路由器vlan规则 路由器的vlan功能怎么用
转载
【推荐】PVLAN功能的实现
何谓PVLAN,就是Private私有VLAN的意思,实际上就是说:在一个以太网环境中,存在多个用户,每个用户都相互隔离,但是它们都可以通过共同的uplink端口(Trunk)与外部互通。
该功能常见于运营商宽带网络的最低层接入中,如:以家庭为单位,每个家庭一个VLAN,各家之间是相互不通的,但每家都能正常上网!
实现方式1:
二层交换机+三层路由器组合
这种模式下:
★每个用户都处于不同的Access Vlan中,相互之间完全隔离;
★交换机的uplink口和路由器的端口都处于Trunk模式中,且包含所有的VLAN中。
简要配置:交换机:
vlan 10-33 //建立vlan数据库
!
interface FastEthernet0/1 //各个用户VLAN
switchport pvid 10
!
interface FastEthernet0/2
switchport pvid 11
!
interface FastEthernet0/3
switchport pvid 12
!
interface FastEthernet0/4
......
!
interface FastEthernet0/24 //UPlink端口
switchport mode trunk
switchport trunk vlan-allow all
路由器(稍微有点复杂):
interface FastEthernet 0/0
no ip address
!
interface FastEthernet 0/0.1 //建立子接口,并封装802.1Q VLAN协议
encapsulation dot1q 10
ip address 10.0.0.1 255.255.255.0
!
interface FastEthernet 0/0.2
encapsulation dot1q 11
ip address 10.1.0.1 255.255.255.0
!
interface FastEthernet 0/0.3
encapsulation dot1q 12
ip address 10.2.0.1 255.255.255.0
!
interface FastEthernet 0/0.4
......
!
interface FastEthernet 0/0.34
encapsulation dot1q 33
ip address 10.23.0.1 255.255.255.0
!
注意点:
★每个vlan中的用户主机都配置不同的IP网段,他们都可以跟路由器上的一个字接口互通;
★由于路由器可以实现三层转发,会导致跨VLAN的网络也能通信,所以通常要在路由器上配合ACL进行控制
图片:
|
实现方式2:一台纯以太网交换机 简要思路: 通过交换机自身802.1Q协议的控制,在交换机内部就可以实现PVLAN功能 参考配置信息:
vlan 1-13,50 //建立vlan数据库
!
interface FastEthernet0/1 //各个用户VLAN
switchport mode trunk
switchport pvid 1
switchport trunk vlan-allow 1,50
switchport trunk vlan-untag 1,50
!
interface FastEthernet0/2
switchport mode trunk
switchport pvid 2
switchport trunk vlan-allow 2,50
switchport trunk vlan-untag 2,50
!
interface FastEthernet0/3
switchport mode trunk
switchport pvid 3
switchport trunk vlan-allow 3,50
switchport trunk vlan-untag 3,50
!
interface FastEthernet0/4
......
!
interface FastEthernet0/24 //UPlink端口
switchport mode trunk
switchport pvid 50
switchport trunk vlan-allow all
switchport trunk vlan-untag all
注意点: ★这种情况下,不需要外部设备配合,在二层交换上就可以实现PVLAN功能 ★请尝试根据你了解的VLAN基础只是,分析数据帧的转发流程(可能比较复杂) ★这种情况下,我们一般建议将vlan MAC地址的shared-learning功能打开
实现方式3:使用端口保护功能即可 实现思路: BDCOM交换机上面有一种端口保护功能,可以用来实现PVLAN应用;其实现的原理为“只有同时被保护的两个端口之间不能通讯”“不被保护的端口之间,以及保护和未被保护的端口之间,可以通讯” 参考配置:
interface FastEthernet0/1 //普通用户端口
switchport protected
!
interface FastEthernet0/2
switchport protected
!
interface FastEthernet0/3
switchport protected
!
interface FastEthernet0/4
......
!
interface FastEthernet0/24 //UPlink上行端口
!
注意点: ★这种情况下完全没有802.1Qtag的出现,也就是说与802.1Q协议无关;通过交换机芯片实现 ★配置简单,使用方便 ★缺点是,该功能在单台交换机上实施;不能通过多台交换机组建大型的交换网络 |
转载于:https://blog.51cto.com/mmfrancis/256114
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。