实训十二：交换机隔离VLAN配置

2024-07-09 11:20| 来源: 网络整理| 查看: 265

一、实验目的 1、了解隔离vlan的原理。 2、熟练掌握交换机隔离vlan的划分办法。 3、了解vlan和隔离vlan的不同。二、应用环境 vlan带给网络很好的管理性，vlan之间通讯必要经过三层设备路由。 1、如果一个实验室的交换机上划分了若干个vlan为了安全起见，vlan之间不需要通讯，但是所有的vlan都需要访问一台公用的服务器。怎么办？增加三层设备的投资太高了。 2、一个宽带小区，每家每户都有宽带入户，每个家庭的电脑都不希望被其他人家的用户所访问，要求隔离，难道需要在交换机上配置20多个 vlan来解决？使用隔离vlan（pvlan）是一个很好的办法。前提：交换机支持pvlan，并非所有的交换机都支持pvla。三、实验设备 1、神州数码DCN-CS6200交换机 1 台 2、神州数码DCN-S4600交换机 1 台 3、PC机 2 台 4、console线 1 根 5、直通网线 2 根四、实验拓扑在这里插入图片描述五、实验要求 1、在两个交换机上分别划分vlan：vlan100、vlan200。交换机 A：交换机B： PC1、PC2的网络设置为： 2、把pc1、pc2接在相应的端口上进行验证：所有的端口都可以和混杂端口通信，隔离vlan内部不能通信。若实验结果和理论相符，则本实验完成。六、实验步骤第一步：交换机全部恢复出厂设置，创建私有的vlan的各种成员vlan，并在交换机A上配置vlan ip。

交换机A： switchA(config)#vlan 100;200 switchA(config)#int vlan 100 switchA(config-if-vlan100)#ip add 192.168.100.1 255.255.255.0 交换机B： S4600-28P-SI(config)#hostname switchB switchB(config)#vlan 100 switchB(config-vlan100)#private-vlan isolated switchB(config-vlan100)#vlan 200 switchB(config-vlan200)#private-vlan

第二步：做vlan之间的关联。

switchB(config-vlan200)#private-vlan association 100 Set vlan 200 associated vlan successfully

第三步：添加端口，并设置端口属性。

交换机A： switchA(config)#interface ethernet 1/0/24 switchA(config-if-ethernet1/0/24)#switchport mode trunk switchA(config-if-ethernet1/0/24)#switchport trunk allowed vlan all 交换机B： SwitchB(config)#vlan 100 SwitchB(config-vlan100)#switchport interface ethernet 0/0/1-12 SwitchB(config-vlan100)#vlan 200 SwitchB(config-vlan200)#switchport interface ethernet 0/0/13-24 SwitchB(config-vlan200)#exit SwitchB(config)#interface ethernet 1/0/24 SwitchB(config-if-ethernet1/0/24)#switchport mode trunk Set the port Ethernet1/0/26 mode Trunk successfully SwitchB(config-if-ethernet1/0/24)#switchport trunk allowed vlan all

第四步：配置交换机的地址，由于交换机自带地址，默认是192.168.1.1。第五步：验证配置在这里插入图片描述七、注意事项和排错 1、创建隔离vlan的时候，先做关联，在添加端口。因为关联时，会自动把原vlan的端口移除。 2、隔离vlan中并不显示隔离端口，而只是显示混杂端口。八、相关配置命令详解

命令：private-vlan {primary|isolated|community} no private-vlan 功能：将当前 VLAN 设置为 Private VLAN，该命令的 no 操作为取消 Private VLAN 设置。参数：primary 将当 VLAN 设置为 Primary VLAN，isolated 将当前 VLAN 设置为 IsolatedVLAN，community 将当前 VLAN 设置为 Community VLAN。命令模式：VLAN 配置模式缺省情况：缺省没有 Private VLAN 配置。使用指南：Private VLAN 分为三种：Primary VLAN，在 Primary VLAN 内的端口可以和关联到该 Primary VLAn 的 Isolated VLAN 和 Community VLAN 中的端口进行通信；Isolated VLAN，在 Isolated VLAN 内的端口之间是隔绝的，它们只可以和其相关联的Primary VLAN 内的端口通信；Community VLAN，在 Community VLAN 内的端口相互之间可以通信，也可以和其相关联的 Primary VLAN 内的端口通信；在 Isolated VLAN 内的端口和在 Community VLAN 内的端口之间不能通信。只有不包含任何以太网端口的 VLAN 才能被设置为 Private VLAN；只有设置了关联关系的 Private VLAN 才能 Access 类型的以太网端口设置为成员端口；普通 VLAN 若被设置成 Private VLAN 后，会自动将所属以太网端口清空。另外注意 GVRP 不传播 Private VLAN 的信息。

命令：private-vlan association no private-vlan association 功能：设 Private VLAN 的绑定操作，该命令的 no 操作为取消 Private VLAN 绑定。参数：为与指定 Primary VLAN 相关关联的 Secondary VLAN 列表，Secondary VLAn 包括 Isolated VLAn 和 Community VLAn 两种，支持“;”连接多个 Secondary VLAN。命令模式：VLAN 配置模式缺省情况：缺省没有 Private VLAN 绑定。使用指南：只有 Primary 类型的 VLAN 才能设置 Private VLAN 关联关系；被关联到 PrimaryVLAN 上的 Secondary VLANs 内的各个端口可以和关联的 Primary VLAN 内的各个端口进行通信。在设置 Private VLAN 关联前，三种类型的 Private VLAN 都没有以太网端口的成员端口存在 Private VLAN 关联关系的 Primary VLAn 不能被删除；被解除关联关系的 Private VLANs 会自动将所属成员端口清空。

【本文地址】

公司简介

联系我们