WOLFLAB CCNP交换-园区网安全PVLAN配置过程

1. 实验室交换机架登陆：

Rack 99   192.168.9.99      

Rack 98   192.168.9.98

Rack 100  192.168.9.100

做实验之前，请重启设备，做完实验后，请勿保存。想要通过外网登陆机架请联系WOLFLAB，获取登陆方式。

1. PVLAN（Private VLAN）：私有VLAN，为VLAN内不同端口之间提供隔离的VLAN，能够在一个VLAN中实现端口之间的隔离。

组成 - 每个PVLAN包括两种VLAN：

1. 主VLAN
2. 子VLAN，子VLAN又分为两种：隔离子VLAN；联盟子VLAN。

子VLAN是属于主VLAN的，一个主VLAN可以包含多个子VLAN；

在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN。

三种端口类型：

host隔离端口 - 属于隔离VLAN；

host联盟端口 - 属于联盟VLAN；

promiscuous混杂端口 - 可以和其它端口通信，不属于任何一个子VLAN，通常是连接网关的端口或是连接服务器的端口。

访问规则：

1. 在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN；
2. 隔离VLAN中的主机相互间不能访问，也不能和其它子VLAN访问，也不能和外部VLAN访问，只能与混杂端口访问；
3. 联盟VLAN中的主机可以相互访问，可以和混杂端口访问，但不能和其它子VLAN访问，也不能和外部VLAN访问。

配置步骤：

1. 配置sw3的vtp模式为透明模式。

SW3： vtp mode transparent

1. 在SW3上配置主VLAN 200。

SW3： vlan 200  private-vlan primary

1. 在SW3上配置子VLAN 。

SW3： vlan 201  private-vlan community    //联盟子vlan vlan 202  private-vlan isolated      //隔离子vlan

1. 将子VLAN划入主VLAN中，建立关联。

SW3： vlan 200  private-vlan association 201-202

1. 配置端口模式，并划入相应的VLAN。

SW3： interface range f0/1-2 switchport mode private-vlan host  switchport private-vlan host-association 200 201 interface range f0/3-4  switchport mode private-vlan host  switchport private-vlan host-association 200 202 SW3#show vlan private-vlan Primary Secondary Type              Ports ------- --------- ----------------- ------------------------------------------ 200     201       community         Fa0/1, Fa0/2 200     202       isolated            Fa0/3, Fa0/4

1. 在SW3上配置VLAN 200的SVI接口，其地址为1.1.1.200/24，从而实现PVLAN流量通过SVI进行三层转发。

SW3： ip routing interface Vlan200  ip address 1.1.1.200 255.255.255.0  private-vlan mapping 201-202   SW3#show interfaces private-vlan mapping Interface Secondary VLAN Type --------- -------------- ----------------- vlan200   201            community vlan200   202            isolated

1. 按图中所示，配置R1-R4的接口地址。配置完成后，测试R1-R4访问1.1.1.200，R1和R2之间能否通信？R3与R4之间能否通信？R1R2与R3R4之间能否通信？

解析：R1-R4均可以访问1.1.1.200。R1与R2可以互相通信，R3与R4不能通信，R1R2与R3R4不能通信。