在Cisco交换换机上实现隔离访问

现在网络安全要求也越来越高了，一个局域网有时候也希望能够做到互相不能访问。我主要是给大家介绍一下在 cisco 的交换机上面如何来实现大家的需求。

　　在 cisco 低端交换机中的实现方法 :
　　 1. 通过端口保护 (Switchitchport protected) 来实现的。
　　 2. 通过 PVLAN(private vlan 私有 vlan) 来实现 .
　　主要操作如下 :
　　相对来说 cisco 3550 或者 2950 交换机配置相对简单，进入网络接口配置模式 :
　　 Switch(config)#int range f0/1 - 24 # 同时操作 f0/1 到 f0/24 口可根据自己的需求来选择端口
　　 Switch(config-if-range)#Switchitchport protected # 开启端口保护
　　 ok... 到此为止 , 在交换机的每个接口启用端口保护 , 目的达到 .
　　
    由于 4500 系列交换机不支持端口保护，可以通过 PVLAN 方式实现。
　　主要操作如下 :
　　首先建立 second Vlan 2 个
　　 Switch(config)#vlan 101
　　 Switch(config-vlan)#private-vlan community
　　 ### 建立 vlan101 并指定此 vlan 为公共 vlan
　　 Switch(config)vlan 102
　　 Switch(config-vlan)private-vlan isolated
　　 ### 建立 vlan102 并指定此 vlan 为隔离 vlan
　　 Switch(config)vlan 200
　　 Switch(config-vlan)private-vlan primary
　　 Switch(config-vlan)private-vlan association 101
　　 Switch(config-vlan)private-vlan association add 102
　　 ### 建立 vlan200 并指定此 vlan 为主 vlan ，同时制定 vlan101 以及 102 为 vlan200 的 second vlan
　　 Switch(config)#int vlan 200
　　 Switch(config-if)#private-vlan mapping 101,102
　　 ### 进入 vlan200 配置 ip 地址后，使 second vlan101 与 102 之间路由，使其可以通信
　　 Switch(config)#int f3/1
　　 Switch(config-if)#Switchitchport private-vlan host-association 200 102
　　 Switch(config-if)#Switchitchport private-vlan mapping 200 102
　　 Switch(config-if)#Switchitchport mode private-vlan host
　　 ### 进入接口模式，配置接口为 PVLAN 的 host 模式，配置 Pvlan 的主 vlan 以及 second vlan ，一定用 102 ， 102 是隔离 vlan
　　至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信。
　　
    注 :Cisco 网站上的配置实例好像不能按照此方式使用，只是启用隔离而不能与本 vlan 的网关通信。按照 Cisco 网站上的配置， private vlan 不能 up 。如果有多个 vlan 要进行 PVLAN 配置， second vlan 必须要相应的增加，一个 vlan 只能在 private vlan 下作为 second vlan 。

如果 PVLAN 真的只支持 VTP is transparent 模式，那不是很郁闷，据我所知，许多网络的 VTP 都是用 C/S 模式的呀。

如果要把 C/S 改成 transparent 模式的话，要注意些什么，我怕在实施的时候底下 transparent 模式的交换机会把 VTP Server 的 VLAN 信息给覆盖掉，那不是糟了。