CCNP课件1.交换部分(瑞琪教育)014 私有VLAN

1、私有VLAN 电子商务网站，要求与INTERNET高速稳定连接，最好办法放在ISP机房例如A B C D 四个客户，其中A两台服务器，B两台服务器，C和D各一台服务器，为节省IP地址，四个客户处于同一网段但A B C D 属于不同组织，应相互隔离要求：A客户两台服务器可以互访，且可通过网关与外部通信 B客户两台服务器可以互访，且可通过网关与外部通信C和D可通过网关与外部通信A B C D 四个客户之间的服务器不能互访，而且相互间的广播流量也需要被隔离分析：通常情况，数据可以在同一VLAN内自由流动，不受限制为实现上述要求，可以将不同用户划到不同VLAN,一个VLAN一个子网，但子网太细，又会浪

2、费地址（子网号广播地址）解决办法：私有VLAN.主VLAN VLAN 100 所有用户都处于该VLAN 172.16.100.0 / 24辅助VLAN VLAN 10 团体VLAN 用户AVLAN 20 团体VLAN 用户BVLAN 30 隔离VLAN 用户C 和D实现：CCNP 320 页1. 配置私有VLAN.主 VLAN 100 辅助 VLAN 10 团体 用户AVLAN 20 团体 用户BVLAN 30 隔离 用户C 和D并将主VLAN100和辅助VLAN10,20,30相关联Sw(config# vlan 10# private-vlan community# vlan 20# pr

3、ivate-vlan community# vlan 30# private-vlan isolated# vlan 100# private-vlan primary# private-vlan association 10,20,302. 将端口同私有VLAN相关联F0/1-2 主机模式VALN 100 10AF0/4-5 主机模式VALN 100 20 BF0/3, 6 主机模式 VALN 100 30 C DG1/1 混杂模式VLAN 100 10 20 30 网关# int range f0/1-2# swichport mode private-vlan host# sw priv

4、ate host-association 100 10# int range f0/4-5# swichport mode private-vlan host# sw private host-association 100 20# int range f0/3,f0/6# swichport mode private-vlan host# sw private host-association 100 30# int g1/1# swichport mode private-vlan host# sw private host-association 100 10实验（一）二层交换机的私有V

5、LAN配置.（S2950不支持）在S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30. 将端口F0/1和12 划入子VLAN 10, 将F0/14 16 划入子VLAN 30,.分别连接主机A B C D. 端口F0/24连接路由器R1, 做为所有主机的网关则：A B 可以互访，并能访问网关C D 不能互访， C D 也不能访问A 和 B . 但都能访问网关配置：1. 配置私有VLAN, 并将主VLAN100和辅助VLAN10, 30相关联S3560(config# vlan 10# private-vlan community 建立团体VLAN 10# vlan 3

6、0# private-vlan isolated 建立隔离VLAN 30 # vlan 100# private-vlan primary 建立主VLAN 100#private-vlan association 10,30 将主VLAN 100与子VLAN 10 30 相关联2. 将端口同私有VLAN相关联S3560(config#int range f0/1 ,f0/ 12# sw mode private-vlan host将端口设为主机模式# sw private-vlan host-association 100 10关联到主100和子10S3560(config#int range

7、 f0/14 16# sw mode private-vlan host 将端口设为主机模式# sw private-vlan host-association 100 30 关联到主100和子30S3560(config#int range f0/23-24# sw mode private-vlan promiscuous 将端口设为混杂模式# sw private-vlan mapping 100 10,30映射到主100,子10和30三层交换机私有VLAN的配置私有VLAN可以在二层交换上实现，如实验（一），也可以在三层换机上实现实现：1. 配置私有VLAN, 并将主VLAN和辅助VL

8、AN相关联2. 将端口同私有VLAN相关联3. 将主VLAN的SVI接口（网关）与子VLAN 相关联实验（二）三层交换机的私有VLAN配置.在S3560上划分主VLAN 100, 团体VLAN 10和隔离VLAN 30. 将端口F0/1和 12 划入子VLAN 10, 将F0/14 16 划入子VLAN 30,.分别连接主机A B C D.端口F0/23连接服务器R1，连接路由器R用户网关在VLAN 100上，地址为A B 可以互访，并能访问网关和服务器C D 不能互访， C D 也不能访问A 和 B . 但都能访问网关和服务器配置：.配置私有VLAN, 并将主VLAN100和辅助VLAN10

9、, 30相关联S3560(config# vlan 10# private-vlan community 建立团体VLAN 10# vlan 30# private-vlan isolated 建立隔离VLAN 30 # vlan 100# private-vlan primary 建立主VLAN 100#private-vlan association 10,30 将主VLAN 100与子VLAN 10 30 相关联.将端口同私有VLAN相关联S3560(config#int range f0/1, f0/12# sw mode private-vlan host将端口设为主机模式# sw

10、private-vlan host-association 100 10关联到主100和子10S3560(config#int range f0/14 16# sw mode private-vlan host 将端口设为主机模式# sw private-vlan host-association 100 30 关联到主100和子30S3560(config#int range f0/23# sw mode private-vlan promiscuous 将端口设为混杂模式# sw private-vlan mapping 100 10,30映射到主100,子10和303. 将主VLAN100的SVI接口（网关）与子VLAN 相关联S3560(config#intvlan 100# private-vlan mapping 10,30  为子VLAN0,30提供路由注：三层交换机必须要打开路由功能说明:1. 私有VLAN 必须在transparent模式下配置.2. VLAN1 既不能用作主VLAN, 也不能用作子VLAN.3. 端口不能单独处于主VLAN.确保中继链路的安全一 交换机伪造CCNP 321 页利用DTP协商和动态auto （漏洞）PC-SWITCHTr