Isolate-user-vlan hybrid

一.实验目的

 了解isolate-user-vlan 的配置,并了解isolate-user-vlan 是怎样实现的

 

二.实验拓扑

user-vlan_vlan

一.实验步骤

1.PC机配置IP
2.创建vlan,并设置isolate-user-vlan secondary vlan

3.查看接口信息,了解isolate-user-vlan的原理

 

四,实验步骤

PC

user-vlan_vlan_02

SW1

<SW1>system-view 

[SW1]sysname ZJSW1 

[ZJSW1]vlan 10               

[ZJSW1-vlan10]port Ethernet 0/4/0

[ZJSW1-vlan10]isolate-user-vlan enable 

[ZJSW1-vlan10]quit

[ZJSW1]vlan 20

[ZJSW1-vlan20]port Ethernet 0/4/1

[ZJSW1-vlan20]quit

[ZJSW1]vlan 30                 

[ZJSW1-vlan30]port Ethernet 0/4/2

[ZJSW1-vlan30]quit

[ZJSW1]isolate-user-vlan 10 secondary 20 30

 

现在我们来测试连通性

首先,测试secondary vlan isolate-user-vlan的连通性

user-vlan_vlan_03

user-vlan_vlan_04

是通的,现在再测试secondary vlan之间的连通性

user-vlan_vlan_05

不通,我们的目的达到了,下层设备之间不能互访,但是都可以被上层设备识别,现在,我们来查看交换机端口属性,看看isolate-user-vlan是怎样实现的

user-vlan_vlan_06

user-vlan_vlan_07

user-vlan_vlan_08

我们可以看见,被设置为isolate-user-vlan的端口被修改为hybrid端口,PVID10,并允许102030的数据不带标签,而被设置为secondary-vlan下的端口也是被设置为hybrid端口,E0/4/1PVID20,允许1020的数据不带标签,E0/4/2PVID30,允许1030的数据不带标签,所有,PC2PC3能与PC1通信,而PC2PC3之间不能互访,下层的secondary-vlan发送的数据,在isolate-user-vlan的端口发出时是会被剥掉标签的,所以上层设备接收到数据时是不带标签的,所以,上层设备也就不会知道下层设备里面都有哪些VLAN,只需要知道isolate-user-vlan就可以了,而上层设备要和下层设备通信的话,在isolate-user-vlan的端口上是会被打上标签的,而secondary vlan下的端口都是允许isolate-user-vlan不带标签的,所以,下层设备可以收到,这样,就能做到上层设备不知道下层设备具体有哪些VLAN,也可以和下层设备通信,而下层设备的vlan是不可以互访的。