【华三】Private VLAN 原理和详细配置

最新推荐文章于 2024-09-12 20:39:52 发布
最新推荐文章于 2024-09-12 20:39:52 发布
阅读量2.7k 收藏 39
点赞数 34
分类专栏: # 新华三 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/135166855
版权
本文详细介绍了华三PrivateVLAN的原理、配置步骤,包括PrimaryVLAN和SecondaryVLAN的使用、二层隔离的Hybrid端口机制以及如何实现三层通信,通过配置示例展示了如何在实际网络环境中应用PrivateVLAN技术。
摘要由CSDN通过智能技术生成

华三 Private VLAN

在这里插入图片描述

背景

Private VLAN 采用二层 VLAN 结构
它在同一台设备上配置 Primary VLAN 和 Secondary VLAN 两类 VLAN
即能够保证接入用户之间相互隔离,又能将接入的 VLAN ID 屏蔽掉(就是说,把Secondary作为子接口,Primary作为物理接口),从而节省了 VLAN 资源

为了用户的安全性和管理计费等方面考虑,当然是想实现每一位用户一个VLAN,
但根据 IEEE 802.1Q规定,最多可以提供 4094 个 VLAN。如果每个用户一个 VLAN,4094 个 VLAN 远远不能满足需求。所以节省了VLAN资源。

Private VLAN 分类

① Primary VLAN
用于连接上行设备,一个 Primary VLAN 可以和多个 Secondary VLAN 相对应
上行连接的设备只需知道Primary VLAN,而不必关心Secondary VLAN,Primary VLAN 下面的 Secondary VLAN 对上行设备不可见。
② Secondary VLAN
用于连接用户,Secondary VLAN 之间二层报文互相隔离。如果希望实现
同一 Primary VLAN 下 Secondary VLAN 用户之间报文的互通,可以通过配置上行设备(如图中的 DSW)的本地代理 ARP/ND 功能来实现三层报文的互通

在这里插入图片描述

Private VLAN 配置步骤

(1) 配置 Primary VLAN。
(2) 配置 Secondary VLAN。
(3) 配置 Primary VLAN 和 Secondary VLAN 间的映射关系。
(4) 配置上行/下行端口。
(5) 配置 Primary VLAN 下指定 Secondary VLAN 间三层互通。(本地代理ARP)

出现SVI接口起不来的话

① 确定VLAN是否有创建
② 端口类型 Trunk是否有放行,Hybrid是否有标签处理,或者Access是否有配置

原理

二层隔离

他其实就是用了Hybrid端口模式,利用PVID和Untagged特性,从而实现的二层隔离
如VLAN 2 → VLAN 3
PC1发包到ASW中,经过G1/0/2端口,PVID是2
此时数据包的Tag 为 2,而ASW一看,是去找PC2的流量,这时候g1/0/3它的Untagged是 3 和 10,而数据包是Tag 2
这个时候标签不能剥离也不能让它通过,流量就到不了PC2,所以就不能实现通信

这个就是华三的Private VLAN的二层隔离原理
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

配置再下面有

效果

在这里插入图片描述

三层通信

就是需要做一个本地ARP解析啦
如果要让PC1 → PC2 的话,可以再ASW上面做本地ARP代理或者是在DSW上面做,选一个做就好啦

配置

可实现Secondary VLAN 2 3 的三层通信

[ASW] interface vlan-interface 10
[ASW-Vlan-interface10] private-vlan secondary 2 3         ## 将secondary vlan 映射在这
[ASW-Vlan-interface10] local-proxy-arp enable             ## 开启本地ARP解析
[ASW-Vlan-interface10] ip address 192.168.1.1 255.255.255.0
[ASW-Vlan-interface10] quit

效果

在这里插入图片描述

配置

拓扑

在这里插入图片描述

二层隔离

SW1
创建VLAN
[SW1]vlan 10                        
[SW1-vlan10]vlan 2 to 3

[SW1]vlan 10
[SW1-vlan10]private-vlan primary          ## 配置 VLAN 10 为 Primary VLAN
[SW1-vlan10]private-vlan secondary 2 3    ## 配置 Primary和Secondary VLAN 2 3 的映射关系
[SW1-vlan10]qu

[SW1]int g1/0/1   
[SW1-GigabitEthernet1/0/1]port private-vlan 10 promiscuous   # 设置为promiscuous模式
[SW1-GigabitEthernet1/0/1]qu

 ## 将g1/0/2 绑定 VLAN 2
[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port access vlan 2
[SW1-GigabitEthernet1/0/2]port private-vlan host
[SW1-GigabitEthernet1/0/2]qu

 ## 将g1/0/3 绑定 VLAN 3
[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 3
[SW1-GigabitEthernet1/0/3]port private-vlan host
[SW1-GigabitEthernet1/0/3]qu

## 可配可不配,不影响
[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.10.10 24
SW2
[SW2]vlan 20
[SW2-vlan20]vlan 4
[SW2-vlan4]qu

[SW2]vlan 20
[SW2-vlan20]private-vlan primary 
[SW2-vlan20]private-vlan secondary 4
[SW2-vlan20]qu

[SW2]int g1/0/1
[SW2-GigabitEthernet1/0/1]port private-vlan 20 promiscuous 
[SW2-GigabitEthernet1/0/1]qu

[SW2]int g1/0/2
[SW2-GigabitEthernet1/0/2]port access vlan 4
[SW2-GigabitEthernet1/0/2]port private-vlan host
[SW2-GigabitEthernet1/0/2]qu

[SW2]int vlan 20
[SW2-Vlan-interface20]ip address 192.168.10.20 24
分析

针对SW1 来说,可以看到,所谓的Private VLAN,本质上是在用Hybrid口的特性
当配置好上面的命令时,查看配置,就能理解到这些功能,大家也可以自己去理解一下,都可以得到这些的,不难,本质上就是Hybrid端口

对于SW1 的 GigabitEthernet1/0/1,可以对 VLAN 2 3 10 去标签,pvid 10
对于SW1 的 GigabitEthernet1/0/2,可以对 VLAN 2 10 去标签 pvid 2
对于SW1 的 GigabitEthernet1/0/3,可以对 VLAN 3 10 去标签 pvid 3

对于SW2 的 GigabitEthernet1/0/1,可以对 VLAN 4 20 去标签 pvid 20
对于SW2 的 GigabitEthernet1/0/2,可以对 VLAN 4 20 去标签 pvid 4

按照上面的特性,我们就可以得到
PC1 能ping通 PC3
PC2 能ping通 PC3
PC3 能ping通 PC1 和 PC2

而中间的两台交换机的是都ping 不通的,两台交换的都是VLAN 10 的,这样子就可以实现相互通信,但这边是一遍是VLAN 10 一边是VLAN 20的,所以就通信不了
在这里插入图片描述

三层通信

在这里插入图片描述

配置:

ASW

[ASW]undo info-center enable     ##关闭日志消息:不然一直弹消息,还是蛮烦的

[ASW]vlan 10
[ASW-vlan10]vlan 2 to 3

[ASW]vlan 10
[ASW-vlan10]private-vlan primary             ## 设置为private vlan 的primary
[ASW-vlan10]private-vlan secondary 2 3       ## 配置primary 与 secondary 2 3的映射关系
[ASW-vlan10]qu

 ## 将g1/0/1 设置为promiscuous 模式
[ASW]int g1/0/1
[ASW-GigabitEthernet1/0/1]port private-vlan 10 promiscuous 
[ASW-GigabitEthernet1/0/1]qu

 ## 将g1/0/2 绑定 VLAN 2
[ASW]interface gigabitethernet 1/0/2
[ASW-GigabitEthernet1/0/2]port access vlan 2
[ASW-GigabitEthernet1/0/2]port private-vlan host
[ASW-GigabitEthernet1/0/2]quit

 ## 将g1/0/3 绑定 VLAN 3
[ASW]int g1/0/3
[ASW-GigabitEthernet1/0/3]port access vlan 3
[ASW-GigabitEthernet1/0/3]port private-vlan host
[ASW-GigabitEthernet1/0/3]quit

[ASW]interface vlan-interface 10
[ASW-Vlan-interface10]ip address 192.168.1.1 255.255.255.0 ## 配置SVI接口地址
[ASW-Vlan-interface10]local-proxy-arp enable               ## 开启本地ARP代理
[ASW-Vlan-interface10]private-vlan secondary 2 3           ## 在VLAN 10接口中映射secondary 2 3
[ASW-Vlan-interface10]quit

检验三层是否可以通信

在这里插入图片描述

张白夕
关注
专栏目录
H3C Private VLAN实验
一只懒羊羊
12-20 513
Private VLAN,Secondary VLAN, Prmary VLAN
华三模拟器vlan配置实例
weixin_33816821的博客
03-23 6491
1. 配置步骤(1)配置Device A<DeviceA> system-view[DeviceA] vlan 100[DeviceA-vlan100] port gigabitethernet 1/0/1[DeviceA-vlan100] quit[DeviceA] vlan 200[DeviceA-vlan100] port gigabitethernet 1/0/2[Device...
Private VLAN配置(完整步骤)
热门推荐
青红造了个大白之成长记
07-05 1万+
Private VLANs 动机§ 在有些情况下,希望隔离位于同一VLAN中终端设备间的通信,又不希望划分不同IP子网造成IP地址浪费。§ 私有VLAN技术可以隔离用一个IP子网内的二层设备。                                               § 交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口。§ 这样,虽然有些设备属于同一VLAN,但他...
华三 h3c private vlan配置
m0_49686750的博客
12-13 3087
[SWA]vlan 2 [SWA-vlan2]port g1/0/1 [SWA]vlan 3 [SWA-vlan3]port g1/0/2 [SWA]vlan 10 [SWA-vlan10]port g1/0/3 [SWA-vlan10]private-vlan primary [SWA-vlan10]private-vlan secondary 2 3 [SWA-GigabitEthernet1/0/3]port private-vlan 10 promiscuous [SWA-G...
私有VLAN,从原理配置,全给你说明白
最新发布
09-12 1227
虚拟局域网(VLAN)是一种将物理网络分割成多个逻辑子网的技术,它允许网络管理员根据安全需求、业务需求或性能需求来组织网络流量。传统的VLAN通过将属于不同VLAN的设备逻辑上分开,使得这些设备即便连接在同一台交换机上也无法直接通信,除非通过路由器或三层交换机进行路由。然而,在某些特定环境下,比如数据中心或托管服务提供商的环境中,简单的VLAN隔离可能不足以满足更加严格的安全要求。此时,私有VLAN便成为了一种解决方案,它可以提供比标准VLAN更为精细的流量控制和更高的安全性。01私有VLAN的类型。
【新华三网络工程师 这不是普通的VLAN技术-Private VLAN
最铁头的网工博客
04-15 1725
随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带。基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离。VLAN一直是我们用来隔离局域网的手段,于是我们便采用VLAN进行对每一个用户进行局域网的隔离,但是根据IEEE802.1Q协议规定,设备最大可能支持的VLAN数量为4094个,对于运营商的设备来说,那么每个用户1个VLAN,4094个VLAN远远不够,而且每个只包含1个用户的...
H3C-Private VLAN配置示例
weixin_64191441的博客
01-26 1424
如图所示在某小区内需要接入用户PCA和PCB,为两位用户分配的VLAN分别为VLAN20和VLAN30,现需要为两个用户提供Internet服务,为两位用户分配了对外服务VLAN10。为了最大限度利用VLAN标签,同时隐藏用户网络信息,要求利用Primary VLAN技术实现PCA和PCB通过上行服务VLAN10访问Internet需求,同时PCA和PCB不能直接通过二层通信,需要通过三层进行通信。
H3C_Private vlan基础配置案例
04-21
4. **配置secondary VLANs接入端口**: G1/0/2和G1/0/3分别配置为接入VLAN2和VLAN97的端口,设置为access模式并启用private-vlan host功能。 5. **SW1配置**: 创建VLAN200,将GE1/0/1加入VLAN200,配置VLAN200虚接口...
PVLAN/private vlan 实验案例
11-10
### PVLAN/Private VLAN 实验案例解析 #### 一、PVLAN/Private VLAN 概念与应用场景 **PVLAN/Private VLAN**...通过以上分析和步骤,我们可以了解到 PVLAN/Private VLAN 的基本配置方法及其在网络管理中的重要作用。
H3C Private VLAN(私有vlan) 实验
h320758724的博客
04-29 3266
实验拓扑 Private VLAN(私有vlan) 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 SW1 上配置 Privat...
Private VLAN介绍
Long_UP的博客
04-18 2602
划分VLAN的问题 可分配的VLAN编号是1-4094,需要划分更多的VLAN怎么办 每一个VLAN都划分一个子网,当划分多个VL AN时,导致地址的浪费 Private VLAN Private VLAN (私有VLAN,PVLAN) 是能够为相同VLAN内不同端口提供隔离的VLAN。 Pravite VLAN的组成 PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLA...
Private VLAN 介绍及配置
weixin_34174322的博客
08-20 3386
现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLANPrivateVLAN)。在PrivateVLAN的概念中,交换机端口有三种类型:Isolatedport,Communityport,Promisc-uousport;它们分别对应不同的VLAN类型:Isolatedport属于Iso...
网络工程师——Private VLAN
Benson的学习笔记
01-09 2060
Private Vlan
private vlan配置
雨魂
11-18 1960
本文章代码转自:http://bbs.51cto.com/thread-938135-1.html       private vlanprivate vlan是一个私有vlan配置之后可以实现同一vlan的主机之间实现隔离,加强了网络安全。 private vlan包括三部分,分别是:primary vlan、isolated vlan、community vlan。prima
Private VLAN
weixin_34290390的博客
01-22 630
私用VLANprivate-VLAN)在有些情况下,管理员希望隔离位于同一VLAN中终端设备间的通信,同时还不希望将这些设备划分进不同的IP子网中,因为划分多个IP子网会使IP地址遭到浪费。私用VLAN技术可以隔离同一个IP子网内的二层设备。管理员可以使交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口。在执行了这种设置之后,虽然有些设备属于同一个VL...
private vlan(私有vlan
mengmeng_921的博客
06-06 2725
私有 VLAN将一个VLAN的二层广播域划分了多个子域,由一个私有vlan对组成,主VLAN(Primary VLAN)和辅助VLAN(Second VLAN);私有 VLAN对共享同一个主VLAN,一个私有VLAN域中只有一个主VLAN,包含两种类型的辅助VLAN,分别是隔离VLAN(Isolated VLAN)和群体VLAN(Community VLAN);同一个隔离VLAN之内的端口不能互相二层通信。一个私有 VLAN域中只能有一个隔离VLAN;同一个群体VLAN之内的端口可以互相二层通信,群体VLA
Private VLAN典型配置举例
m0_68698993的博客
07-03 1040
将下行端口GigabitEthernet1/0/2、GigabitEthernet1/0/3添加到VLAN 201,GigabitEthernet1/0/4、GigabitEthernet1/0/5添加到VLAN 202,并配置它们工作在host模式。可以看到,工作在promiscuous模式的端口GigabitEthernet1/0/1和工作在host模式的端口GigabitEthernet1/0/2~GigabitEthernet1/0/5均以Untagged方式允许VLAN报文通过。
实训十一:交换机的私有VLAN配置
weixin_60462069的博客
09-17 810
在设置 Private VLAN 关联前,三种类型的 Private VLAN 都没有以太网端口的成员端口存在 Private VLAN 关联关系的 Primary VLAn 不能被删除;使用指南:Private VLAN 分为三种:Primary VLAN,在 Primary VLAN 内的端口可以和关联到该 Primary VLAn 的 Isolated VLAN 和 Community VLAN 中的端口进行通信;VLAN,community 将当前 VLAN 设置为 Community VLAN
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值