一、Pvlan知识点
二、PVLAN配置案例(cisco)
1、设置主VLAN
SW1(config)#vlan 200
private-vlan primary
2、设置二级子VLAN
SW1(config)#vlan 201
private-vlan isolated 设置为隔离VLAN
SW1(config)#vlan 202
private-vlan community 设置为联盟VLAN
3、将子VLAN划入主VLAN中,建立一个关联
SW1(config)#vlan 200
private-vlan association 201-202
SW1(config)#vlan 200
private-vlan association add 203 加入一个子VLAN
private-vlan association remove 203 移除一个子VLAN
4、将端口设定一个模式,并划入相应的VLAN中
int e0
switchport mode private-vlan host 设置端口的模式,根据子VLAN的类型成为相应的端口
switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201
int e1
设置混杂端口
switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLAN
show vlan private-vlan
5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。
int vlan 200
private-valn mapping 201-202 #设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。
show interfaces private-vlan mapping
Pvlan三层支持、二层也有端口隔离特性
单隔离组:同一个VLAN的用户要求安全,使用端口隔离
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23
port-group 1
group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23
port link-type access
port access vlan 100
port-isolate enable
interface g0/0/24 上联端口
port-isolate uplink-port
创建隔离组2
port-isolate group 2 将端口GigabitEthernet4/0/2加入隔离组2
interface GigabitEthernet 4/0/2
port-isolate enable group 2
interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口
port-isolate uplink-port group 2
display isolate port 显示隔离端口
三、华为MUX-VLAN知识
产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企 业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。 为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有 大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还 增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户 之间是隔离的
四、华为MUX-VLAN配置步骤
vlan 100 #主vlan
vlan 10 #group vlan
vlan 20 #separate vlan
vlan 100
mux-vlan #设置vlan100为主vlan,Principal port可以和MUX VLAN内的所有接口进行通信
subordinate group 10 #(互通型从VLAN )
注释:可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个 Principal VLAN
subordinate separate 20
注释:只能和Principal port 进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个 Principal VLAN
mux-vlan命令用来将当前VLAN配置为MUX VLAN中的主VLAN(Principal VLAN)
subordinate separate命令用来配置主VLAN下的隔离型从VLAN
subordinate group命令用来配置主VLAN下的互通型从VLAN
port mux-vlan enable命令用来开启接口MUX VLAN功能
interface g0/0/1 上行口
port link-type access
port default vlan 100
interface g0/0/2 下行口
port link-type access
port default vlan 10
interface g0/0/3 下行口
port link-type access
port default vlan 20
interface rang g0/0/1 to g0/0/3
port mux-vlan enable #启用mux-vlan
端口隔离(相同隔离组不能相互通讯,不同的隔离组可以相互通讯的)
system-view
vlan 10
port-isolate mode l2
interface rang g0/0/1 to g0/0/24
port link-type access
port default vlan 10
interface g0/0/1
port-isolate group 10 #启用端口隔离,并加入到group10
interface g0/0/2
port-isolate group 10
interface g0/0/3
port-isolate group 20
interface g0/0/4
port-isolate group 20
port-isolate mode all
port-group portgroup1
group-member gigabitethernet 1/0/10 to gigabitethernet 1/0/20
port-isolate enable group 2
五、VACL知识点
六、VACL配置步骤
第一步:access 1 permit any any
第二步:vlan access-map cisco
第三步:match ip address 1
action drop 动作
第四步:针对vlan100调用
vlan filter cisco vlan-list 100
https://blog.51cto.com/maguangjie/1791900