一、Pvlan知识点

图片.png

二、PVLAN配置案例(cisco)

wKiom1jp_4KRF9BVAAEGB03skhk995.jpg

1、设置主VLAN

SW1(config)#vlan 200
  private-vlan primary 
2、设置二级子VLAN
SW1(config)#vlan 201
  private-vlan isolated    设置为隔离VLAN
SW1(config)#vlan 202
  private-vlan community   设置为联盟VLAN
3、将子VLAN划入主VLAN中,建立一个关联
SW1(config)#vlan 200
  private-vlan association 201-202
SW1(config)#vlan 200
  private-vlan association add 203   加入一个子VLAN
  private-vlan association remove 203  移除一个子VLAN
4、将端口设定一个模式,并划入相应的VLAN中
int e0
  switchport mode private-vlan host  设置端口的模式,根据子VLAN的类型成为相应的端口
  switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201

int e1

  switchport mode private-vlan promiscuous   设置混杂端口
  switchport private-vlan mapping 200 201-202    设定混杂端口所能管理的子VLAN
  switchport private-vlan mapping 200 add/remove 203    增加或移除一个可管理的子VLAN

show vlan private-vlan
5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。
int vlan 200
  private-valn mapping 201-202 #设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。

show interfaces private-vlan mapping

Pvlan三层支持、二层也有端口隔离特性

单隔离组:同一个VLAN的用户要求安全,使用端口隔离
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23
port-group 1
 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23
 port link-type access
 port access vlan 100
 port-isolate enable

interface  g0/0/24 上联端口
port-isolate uplink-port  


创建隔离组2
port-isolate group 2   将端口GigabitEthernet4/0/2加入隔离组2
interface GigabitEthernet 4/0/2
 port-isolate enable group 2
interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口
 port-isolate uplink-port group 2

display isolate port 显示隔离端口

三、华为MUX-VLAN知识

产生背景    
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。    
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企 业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。 为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有 大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还 增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户 之间是隔离的

图片.png

四、华为MUX-VLAN配置步骤

vlan 100 #主vlan
vlan 10 #group vlan
vlan 20 #separate vlan
vlan 100 #MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN 和Group VLAN

mux-vlan #设置vlan100为主vlan,Principal port可以和MUX VLAN内的所有接口进行通信

subordinate group 10  #(互通型从VLAN )

注释:可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个 Principal VLAN

subordinate separate 20 #(隔离型从 VLAN)

注释:只能和Principal port 进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个 Principal VLAN

mux-vlan命令用来将当前VLAN配置为MUX VLAN中的主VLAN(Principal VLAN)

subordinate separate命令用来配置主VLAN下的隔离型从VLAN
subordinate group命令用来配置主VLAN下的互通型从VLAN
port mux-vlan enable命令用来开启接口MUX VLAN功能


interface g0/0/1 上行口
port link-type access
port default vlan 100
interface g0/0/2 下行口
port link-type access
port default vlan 10
interface g0/0/3 下行口
port link-type access
port default vlan 20

interface rang g0/0/1 to g0/0/3
port mux-vlan enable #启用mux-vlan

端口隔离(相同隔离组不能相互通讯,不同的隔离组可以相互通讯的

system-view

vlan 10

port-isolate mode l2
interface rang g0/0/1 to g0/0/24
port link-type access
port default vlan 10
interface g0/0/1
port-isolate group 10 #启用端口隔离,并加入到group10
interface g0/0/2
port-isolate group 10
interface g0/0/3
port-isolate group 20
interface g0/0/4
port-isolate group 20


port-isolate mode all
port-group portgroup1
group-member gigabitethernet 1/0/10 to gigabitethernet 1/0/20
port-isolate enable group 2


五、VACL知识点
图片.png
六、VACL配置步骤
第一步:access 1 permit any any
第二步:vlan access-map cisco
第三步:match ip address 1
action drop 动作
第四步:针对vlan100调用
vlan  filter cisco vlan-list 100