路由交换技术-实验6:配置PVLAN,实现VLAN内部隔离

已于 2022-04-09 17:39:58 修改
阅读量2.5k 收藏 24
点赞数 7
分类专栏: 路由交换技术 文章标签: 网络安全
于 2022-04-09 17:38:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44906508/article/details/124064573
版权

实训目的

· 掌握Private Vlan的配置方法。

实训背景

在宾馆酒店、学校宿舍、小区宽带接入等场合,如果用普通VLAN技术,需要为每1个用户划分独自的VLAN才能保证隔离,但是VLAN数量有限(4094个)。

PVLAN(Private VLAN,私有VLAN),也称“专用虚拟局域网”,可以解决上述问题。PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。可以在有限VLAN数量内(小于4094)实现多端口(大于4094)的隔离。

实训拓扑

实验所需设备:

环境:EVE-NG

设备:4台普通 PC,1台二层交换机,1台路由器

实训步骤

1. 在二层交换机SW2上配置PVLAN

Switch>en
Switch#conf t
Switch(config)#vtp mode off  //配置PVLAN需要关闭VTP模式或透明模式
Switch(config)#vlan 20
Switch(config-vlan)#private-vlan community  //VLAN20为团体VLAN
Switch(config)#vlan 30
Switch(config-vlan)#private-vlan isolated  //VLAN30为隔离VLAN
Switch(config)#vlan 10
Switch(config-vlan)#private-vlan primary  //VLAN10为主VLAN
Switch(config-vlan)#private-vlan association 20,30  //主VLAN关联子VLAN20、30

2. 在二层交换机SW2上配置PVLAN各端口属性

Switch>en
Switch#conf t
Switch(config)#interface range e1/0-1
Switch(config-if-range)#switchport mode private-vlan host   //私有VLAN端口为主机模式
Switch(config-if-range)#switchport private-vlan host-association 10 20  //加入团体VLAN20和关联主VLAN10
Switch(config)#int range e1/2-3
Switch(config-if-range)#switchport mode private-vlan host  //私有VLAN端口主机模式
Switch(config-if-range)#switchport private-vlan host-association 10 30   //加入团体VLAN30和关联主VLAN10
Switch(config)#int e0/0   //设置为混杂端口
Switch(config-if)#switchport mode private-vlan promiscuous  //指定主、辅VLAN映射关系,允许PVLAN报文通过
Switch(config-if)#switchport private-vlan mapping 10 add 20,30  //将辅助VLAN映射到主VLAN的三层VLAN接口,使PVLAN入口流量能够执行三层交换

3. 在路由网关R1上,配置接口IP地址

Router>en
Router#conf t
Router(config)#int e0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown

测试验证

1. 分别配置测试PC机的IP地址

2. 测试PC1 ping PC2,实现团体VLAN通信

3. 测试PC1 ping PC3,团体VLAN与隔离VLAN是无法互通的

4. 测试PC1 ping R1,与网关是可以互通的

5. 测试PC3 ping PC4,同隔离VLAN的也无法互通

6. 测试PC3 ping R1,与网关能互通

经验证,PC1、PC2可以相互通信,与PC3、PC4不能通信。
PC3、PC4均只能与网关相互通信,不能与其他任何设备相互通信。

实训问题:

团体VLAN(community vlan):具有相同名称的团体vlan中的设备可以相互通信,不同名称的团体vlan中的设备不能相互通信。

隔离VLAN(isolated vlan):隔离vlan中的设备只能访问外网,不能与任何vlan的中任何设备相互通信。

PVLAN中的一些使用规则:

1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。

3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。

4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信

5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

来着个人学习博客: 路由交换技术-实验6:配置PVLAN,实现VLAN内部隔离 - 小叶总技术网

   鑫
关注
  • 7
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Private VLAN配置(完整步骤)
青红造了个大白之成长记
07-05 1万+
Private VLANs 动机§ 在有些情况下,希望隔离位于同一VLAN中终端设备间的通信,又不希望划分不同IP子网造成IP地址浪费。§ 私有VLAN技术可以隔离用一个IP子网内的二层设备。                                               § 交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口。§ 这样,虽然有些设备属于同一VLAN,但他...
《路由与交换》实验报告及答案.zip
04-12
《路由与交换》实验报告及答案的压缩包包含了一系列与网络技术相关的实验文档,主要涵盖了路由、交换、网络地址转换(NAT)、虚拟局域网(VLAN)、生成树协议(STP)、基本网络设备配置、动态主机配置协议(DHCP)、...
VLAN应用篇系列:(10)H3C交换机 PVLAN功能(V7为PVLAN,V5为isolate-user-vlan
网络之路Blog(其他平台同名)
02-27 2437
说明 高级的隔离功能在H3C设备上面也是有的,之前介绍了思科与华为设备上面的配置,这次主要以H3C V7版本为主介绍PVLAN,在V5版本是称为isolate-user-vlan,通常拥在在运营商或者某些特殊场景下,采用LAN接入小区宽带,一般会采用用户之间相互隔离,但是传统的VLAN来说,一个VLAN一个客户,而一个交换机最多只有4094个VLAN,很多情况下是不够的,该技术就是屏蔽掉接入层的VLAN ID,只有汇聚层的ID可见,保证在4094个VLAN下是可用的。这里主要以V7版本的来介绍,V5版本后
pVLAN配置
weixin_33738982的博客
09-05 507
pVLAN(Private VLAN,私用VLAN)是能够为相同VLAN内不同端口之间提供隔离VLAN。通过隔离相同VLAN之中的网络设备之间的流量,Cisco所提出的pVLAH能够提高安全性、降低IP子网数目和降低VLAN利用率。 每个PVLAN包括2种VLAN:主VLAN和辅助VLANVLAN:主PVLAN是PVLAN中的高级VLAN.主VLAN由很多...
vlan端口隔离配置_vlan隔离模式
最新发布
2401_84561374的博客
05-17 1035
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离一般用于内网中,端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。
PVLAN组网实验
qq_65150735的博客
03-03 960
这是pVLAN中的高级VLAN。主VLAN可以由多个辅助私 用VLAN组成,而这些辅VLAN与主VLAN属于同一子网。
私有VLAN
qq_44948209的博客
05-20 337
私有 VLAN,PVLAN 必须配置在透明模式的交换机上,VTP版本1或2 PVLAN把一个VLAN划分成多个不同的VLAN,这些VLAN使用同一个网段。 PVLAN由主VLAN和辅助VLAN组成,主VLAN只有一个,辅助VLAN可以有多个,辅助VLAN分团体VLAN隔离VLAN,一个主VLAN只能有一个隔离VLAN。 主VLAN,辅助VLAN,关联 # 主VLAN vlan 100 private-vlan primary // VLAN 100 主 VLAN private-vlan asso
H3C Private VLAN(私有vlan实验
h320758724的博客
04-29 3095
实验拓扑 Private VLAN(私有vlan实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 SW1 上配置 Privat...
vlan端口隔离配置
qq_40907977的博客
07-27 5672
对于大型网络来说,vlan是一种不错的解决办法,但对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了,用户如果还将不同的端口划入不同的VLAN,那么有些浪费成本或资源,怎么办呢?可以采用端口隔离。 采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。 端口隔离一般用于内网中,端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。 一、端口隔离如何
交换技术汇总交换机知识点与命令详解
12-14
* 三层交换技术的实现硬件的路由转发,转发路由表也是由软件通过路由协议建立的 * 三层交换与路由均为根据逻辑地址确定路径、运行三层校验和、使用TTL、对信息处理和相应,分析报文、用MIB更新SNMP管理 * 三层交换...
ZXR10 5950-H系列全千兆智能路由交换机.docx
08-21
这些交换机具备全面的二层和三层交换能力,支持如PVLAN、协议VLAN、 QinQ、VLAN翻译等二层技术,以及静态路由、RIP、OSPF、IS-IS、BGP、MCE等三层路由协议,确保了网络的高效运行。在组播特性方面,它们支持可控组播...
CCNP之PVLAN实验
04-10
实验目的】 (拥有完整的实验拓扑,以及配置命令) 模拟DMZ区域对隔离的需求。所有服务器均处在同一VLAN,为保证安全,现要求不同应用的服务器之间无法通讯,属于同一应用的服务器之间可以通讯,管理员与网关接口可以跟所有服务器通讯
HCSE交换复习
05-21
28. PVLAN(Private VLAN):用于隔离用户VLAN,需要启用isolate-user-vlan,并在配置映射后解除原有映射才能进行接口操作。 29. Trunk(中继):Trunk允许多个VLAN数据在单个物理链路上传输,是VLAN间通信的关键。...
vlan_port网络与端口的关系
10-21
VLAN(Virtual Local Area Network,虚拟局域网)是一种在物理局域网的基础上,通过软件方式实现的逻辑网络划分技术。它将一个物理的局域网分割成多个逻辑的子网,每个子网称为一个VLAN,从而提高了网络管理的灵活性...
PVLAN-配置案例(图)
weixin_33932129的博客
08-01 768
拓扑图:Pvlan主要用于广播域中的主机,进行隔离,提供安全性。每个Pvlan包括2中vlan: 主vlan(primary) 辅助vlan(secondary) 辅助vlan分为: 隔离vlan(isolated) 团体vlan(community)Pvlan中...
设备调试之PVLAN技术实践
王明的博客
08-28 268
PVLAN实验实现了混杂端口与任意端口的通信,即混杂端口与隔离端口和团体端口的通;隔离端口只能与混杂端口通信,同vlan中不同PC之间的隔离;团体vlan与混杂端口通信,同vlan之间通信,不同vlan之间不能通信。
理解PVLAN技术 ( by quqi99 )
热门推荐
技术并艺术着
08-11 1万+
理解PVLAN技术 ( by quqi99 ) 作者:张华  发表于:2013-08-11 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99)    为了隔离用户之间的报文,传统的办法是给每个用户分配一个VLAN。但缺点很多: 为每一个客户提供一个VLAN,I
交换机:配置PVLAN
weixin_33720452的博客
03-30 511
PVLAN(Private VLAN,私有VLAN)是能够为相同VLAN内不同端口之间提供隔离VLAN。 在配置PVLAN的时候,因为只有VTP透明模式支持PVLAN,所以必须首先将交换机配置为VTP透明模式。 步骤1 在开始配置PVLAN之前,首先将交换机VTP模式配置为透明模式。 DS1(config-vlan)#vtp mode transparent ...
思科交换机创建vlan的命令是什么??
H002399的专栏
07-13 1万+
Vlan    Mac Address       Type        Ports ----    -----------       --------    -----    1    0001.9780.6173    DYNAMIC     Fa0/1    1    0004.9a08.4ce0    DYNAMIC     Fa0/2    1    00e0.f72
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

   鑫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值