Loading... ## 实训目的 · 掌握Private Vlan的配置方法。 ## 实训背景 在宾馆酒店、学校宿舍、小区宽带接入等场合,如果用普通VLAN技术,需要为每1个用户划分独自的VLAN才能保证隔离,但是VLAN数量有限(4094个)。 PVLAN(Private VLAN,私有VLAN),也称“专用虚拟局域网”,可以解决上述问题。PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。可以在有限VLAN数量内(小于4094)实现多端口(大于4094)的隔离。 ## 实训拓扑 ![拓补图](https://wl.gta5pdx.cn/usr/uploads/2022/03/1416517596.png) ![实验设备镜像](https://wl.gta5pdx.cn/usr/uploads/2022/03/3299601018.png) 实验所需设备: 环境:EVE-NG 设备:4台普通 PC,1台二层交换机,1台路由器 ## 实训步骤 ###### 1. 在二层交换机SW2上配置PVLAN ``` Switch>en Switch#conf t Switch(config)#vtp mode off //配置PVLAN需要关闭VTP模式或透明模式 Switch(config)#vlan 20 Switch(config-vlan)#private-vlan community //VLAN20为团体VLAN Switch(config)#vlan 30 Switch(config-vlan)#private-vlan isolated //VLAN30为隔离VLAN Switch(config)#vlan 10 Switch(config-vlan)#private-vlan primary //VLAN10为主VLAN Switch(config-vlan)#private-vlan association 20,30 //主VLAN关联子VLAN20、30 ``` ###### 2. 在二层交换机SW2上配置PVLAN各端口属性 ``` Switch>en Switch#conf t Switch(config)#interface range e1/0-1 Switch(config-if-range)#switchport mode private-vlan host //私有VLAN端口为主机模式 Switch(config-if-range)#switchport private-vlan host-association 10 20 //加入团体VLAN20和关联主VLAN10 Switch(config)#int range e1/2-3 Switch(config-if-range)#switchport mode private-vlan host //私有VLAN端口主机模式 Switch(config-if-range)#switchport private-vlan host-association 10 30 //加入团体VLAN30和关联主VLAN10 Switch(config)#int e0/0 //设置为混杂端口 Switch(config-if)#switchport mode private-vlan promiscuous //指定主、辅VLAN映射关系,允许PVLAN报文通过 Switch(config-if)#switchport private-vlan mapping 10 add 20,30 //将辅助VLAN映射到主VLAN的三层VLAN接口,使PVLAN入口流量能够执行三层交换 ``` ###### 3. 在路由网关R1上,配置接口IP地址 ``` Router>en Router#conf t Router(config)#int e0/0 Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown ``` ## 测试验证 1. 分别配置测试PC机的IP地址 ![VPC1的IP地址](https://wl.gta5pdx.cn/usr/uploads/2022/03/1339353339.png) ![VPC2的IP地址](https://wl.gta5pdx.cn/usr/uploads/2022/03/2960504779.png) ![VPC3的IP地址](https://wl.gta5pdx.cn/usr/uploads/2022/03/503280078.png) ![VPC4的IP地址](https://wl.gta5pdx.cn/usr/uploads/2022/03/2245013497.png) 2. 测试PC1 ping PC2,实现团体VLAN通信 ![PC1 ping PC2可通](https://wl.gta5pdx.cn/usr/uploads/2022/03/1845954588.png) 3. 测试PC1 ping PC3,团体VLAN与隔离VLAN是无法互通的 ![PC1 ping PC3不可通](https://wl.gta5pdx.cn/usr/uploads/2022/03/3102741803.png) 4. 测试PC1 ping R1,与网关是可以互通的 ![PC1 ping R1可通](https://wl.gta5pdx.cn/usr/uploads/2022/03/1112402939.png) 5. 测试PC3 ping PC4,同隔离VLAN的也无法互通 ![PC3 ping PC4不可通](https://wl.gta5pdx.cn/usr/uploads/2022/03/1569321536.png) 6. 测试PC3 ping R1,与网关能互通 ![PC3 ping R1可通](https://wl.gta5pdx.cn/usr/uploads/2022/03/3973326901.png) 经验证,PC1、PC2可以相互通信,与PC3、PC4不能通信。 PC3、PC4均只能与网关相互通信,不能与其他任何设备相互通信。 ## 视频教程 <video src="https://wl.gta5pdx.cn/usr/uploads/2022/03/PVLAN.mp4" style="background-image:url();background-size: cover;"></video> ## 实训问题: 团体VLAN(community vlan):具有相同名称的团体vlan中的设备可以相互通信,不同名称的团体vlan中的设备不能相互通信。 隔离VLAN(isolated vlan):隔离vlan中的设备只能访问外网,不能与任何vlan的中任何设备相互通信。 ![](https://wl.gta5pdx.cn/usr/uploads/2022/03/1405812907.png) ## PVLAN中的一些使用规则: 1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。 2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。 3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。 4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信 5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。 最后修改:2022 年 04 月 11 日 © 允许规范转载 赞 2 如果觉得我的文章对你有用,请随意赞赏