特点:其一为同名团体VLAN下的设备间可实现通信;其二为异名团体VLAN下的设备间不可通信
隔离VLAN(isolated VLAN):位于该独立VLAN内的所有设备仅限于外部网络,并无法与其他任何独立VLAN内的设备进行通信。
在PVLAN中存在一些使用规定:
1.每个"Primary VLAN"必须包含至少一个"Secondary VLAN"
在一个'Primary VLAN'中仅允许存在一个'Isolated VLAN'而可包含多个'Community VLAN'
- 不同"Primary VLAN"之间的任何端口不可达(这里指二层可达性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
社区端口能够与其混合类型的端口相连,并且在同一个社区VLAN内的其他物理端口之间也可以实现连接;此外,该网络接口无法与其他任何类型的网络接口建立连接。
模拟实验配置
配置步骤有如下几步:
- 配置 primary VLAN 并将其指定为 primary VLAN。
- 配置 community_vlan 并将其指定为 community_vlan。
- 配置 isolated_vlan 并将其指定为 isolated_vlan。
- 在 primary_vlan 端口下启用混合模式,并将 primary_vlan 分别与 isolated_vlan 和 community_vlan 连接。
- 在 community_vlan 和 isolated_vlan 的主机端口上启用主机模式(host),并将 primary_vlan 分别与 community_vlan 和 isolated_vlan 连接。
GW
GW(config)#interface g0/0
GW(config-if)#ip address 192.168.1.1 255.255.255.0
GW(config-if)#no shutdown
GW(config-if)#exitSW-1
W-1(config)#vtp mode off//仅当VTP版本1或2中的VTP处于透明/关闭模式时,以及在VTP版本3中关闭修剪时处于服务器/透明/关闭模式时,才能配置专用VLAN
//创建primary vlan
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan primary
SW-1(config-vlan)#exit
//创建community vlan
SW-1(config)#vlan 400
SW-1(config-vlan)#private-vlan community
SW-1(config-vlan)#exit
//创建isolated vlan
SW-1(config)#vlan 401
SW-1(config-vlan)#private-vlan isolated
SW-1(config-vlan)#exit
//将community vlan和isolated vlan 相关联
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan association 400-401
SW-1(config-vlan)#exit
//设置混杂端口,并将primary vlan与community vlan、isolated vlan相关联
SW-1(config)#interface g1/0
SW-1(config-if)#switchport mode private-vlan promiscuous
SW-1(config-if)#switchport private-vlan mapping 10 400-401
SW-1(config-if)#exit
//在community vlan和isolated vlan的主机端口下设置主机模式,并分别与primary vlan相关联
SW-1(config)#interface range g0/0-1
SW-1(config-if-range)#switchport mode private-vlan host
SW-1(config-if-range)#switchport private-vlan host-association 10 400
SW-1(config-if-range)#exit
SW-1(config)#interface range g0/2-3
SW-1(config-if-range)#switchport private-vlan host-association 10 401
//两台交换机的端口进行trunk封装
SW-1(config)#interface g1/1
SW-1(config-if)#switchport trunk encapsulation dot1q
SW-1(config-if)#switchport mode trunk
SW-1(config-if)#exitSW-2
SW-2(config)#vtp mode off
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan primary
SW-2(config-vlan)#exit
SW-2(config)#vlan 400
SW-2(config-vlan)#private-vlan community
SW-2(config-vlan)#exit
SW-2(config)#vlan 401
SW-2(config-vlan)#private-vlan isolated
SW-2(config-vlan)#exit
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan association 400-401
SW-2(config-vlan)#exit
SW-2(config)#interface range g0/0-1
SW-2(config-if-range)#switchport mode private-vlan host
SW-2(config-if-range)#switchport private-vlan host-association 10 400
SW-2(config-if-range)#exit
SW-2(config)#interface g0/2
SW-2(config-if)#switchport mode private-vlan host
SW-2(config-if)#switchport private-vlan host-association 10 401
SW-2(config-if)#exit
//打trunk,封装接口
SW-2(config)#interface g0/3
SW-2(config-if)#switchport trunk encapsulation dot1q
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#exitPC4:192.168.1.4
PC5:192.168.1.5
PC6:192.168.1.6
PC7:192.168.1.7
PC8:192.168.1.8
PC9:192.168.1.9
PC10:192.168.1.10
经实验分析可知:运行状态良好时(即系统正常)下,在配置正确的前提下(即参数设置正确),系统能够正常工作(即功能实现良好)。此时,在网络拓扑关系中(即拓扑结构中),设备间能够互相通信(即互连成功)的情况包括:设备4、设备5、设备8和设备9之间能够互相通信(互连成功)。而在网络拓扑关系中(即拓扑结构中),设备3和其他非关键节点设备之间无法实现通信连接。