PVLAN(Private VLAN)在局域网中的应用

CCNP实验:PVLAN(Private VLAN)在局域网中的应用


【实验环境】

真机C3560以上,暂时无法完成实验

【实验目的】

模拟DMZ区域对隔离的需求。所有服务器均处在同一VLAN,为保证安全,现要求不同应用的服务器之间无法通讯,属于同一应用的服务器之间可以通讯,管理员与网关接口可以跟所有服务器通讯:

C1可以和C2/C3/C4/C5互访
C2和C3可以互访
C4和C5不能互访

这里就可以使用PVLAN技术简化配置,在主VLAN 10的下面再创建2个VLAN 501(community类型,成员可以互访)和VLAN 502(isolated类型,成员不可互访),并且2个VLAN之间不能互访,主VLAN可以与次级VLAN之间互访。

【实验拓扑】

【实验描述】

所有服务器C1-C5均处在VLAN 10下,网段10.10.10.0/24,IP主机地址与接口号同。

primary VLAN:10

Secondary VLAN:community VLAN:501/isolated VLAN:502

Promiscuous Port:f1/1

Host Port:f1/2,f1/3,f1/4,f1/5

交换机管理VLAN:10.10.10.254/24

【实验步骤】

1、配置各服务器IP地址

C1:ip 10.10.10.1/24
C2:ip 10.10.10.2/24
C3:ip10.10.10.3/24
C4:ip10.10.10.4/24
C5:ip10.10.10.5/24

2、将交换机的VTP模式改为透明模式,否则无法使用PVLAN技术

SW(config)#vtp mode transparent

3、创建Primary VLAN及Secondary VLAN

SW(config)#vlan 10
SW(config-vlan)#private-vlan primary

SW(config-vlan)#vlan 501
SW(config-vlan)#private-vlan community

SW(config-vlan)#vlan 502
SW(config-vlan)#private-vlan isolated

4、关联Primary VLAN及Secondary VLAN

SW(config)#vlan 10
SW(config-vlan)#private-vlan association 501-502

5、将端口f1/1设置为Promiscuous Port并映射Secondary VLAN

SW(config)#int f1/1
SW(config-if)#switchport mode private-vlan promiscuous //设置端口为混杂模式
SW(config-if)#switchport private-vlan mapping 10 501-502 //使用mapping关联主VLAN和能够访问的私有VLAN

6、将端口f1/2,f1/3设置为Host Port并映射community VLAN

SW(config)#int range f1/2 - 3
SW(config-if)#switchport mode private-vlan host //设置端口为host模式
SW(config-if)#switchport private-vlan host-association 10 501 //使用host-association关联主VLAN和所属的私有VLAN

7、将端口f1/4,f1/5设置为Host Port并映射isolated VLAN

SW(config)#int range f1/4 - 5
SW(config-if)#switchport mode private-vlan host //设置端口为host模式
SW(config-if)#switchport private-vlan host-association 10 502 //使用host-association关联主VLAN和所属的私有VLAN

8、在交换机上检查PVLAN设置

SW#show vlan private-vlan

结果暂无

9、测试各服务器之间的连通性

结果暂无

10、配置交换机的三层管理接口(SVI)

SW(config)#int vlan 10
SW(config-if)#ip address 10.10.10.254 255.255.255.0
SW(config-if)#no shutdown

11、测试交换机SVI接口连通性

结果暂无

12、配置三层接口PVLAN映射,开启三层交换功能,使得Secondary VLAN也可以远程访问SVI接口

SW(config)#int vlan 10
SW(config-if)#private-vlan mapping 501-502
SW(config-if)#exit
SW(config)#ip routing

11、再次测试交换机SVI接口连通性


你可能感兴趣的:( ,PVLAN,端口隔离)