CCNP課件1.交換部分(瑞琪教育)014 私有VLAN

1、私有VLAN 電子商務網(wǎng)站，要求與INTERNET高速穩(wěn)定連接，最好辦法放在ISP機房例如A B C D 四個客戶，其中A兩臺服務器，B兩臺服務器，C和D各一臺服務器，為節(jié)省IP地址，四個客戶處于同一網(wǎng)段但A B C D 屬于不同組織，應相互隔離要求：A客戶兩臺服務器可以互訪，且可通過網(wǎng)關與外部通信 B客戶兩臺服務器可以互訪，且可通過網(wǎng)關與外部通信C和D可通過網(wǎng)關與外部通信A B C D 四個客戶之間的服務器不能互訪，而且相互間的廣播流量也需要被隔離分析：通常情況，數(shù)據(jù)可以在同一VLAN內自由流動，不受限制為實現(xiàn)上述要求，可以將不同用戶劃到不同VLAN,一個VLAN一個子網(wǎng)，但子網(wǎng)太細，又會浪

2、費地址（子網(wǎng)號廣播地址）解決辦法：私有VLAN.主VLAN VLAN 100 所有用戶都處于該VLAN 172.16.100.0 / 24輔助VLAN VLAN 10 團體VLAN 用戶AVLAN 20 團體VLAN 用戶BVLAN 30 隔離VLAN 用戶C 和D實現(xiàn)：CCNP 320 頁1. 配置私有VLAN.主 VLAN 100 輔助 VLAN 10 團體 用戶AVLAN 20 團體 用戶BVLAN 30 隔離 用戶C 和D并將主VLAN100和輔助VLAN10,20,30相關聯(lián)Sw(config# vlan 10# private-vlan community# vlan 20# pr

3、ivate-vlan community# vlan 30# private-vlan isolated# vlan 100# private-vlan primary# private-vlan association 10,20,302. 將端口同私有VLAN相關聯(lián)F0/1-2 主機模式VALN 100 10AF0/4-5 主機模式VALN 100 20 BF0/3, 6 主機模式 VALN 100 30 C DG1/1 混雜模式VLAN 100 10 20 30 網(wǎng)關# int range f0/1-2# swichport mode private-vlan host# sw priv

4、ate host-association 100 10# int range f0/4-5# swichport mode private-vlan host# sw private host-association 100 20# int range f0/3,f0/6# swichport mode private-vlan host# sw private host-association 100 30# int g1/1# swichport mode private-vlan host# sw private host-association 100 10實驗（一）二層交換機的私有V

5、LAN配置.（S2950不支持）在S3560上劃分主VLAN 100, 團體VLAN 10和隔離VLAN 30. 將端口F0/1和12 劃入子VLAN 10, 將F0/14 16 劃入子VLAN 30,.分別連接主機A B C D. 端口F0/24連接路由器R1, 做為所有主機的網(wǎng)關則：A B 可以互訪，并能訪問網(wǎng)關C D 不能互訪， C D 也不能訪問A 和 B . 但都能訪問網(wǎng)關配置：1. 配置私有VLAN, 并將主VLAN100和輔助VLAN10, 30相關聯(lián)S3560(config# vlan 10# private-vlan community 建立團體VLAN 10# vlan 3

6、0# private-vlan isolated 建立隔離VLAN 30 # vlan 100# private-vlan primary 建立主VLAN 100#private-vlan association 10,30 將主VLAN 100與子VLAN 10 30 相關聯(lián)2. 將端口同私有VLAN相關聯(lián)S3560(config#int range f0/1 ,f0/ 12# sw mode private-vlan host將端口設為主機模式# sw private-vlan host-association 100 10關聯(lián)到主100和子10S3560(config#int range

7、 f0/14 16# sw mode private-vlan host 將端口設為主機模式# sw private-vlan host-association 100 30 關聯(lián)到主100和子30S3560(config#int range f0/23-24# sw mode private-vlan promiscuous 將端口設為混雜模式# sw private-vlan mapping 100 10,30映射到主100,子10和30三層交換機私有VLAN的配置私有VLAN可以在二層交換上實現(xiàn)，如實驗（一），也可以在三層換機上實現(xiàn)實現(xiàn)：1. 配置私有VLAN, 并將主VLAN和輔助VL

8、AN相關聯(lián)2. 將端口同私有VLAN相關聯(lián)3. 將主VLAN的SVI接口（網(wǎng)關）與子VLAN 相關聯(lián)實驗（二）三層交換機的私有VLAN配置.在S3560上劃分主VLAN 100, 團體VLAN 10和隔離VLAN 30. 將端口F0/1和 12 劃入子VLAN 10, 將F0/14 16 劃入子VLAN 30,.分別連接主機A B C D.端口F0/23連接服務器R1，F(xiàn)0/24(192.168.11.1連接路由器R (192.168.11.2用戶網(wǎng)關在VLAN 100上，地址為192.168.1.251A B 可以互訪，并能訪問網(wǎng)關和服務器C D 不能互訪， C D 也不能訪問A 和 B .

9、 但都能訪問網(wǎng)關和服務器配置：.配置私有VLAN, 并將主VLAN100和輔助VLAN10, 30相關聯(lián)S3560(config# vlan 10# private-vlan community 建立團體VLAN 10# vlan 30# private-vlan isolated 建立隔離VLAN 30 # vlan 100# private-vlan primary 建立主VLAN 100#private-vlan association 10,30 將主VLAN 100與子VLAN 10 30 相關聯(lián).將端口同私有VLAN相關聯(lián)S3560(config#int range f0/1, f

10、0/12# sw mode private-vlan host將端口設為主機模式# sw private-vlan host-association 100 10關聯(lián)到主100和子10S3560(config#int range f0/14 16# sw mode private-vlan host 將端口設為主機模式# sw private-vlan host-association 100 30 關聯(lián)到主100和子30S3560(config#int range f0/23# sw mode private-vlan promiscuous 將端口設為混雜模式# sw private-vl

11、an mapping 100 10,30映射到主100,子10和303. 將主VLAN100的SVI接口（網(wǎng)關）與子VLAN 相關聯(lián)S3560(config#intvlan 100# ip add 192.168.1.251 255.255.255.0# private-vlan mapping 10,30  為子VLAN0,30提供路由注：三層交換機必須要打開路由功能說明:1. 私有VLAN 必須在transparent模式下配置.2. VLAN1 既不能用作主VLAN, 也不能用作子VLAN.3. 端口不能單獨處于主VLAN.確保中繼鏈路的安全一 交換機偽造CCNP 321 頁利用DTP協(xié)商和動態(tài)auto （漏洞）PC-SWIT