实训目的

· 掌握Private Vlan的配置方法。

实训背景

在宾馆酒店、学校宿舍、小区宽带接入等场合,如果用普通VLAN技术,需要为每1个用户划分独自的VLAN才能保证隔离,但是VLAN数量有限(4094个)。

PVLAN(Private VLAN,私有VLAN),也称“专用虚拟局域网”,可以解决上述问题。PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。可以在有限VLAN数量内(小于4094)实现多端口(大于4094)的隔离。

实训拓扑

拓补图

实验设备镜像

实验所需设备:

环境:EVE-NG

设备:4台普通 PC,1台二层交换机,1台路由器

实训步骤

1. 在二层交换机SW2上配置PVLAN
Switch>en
Switch#conf t
Switch(config)#vtp mode off  //配置PVLAN需要关闭VTP模式或透明模式
Switch(config)#vlan 20
Switch(config-vlan)#private-vlan community  //VLAN20为团体VLAN
Switch(config)#vlan 30
Switch(config-vlan)#private-vlan isolated  //VLAN30为隔离VLAN
Switch(config)#vlan 10
Switch(config-vlan)#private-vlan primary  //VLAN10为主VLAN
Switch(config-vlan)#private-vlan association 20,30  //主VLAN关联子VLAN20、30
2. 在二层交换机SW2上配置PVLAN各端口属性
Switch>en
Switch#conf t
Switch(config)#interface range e1/0-1
Switch(config-if-range)#switchport mode private-vlan host   //私有VLAN端口为主机模式
Switch(config-if-range)#switchport private-vlan host-association 10 20  //加入团体VLAN20和关联主VLAN10
Switch(config)#int range e1/2-3
Switch(config-if-range)#switchport mode private-vlan host  //私有VLAN端口主机模式
Switch(config-if-range)#switchport private-vlan host-association 10 30   //加入团体VLAN30和关联主VLAN10
Switch(config)#int e0/0   //设置为混杂端口
Switch(config-if)#switchport mode private-vlan promiscuous  //指定主、辅VLAN映射关系,允许PVLAN报文通过
Switch(config-if)#switchport private-vlan mapping 10 add 20,30  //将辅助VLAN映射到主VLAN的三层VLAN接口,使PVLAN入口流量能够执行三层交换
3. 在路由网关R1上,配置接口IP地址
Router>en
Router#conf t
Router(config)#int e0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown

测试验证

1. 分别配置测试PC机的IP地址

VPC1的IP地址

VPC2的IP地址

VPC3的IP地址

VPC4的IP地址

2. 测试PC1 ping PC2,实现团体VLAN通信

PC1 ping PC2可通

3. 测试PC1 ping PC3,团体VLAN与隔离VLAN是无法互通的

PC1 ping PC3不可通

4. 测试PC1 ping R1,与网关是可以互通的

PC1 ping R1可通

5. 测试PC3 ping PC4,同隔离VLAN的也无法互通

PC3 ping PC4不可通

6. 测试PC3 ping R1,与网关能互通

PC3 ping R1可通

经验证,PC1、PC2可以相互通信,与PC3、PC4不能通信。
PC3、PC4均只能与网关相互通信,不能与其他任何设备相互通信。

视频教程

实训问题:

团体VLAN(community vlan):具有相同名称的团体vlan中的设备可以相互通信,不同名称的团体vlan中的设备不能相互通信。

隔离VLAN(isolated vlan):隔离vlan中的设备只能访问外网,不能与任何vlan的中任何设备相互通信。

PVLAN中的一些使用规则:

1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。

3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。

4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信

5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

最后修改:2022 年 04 月 11 日
如果觉得我的文章对你有用,请随意赞赏