【华三】Private VLAN 原理和详细配置

于 2023-12-29 13:21:12 发布
阅读量1.6k 收藏 31
点赞数 30
分类专栏: 新华三 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/135166855
版权

华三 Private VLAN

在这里插入图片描述

背景

Private VLAN 采用二层 VLAN 结构
它在同一台设备上配置 Primary VLAN 和 Secondary VLAN 两类 VLAN
即能够保证接入用户之间相互隔离,又能将接入的 VLAN ID 屏蔽掉(就是说,把Secondary作为子接口,Primary作为物理接口),从而节省了 VLAN 资源

为了用户的安全性和管理计费等方面考虑,当然是想实现每一位用户一个VLAN,
但根据 IEEE 802.1Q规定,最多可以提供 4094 个 VLAN。如果每个用户一个 VLAN,4094 个 VLAN 远远不能满足需求。所以节省了VLAN资源。

Private VLAN 分类

① Primary VLAN
用于连接上行设备,一个 Primary VLAN 可以和多个 Secondary VLAN 相对应
上行连接的设备只需知道Primary VLAN,而不必关心Secondary VLAN,Primary VLAN 下面的 Secondary VLAN 对上行设备不可见。
② Secondary VLAN
用于连接用户,Secondary VLAN 之间二层报文互相隔离。如果希望实现
同一 Primary VLAN 下 Secondary VLAN 用户之间报文的互通,可以通过配置上行设备(如图中的 DSW)的本地代理 ARP/ND 功能来实现三层报文的互通

在这里插入图片描述

Private VLAN 配置步骤

(1) 配置 Primary VLAN。
(2) 配置 Secondary VLAN。
(3) 配置 Primary VLAN 和 Secondary VLAN 间的映射关系。
(4) 配置上行/下行端口。
(5) 配置 Primary VLAN 下指定 Secondary VLAN 间三层互通。(本地代理ARP)

出现SVI接口起不来的话

① 确定VLAN是否有创建
② 端口类型 Trunk是否有放行,Hybrid是否有标签处理,或者Access是否有配置

原理

二层隔离

他其实就是用了Hybrid端口模式,利用PVID和Untagged特性,从而实现的二层隔离
如VLAN 2 → VLAN 3
PC1发包到ASW中,经过G1/0/2端口,PVID是2
此时数据包的Tag 为 2,而ASW一看,是去找PC2的流量,这时候g1/0/3它的Untagged是 3 和 10,而数据包是Tag 2
这个时候标签不能剥离也不能让它通过,流量就到不了PC2,所以就不能实现通信

这个就是华三的Private VLAN的二层隔离原理
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

配置再下面有

效果

在这里插入图片描述

三层通信

就是需要做一个本地ARP解析啦
如果要让PC1 → PC2 的话,可以再ASW上面做本地ARP代理或者是在DSW上面做,选一个做就好啦

配置

可实现Secondary VLAN 2 3 的三层通信

[ASW] interface vlan-interface 10
[ASW-Vlan-interface10] private-vlan secondary 2 3         ## 将secondary vlan 映射在这
[ASW-Vlan-interface10] local-proxy-arp enable             ## 开启本地ARP解析
[ASW-Vlan-interface10] ip address 192.168.1.1 255.255.255.0
[ASW-Vlan-interface10] quit

效果

在这里插入图片描述

配置

拓扑

在这里插入图片描述

二层隔离

SW1
创建VLAN
[SW1]vlan 10                        
[SW1-vlan10]vlan 2 to 3

[SW1]vlan 10
[SW1-vlan10]private-vlan primary          ## 配置 VLAN 10 为 Primary VLAN
[SW1-vlan10]private-vlan secondary 2 3    ## 配置 Primary和Secondary VLAN 2 3 的映射关系
[SW1-vlan10]qu

[SW1]int g1/0/1   
[SW1-GigabitEthernet1/0/1]port private-vlan 10 promiscuous   # 设置为promiscuous模式
[SW1-GigabitEthernet1/0/1]qu

 ## 将g1/0/2 绑定 VLAN 2
[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port access vlan 2
[SW1-GigabitEthernet1/0/2]port private-vlan host
[SW1-GigabitEthernet1/0/2]qu

 ## 将g1/0/3 绑定 VLAN 3
[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 3
[SW1-GigabitEthernet1/0/3]port private-vlan host
[SW1-GigabitEthernet1/0/3]qu

## 可配可不配,不影响
[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.10.10 24
SW2
[SW2]vlan 20
[SW2-vlan20]vlan 4
[SW2-vlan4]qu

[SW2]vlan 20
[SW2-vlan20]private-vlan primary 
[SW2-vlan20]private-vlan secondary 4
[SW2-vlan20]qu

[SW2]int g1/0/1
[SW2-GigabitEthernet1/0/1]port private-vlan 20 promiscuous 
[SW2-GigabitEthernet1/0/1]qu

[SW2]int g1/0/2
[SW2-GigabitEthernet1/0/2]port access vlan 4
[SW2-GigabitEthernet1/0/2]port private-vlan host
[SW2-GigabitEthernet1/0/2]qu

[SW2]int vlan 20
[SW2-Vlan-interface20]ip address 192.168.10.20 24
分析

针对SW1 来说,可以看到,所谓的Private VLAN,本质上是在用Hybrid口的特性
当配置好上面的命令时,查看配置,就能理解到这些功能,大家也可以自己去理解一下,都可以得到这些的,不难,本质上就是Hybrid端口

对于SW1 的 GigabitEthernet1/0/1,可以对 VLAN 2 3 10 去标签,pvid 10
对于SW1 的 GigabitEthernet1/0/2,可以对 VLAN 2 10 去标签 pvid 2
对于SW1 的 GigabitEthernet1/0/3,可以对 VLAN 3 10 去标签 pvid 3

对于SW2 的 GigabitEthernet1/0/1,可以对 VLAN 4 20 去标签 pvid 20
对于SW2 的 GigabitEthernet1/0/2,可以对 VLAN 4 20 去标签 pvid 4

按照上面的特性,我们就可以得到
PC1 能ping通 PC3
PC2 能ping通 PC3
PC3 能ping通 PC1 和 PC2

而中间的两台交换机的是都ping 不通的,两台交换的都是VLAN 10 的,这样子就可以实现相互通信,但这边是一遍是VLAN 10 一边是VLAN 20的,所以就通信不了
在这里插入图片描述

三层通信

在这里插入图片描述

配置:

ASW

[ASW]undo info-center enable     ##关闭日志消息:不然一直弹消息,还是蛮烦的

[ASW]vlan 10
[ASW-vlan10]vlan 2 to 3

[ASW]vlan 10
[ASW-vlan10]private-vlan primary             ## 设置为private vlan 的primary
[ASW-vlan10]private-vlan secondary 2 3       ## 配置primary 与 secondary 2 3的映射关系
[ASW-vlan10]qu

 ## 将g1/0/1 设置为promiscuous 模式
[ASW]int g1/0/1
[ASW-GigabitEthernet1/0/1]port private-vlan 10 promiscuous 
[ASW-GigabitEthernet1/0/1]qu

 ## 将g1/0/2 绑定 VLAN 2
[ASW]interface gigabitethernet 1/0/2
[ASW-GigabitEthernet1/0/2]port access vlan 2
[ASW-GigabitEthernet1/0/2]port private-vlan host
[ASW-GigabitEthernet1/0/2]quit

 ## 将g1/0/3 绑定 VLAN 3
[ASW]int g1/0/3
[ASW-GigabitEthernet1/0/3]port access vlan 3
[ASW-GigabitEthernet1/0/3]port private-vlan host
[ASW-GigabitEthernet1/0/3]quit

[ASW]interface vlan-interface 10
[ASW-Vlan-interface10]ip address 192.168.1.1 255.255.255.0 ## 配置SVI接口地址
[ASW-Vlan-interface10]local-proxy-arp enable               ## 开启本地ARP代理
[ASW-Vlan-interface10]private-vlan secondary 2 3           ## 在VLAN 10接口中映射secondary 2 3
[ASW-Vlan-interface10]quit

检验三层是否可以通信

在这里插入图片描述

张白夕
关注
  • 30
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Private VLAN配置(完整步骤)
青红造了个大白之成长记
07-05 1万+
Private VLANs 动机§ 在有些情况下,希望隔离位于同一VLAN中终端设备间的通信,又不希望划分不同IP子网造成IP地址浪费。§ 私有VLAN技术可以隔离用一个IP子网内的二层设备。                                               § 交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口。§ 这样,虽然有些设备属于同一VLAN,但他...
锐捷 Private vlan
最新发布
weixin_55444377的博客
12-07 102
群体端口(Community port),属于群体VLAN 中的端口,同一个群体VLAN 的群体端口可以互相通讯,也可以与混杂口通讯,不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。混杂端口(Promiscuous Port),属于主VLAN 中的端口,可以与任意端口通讯,包括同一个Private VLAN域中辅助VLAN的隔离端口和群体端口,通常是交换机上联网关设备的端口。隔离端口(Isolated Port),隔离VLAN 中的端口彼此之间不能通信,只能与混杂口通讯。
网络工程师——Private VLAN
Benson的学习笔记
01-09 1836
Private Vlan
Private VLAN介绍
Long_UP的博客
04-18 2464
划分VLAN的问题 可分配的VLAN编号是1-4094,需要划分更多的VLAN怎么办 每一个VLAN都划分一个子网,当划分多个VL AN时,导致地址的浪费 Private VLAN Private VLAN (私有VLAN,PVLAN) 是能够为相同VLAN内不同端口提供隔离的VLAN。 Pravite VLAN的组成 PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLA...
H3C Private VLAN(私有vlan) 实验
h320758724的博客
04-29 2998
实验拓扑 Private VLAN(私有vlan) 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 SW1 上配置 Privat...
【新华三网络工程师 这不是普通的VLAN技术-Private VLAN
最铁头的网工博客
04-15 1557
随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带。基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离。VLAN一直是我们用来隔离局域网的手段,于是我们便采用VLAN进行对每一个用户进行局域网的隔离,但是根据IEEE802.1Q协议规定,设备最大可能支持的VLAN数量为4094个,对于运营商的设备来说,那么每个用户1个VLAN,4094个VLAN远远不够,而且每个只包含1个用户的...
H3C_Private vlan基础配置案例
04-21
H3C_Private vlan基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
华三交换技术(Vlan配置)实验报告
12-27
华三交换技术(Vlan配置)实验报告,包含网络拓扑图,实验过程步骤截图、实验结果和实验分析和心得。
华三(H3C)原厂培训_第04章VLAN原理和基本配置.ppt
02-18
华三(H3C)原厂培训_第04章VLAN原理和基本配置.ppt 华三(H3C)原厂培训_第04章VLAN原理和基本配置.ppt
华三NAPT+私网vlan划分,拓扑图和全部配置
07-28
私网进行vlan划分,在出口处边界路由器进行vlan终结,同时在路由器上进行napt配置,适用于小型网络。 在边界路由器还可以进行easyip配置
华三DHCP及DHCP 中继实验配置
07-07
华三DHCP及DHCP 中继实验配置
【锐捷交换】交换机Private Vlan配置
CyclingLife的博客
07-04 3122
锐捷交换机Private Vlan配置
⚡️VLAN原理⚡️VLAN扩展技术⚡️VLAN路由
wuhan_aaa的博客
10-21 419
文章目录VLAN原理Hybrid端口类型VLAN信息的传播相关命令VLAN扩展技术Private VLAN定义原理MAC地址同步技术Secondary Vlan之间的互通Super VLAN定义原理VLAN路由精确匹配转发原理缺点最长匹配转发原理注意事项原理注意事项 VLAN原理 Hybrid端口类型 接收:未携带tag的帧会打上缺省VLAN的tag 发送:untagged列表中的VLAN,剥离tag转发;tagged列表中的VLAN,保留tag转发,其他VLAN不予放行 VLAN信息的传播 MVR
详解VLAN笔记(华三
四川的小熊猫的博客
06-28 6670
VLAN篇 ACCESS口: 接收报文的: 如果报文不带tag,则接收报文,并为报文添加缺省的vlan的Tag 如果报文带Tag且vlan ID=端口的PVID,则接收报文 如果报文带Tag而vlan ID≠端口的PVID,则丢弃报文 发送报文时: 去掉Tag后,发送报文 Trunk口: 接收报文时: 如果报文不带Tag,则接收报文,并未报文添加缺省的vlan的Tag 如果报文带Tag且vlan ID属于端口允许的通过的vlanID,则接受报文; 如果报文带Tag而vlan I
private vlan配置
雨魂
11-18 1889
本文章代码转自:http://bbs.51cto.com/thread-938135-1.html       private vlanprivate vlan是一个私有vlan配置之后可以实现同一vlan的主机之间实现隔离,加强了网络安全。 private vlan包括三部分,分别是:primary vlan、isolated vlan、community vlan。prima
H3CSE园区-VLAN扩展技术(Private Vlan, Super Vlan)
CSerwangjun的博客
03-03 6524
PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。Private Vlan技术:V5平台:隔离用户vlanV7平台:PvlanPvlan技术中的vlan类型:Primary vlan:主vlanSecondary vlan:辅助vlan 辅助vlan之间是不可以通信的,辅助vlan只能和主vlan之间通信P...
Primary VLAN
weixin_34319640的博客
03-24 278
1.打开所有设备并连接。2.配置DeviceA里的所有步骤。3..配置DeviceB里的所有步骤。4.DeviceB上的PrimaryVLAN5配置情况。 转载于:https://blog.51cto.com/14223406/2368343
实训十一:交换机的私有VLAN配置
weixin_60462069的博客
09-17 729
在设置 Private VLAN 关联前,三种类型的 Private VLAN 都没有以太网端口的成员端口存在 Private VLAN 关联关系的 Primary VLAn 不能被删除;使用指南:Private VLAN 分为三种:Primary VLAN,在 Primary VLAN 内的端口可以和关联到该 Primary VLAn 的 Isolated VLAN 和 Community VLAN 中的端口进行通信;VLAN,community 将当前 VLAN 设置为 Community VLAN
华三模拟器实现不同vlan之间的隔离,端口如何配置trunk模式
weixin_42916109的博客
08-19 2550
配置PC的IP地址,注意分配好IP地址后记得启用,并且端口管理点击启用。两个交换机的G1/0/3口配置成trunk模式创建两个vlan,分别为vlan 10 、vlan 20。G1/0/1、G1/0/2分被划入vlan 10、vlan 20。最后测试连通性,用PC3 ping 其余的PC 机,可以看到只有与该PC所属同一个vlan的PC5才能ping通。将G1/0/3端口配置成trunk模式,并且允许vlan 10、vlan 20通过。创建vlan 并将端口划入,两个交换机配置过程相同。...
华三交换机vlan配置
09-17
### 回答1: 华三交换机的 VLAN 配置方法如下: 1. 连接交换机的管理口,并使用管理软件连接到交换机。 2. 在交换机的命令行界面下,输入 "vlan batch" 命令,创建一个新的 VLAN。 3. 为新的 VLAN 设置一个 VLAN ID,并设置 VLAN 名称。 4. 为新的 VLAN 配置端口,可以使用 "portlink" 命令将端口加入 VLAN。 5. 在 VLAN 配置中启用或禁用 STP 功能,可以使用 "stp enable" 和 "stp disable" 命令进行设置。 6. 使用 "display vlan" 命令查看 VLAN 配置信息,使用 "save" 命令保存配置。 注意: - 在进行 VLAN 配置之前,需要先确保交换机已经连接到管理软件。 - 在配置 VLAN 时,应注意避免输入错误的命令,以免导致配置出错。 - 在进行 VLAN 配置之后,应及时保存配置,以免在交换机重启后丢失配置信息。 ### 回答2: 华三交换机是一种网络设备,可以通过配置VLAN实现网络分段和隔离。 首先,我们需要登录华三交换机的管理界面。可以通过使用SSH、Telnet或者串口连接方式进行登录。 然后,在交换机的命令行界面中,我们可以通过以下步骤进行VLAN配置: 1. 创建VLAN: 使用命令`vlan batch [vlan_id]`可以批量创建多个VLAN,其中[vlan_id]表示VLAN的ID号。 例如,`vlan batch 10 20 30`即创建了三个VLAN,分别为VLAN 10、VLAN 20和VLAN 30。 2. 配置VLAN接口: 使用命令`interface vlan [vlan_id]`可以进入指定VLAN的接口配置模式,其中[vlan_id]表示要配置VLAN的ID号。 例如,`interface vlan 10`即进入了VLAN 10的接口配置模式。 3. 定义VLAN接口的IP地址与子网掩码: 使用命令`ip address [ip_address] [mask]`可以为VLAN接口分配IP地址和子网掩码,其中[ip_address]表示要分配的IP地址,[mask]表示子网掩码。 例如,`ip address 192.168.1.1 255.255.255.0`即为VLAN接口分配了IP地址192.168.1.1和子网掩码255.255.255.0。 4. 配置端口VLAN隶属关系: 使用命令`port vlan [vlan_id] [port_list]`可以将指定端口加入到指定的VLAN中,其中[vlan_id]表示要配置VLAN的ID号,[port_list]表示要配置的端口列表。 例如,`port vlan 10 1/1/1 to 1/1/24`即将端口1/1/1到1/1/24加入到VLAN 10中。 以上是华三交换机VLAN配置简介,通过配置VLAN可以实现不同VLAN之间的隔离和通信,提高网络安全性和性能。 ### 回答3: 华三交换机是一种常用的网络设备,它支持VLAN(Virtual Local Area Network)配置功能。VLAN是一种逻辑划分网络的技术,可以将一台交换机划分为多个虚拟局域网,实现不同VLAN之间的互不干扰和安全隔离。 设置华三交换机的VLAN配置需要以下几个步骤: 1. 登录交换机管理界面,在菜单中找到“VLAN”选项,点击进入。 2. 创建VLAN:在VLAN页面中,选择“新建VLAN”或“添加VLAN”选项。填写VLAN的名称、ID和描述等信息,并保存配置。 3. 分配端口:在VLAN页面的“端口配置”中,选择需要加入该VLAN的端口,将其分配给对应的VLAN。可以选择单个端口或者多个端口同时分配。保存配置后,该端口将被划分到相应的VLAN中。 4. 配置端口模式:在VLAN页面的“端口模式”中,选择需要配置的端口,根据需要进行端口模式的设置。常见的端口模式有访问模式、Trunk模式、混杂模式等。不同的模式适用于不同的网络需求,比如访问模式用于连接终端设备,Trunk模式用于连接其他交换机等。 5. 验证配置配置完成后,可以通过命令"show vlan"来查看当前VLAN配置情况,确认是否正确设置了VLAN和端口的划分与配置。 6. 测试连通性:最后,通过将不同VLAN的设备连接到对应的端口上,并进行连通性测试,以验证VLAN配置的正确性和有效性。 总结来说,华三交换机的VLAN配置包括创建VLAN、分配端口、配置端口模式等步骤。合理配置VLAN可以实现对网络的管理和控制,提高网络的安全性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值