- 积分
- 611
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2020-3-23
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
ios
| 厂商: |
思科/微软 |
| 思科: |
other |
| 华为/H3C: |
交换机 |
链接:https://pan.xunlei.com/s/VNJtFqjBu-gN8YRlq7NsXuyxA1
H4 R! K. G# ^提取码:bb7t4 B. d2 J" v0 a8 \4 D9 \; K1 y
! o* ^! U5 f9 n3 o, [3 {当时记录的:7 W% l7 Q& a, L
●同一台交换机上划分有两个Vlan,要求10.10.2.X网络(Vlan 20)里的主机不能访问服务器10.10.1.100;主机10.10.1.4和10.10.1.8(Vlan 10)虽然和服务器在同地址段内,但也不能访问服务器。该实验曾在2016年4510R交换机上做过实机测试,但当时的模拟器不支持配置相关命令,2019年8月发现有版本支持VlanMap命令,测试可成功。
5 F) ]7 V5 N: |conf t- w* l1 S: x/ ~6 a4 {
logging console alerts
' E& H6 o! m T* Sno enable secret
$ [; A/ o: `7 P! aip routing6 e& L8 Z4 n, c" e" _
line con 01 b% `7 t9 S* ]0 R' `0 g
no password
8 V, B2 H1 `6 t+ A: {: flogging sync, _ u+ |# S( P
exec-time 0 0; Y' _! v! g& `6 [0 [
exit
9 p' U- p9 q$ r1 j. U$ g/ ]no service tcp-small-servers' t: G5 l: N0 ^6 ~8 L, d* F, r
no service udp-small-servers+ X: i1 h. N/ _2 o. u
no ip finger
: `. m/ D# L" | {& a4 ], [6 J" Eno service finger
% O J/ ?/ i" C; ?4 D2 `4 O% ]4 gno ip http server, }6 d( W; t, w3 L4 c
no ip source-route
& }. V: L# b0 P- t( ?2 Pno ip classless5 [) o! M8 v4 _6 _0 _" A* |: m. N
no ip domain-lookup
6 l0 U. Z: T+ sno ip bootp server9 q |& R8 T4 l- W
no boot network, g7 x) W4 X; |
no service config
& r1 o* V: x% I$ Y2 F" qno snmp-server community public RO
( l( t: {1 N* b) \% \no snmp-server community admin RW, f& z q0 @- l) J6 k1 X" Z) h5 N! |
no snmp-server enable traps% Z* j* o4 `9 E/ S0 L3 @
no snmp-server system-shutdown, f, G1 b) v5 ] g5 j
no snmp-server trap-source s3 }7 a# N {2 D* K( C" G
no snmp-server3 v! \/ u! p+ Z6 u3 O" o- B
username admin privilege 15 password qweasd
+ V; q! z' g. j' d% xline vty 0 4
# s( Z/ U$ c2 ]$ H2 }no password8 _6 U& W4 w+ P
login local! q4 b( r) ~( V! a! s& L
exec-time 0 0
4 v7 m3 O. v! Z( \7 F' `% O- `! [exit
1 I. x! {9 ~8 }4 g4 p+ N& d7 nvlan 10
3 U/ F1 H; I5 A; h' z% u# k1 oexit
9 x. F! W2 a0 Z2 J# Tvlan 20- u: o, R" A2 {6 x6 y* u
exit
' F' U+ R1 ^+ l$ o5 y3 ]/ Y/ a: Xint Vlan 10* D8 A: j* v2 }
ip add 10.10.1.254 255.255.255.0
# G+ ?9 l/ U* d, h6 a3 D5 }no shut
) H% o8 ]$ g! N+ y% J2 [0 vexit7 E3 k3 v p3 M9 N& f
int Vlan 20# E* l% ?( Z5 Z% o9 k t4 A
ip add 10.10.2.254 255.255.255.00 A; x/ X1 X& O0 }: a. U. {1 u
no shut N8 b d6 S+ d/ R- L0 b8 _" r6 C
exit( j c3 v7 x5 p' m. ?6 A3 l9 K6 c
int e0/08 U! V, A; h" u1 W7 G; k" p
des =10.10.2.8 Vlan20=3 F# d3 Z! k" I# E! N' ]
sw mode acc
2 L4 j7 `3 l' a; C3 P# J" Esw acc vlan 20- S# O9 W3 |9 l B; V
duplex full3 r8 W# k8 P( w# R
no shut( k7 }5 ?: V( N2 I J
exit8 J' S) z' C8 F( u
int e0/1
+ ]! |4 [! {% Y$ b8 Sdes =10.10.1.4 vlan10=' B W, I; Q0 j
sw mode acc
* U- b- ^1 c# D$ ]) {1 W' _! Q K; \1 t" Hsw acc vlan 10
( N$ W3 O* P# d. K8 lno shut3 b0 E' Z5 G" R3 B
exit% w$ k5 l# A& R0 O2 Z
int e0/24 d! c+ ^; ]0 Q# a" v2 s, x
des =10.10.1.8 Vlan10=, Q/ y/ D7 i) [7 M+ A
sw mode acc/ ~# y. c3 W$ M8 N+ m. [# g
sw acc vlan 10- Z9 U* G- l0 T2 N* C; O4 `; N
duplex full
2 f; ~$ f0 q6 u6 q8 b5 Dno shut- @9 Y. |9 ?; D. c
exit6 d& h6 d8 t6 ]$ w9 K# C5 v
int e0/38 M# N7 f c1 a
des =10.10.1.100 Server=4 @4 P& y" @" R9 h+ Q
sw mode acc5 i# }$ `3 D' L4 b
sw acc vlan 10' a9 N8 m u m: A' \. N; g
duplex full4 q( D+ s6 E3 ?9 P" l, i: a
no shut$ i7 _) ^* E. ~% w& [
exit! o( v1 P" C. L" c% W: @
ip access-list extended test% Y! S7 H- m: J, A5 T, q
permit ip host 10.10.1.4 host 10.10.1.100
. ^" W6 F. D; c& f4 B* opermit ip host 10.10.1.8 host 10.10.1.100
: N4 v* t$ N# V9 z) | F) H9 _ ~permit ip 10.10.2.0 0.0.0.255 host 10.10.1.100! k c; S1 I8 h% u1 w2 p
exit0 A% [8 |$ g$ b! x. {
vlan access-map AABB 10
/ Z) F4 d: ~% P) S0 @match ip address test
, z- D9 h, W* \2 S0 O9 iaction drop; o3 s' s3 v" L- W9 w
exit4 i+ p. y! r; c" B( ~% y( ~
vlan access-map AABB 20' Q2 l3 c+ y4 R0 J( f' I" N
action forward
% W% e4 G6 a: K5 u& Q5 B$ F3 U/ wexit# T5 l4 t0 N3 s! A! h+ G# s
vlan filter AABB vlan-list 10! ?1 D. t1 L* h, ]! B3 O' I
vlan filter AABB vlan-list 20+ z! w, L" H4 U( }5 C/ F3 u
& n/ [9 W& c3 S" n* N# o' C●取消时复制粘贴:! g2 S- [6 q2 l# H! C
no vlan filter AABB vlan-list 10. p+ ~% E+ d% i. g' @, k
no vlan filter AABB vlan-list 20
+ m- p' v( J9 mno vlan access-map AABB 10+ z( W, P; p& l: p! A
no vlan access-map AABB 20
. A8 Q. I5 I8 S5 m9 Q1 ono ip access-list extended test
, ~& y6 \1 A& {/ r! S0 _8 E2 c====================
# V& s3 U4 Y, g/ j) m# w i●PVlan3 Y! y5 F8 ~4 \- f" x% I0 O
主要作用就是实现同一Vlan下的相互隔离,在传统的Vlan的环境下,同一Vlan下的主机是可以相互通信的,为了保证通信的相对安全性,要求同一Vlan下的主机隔离,这样就可以采用PVlan技术。在用户的角度看存在第二层Vlan201和Vlan202但在运营商的角度它们都在第一层Vlan100中。主Vlan和其所关联的隔离Vlan、团体Vlan都可以通信。隔离Vlan和团体Vlan都属于次级Vlan,他们之间的区别是同属于一个隔离Vlan的主机不能通信,同属于一个团体Vlan的主机可以通信,但它们都可以和所关联的主Vlan进行通信。
$ M' i+ M/ Y3 j6 l6 a. k* k% D' A 在私有Vlan的概念中,交换机端口有三种类型:隔离端口、团体端口、混杂端口;它们分别对应不同的Vlan类型:隔离端口属于隔离PVlan,团体端口属于团体PVlan,而代表一个私有Vlan整体的是主Vlan,前面两类Vlan需要和它绑定在一起,同时它还包括混杂端口。
" z, o* _5 U( X4 E. U- N( K* c) K
9 F `5 Y0 K* H" z, _' j: ^●PVlan实验# U$ _! }* n) R& k
所有主机都可以访问R2服务器
$ C! ~; q3 U9 e" JR3和R4彼此不能访问
; h6 T/ \7 {% Y7 K9 S, b# e. Y; IR5和R6彼此可以访问* ~+ `9 j9 X1 ]# ]& T% Y
conf t7 W: T5 |9 ^5 `3 V" }6 E" L( `: K3 W
logging console alerts
' F, K. e5 M: U. pno enable secret6 }! U/ A; g9 o( Y# q' Z
line con 0) Q. z0 s; H; K4 R3 R+ Y
no password" J8 j- q5 F& @4 y- c7 S8 y y
logging sync
* I% d( `/ }! Y/ X, k2 P2 a- ]- Oexec-time 0 0
8 z# O% p. B4 Y2 ^exit) Q+ t) b* \& e6 M6 R
hostname SW-17 U" b# L6 ^+ t# S
vtp mode transparent
_, m( x6 b; ?/ a6 ` V6 mVlan 10. {" z& q0 |9 t* K+ A$ z
name GeLi-Vlan: c7 c. [% S, |2 F* [ d/ G' ~$ A
private-Vlan isolated
+ Z0 b( z! n5 }; `" U3 nexit( e/ m* x1 O a
Vlan 20
: o: b) A A/ b dprivate-Vlan community
7 }% {& v% b0 l+ W( I. mname TuanTi-Vlan
5 s. D( ]9 s6 T' k6 Rexit5 W9 k U5 X+ R+ i" b: e1 s7 c
Vlan 8005 d5 ~& y1 I3 `3 c3 S) g# f+ v+ B
name Zhu-Vlan7 D1 Q& C1 ~& \
private-Vlan primary
3 [$ n4 _* H. H7 f) {private-Vlan association 10,20' Y1 r2 x; `2 F6 |' g
exit# [% g. L$ [/ q) S4 Y6 P
int Vlan800' D- O6 A2 T4 d( R2 p% y
private-Vlan mapping 10,208 U% ~1 @: y/ g* x" G' D7 |
no shut
( n$ @8 G, H# t0 z; z" ^ip add 1.1.10.254 255.255.255.0
r. G6 e2 B2 ], E0 w! _exit$ I K1 r% Y4 U3 Y1 f3 H9 y
int e0/02 ]# S1 q7 P$ ]: X. ]
des =R3-GeLi-1.1.10.3=* B7 E* a" ~1 r1 E0 u1 |2 t
duplex full
/ ]. ~5 e& G; \+ N+ psw private-Vlan host-association 800 108 E0 `( }- v, Y5 T+ ^* l7 m& N
sw mode private-Vlan host 9 a. t+ u/ Z n" Y' I% D0 q5 O. S3 B
no shut$ H- v6 j2 E v0 d0 r; X
exit
7 L; F9 z! e3 J2 xint e0/1
% f/ S9 v& ]9 q' @" o+ ~des =R4-GeLi-1.1.10.4=
( P0 w. c5 s6 i4 ~5 h; N% Qduplex full
3 f. W, T+ _( c- _& Q" G6 ^. Msw private-Vlan host-association 800 10. {; L3 p9 P# a, N" F) ^& o
sw mode private-Vlan host
4 B( D& l) Q' Y5 [: Pno shut2 s& z7 Q, n' P! F
exit1 D2 u: S' @; J' R$ E4 k! J
int e0/2: K( X' y. q& e) v2 G& b) D4 Z# x
des =R5-TuanTi-1.1.10.5= n: d$ Z$ W/ l2 `
duplex full
7 x+ X# l# q" {) P) o. ?sw private-Vlan host-association 800 20
`4 h/ T' t& _9 ssw mode private-Vlan host7 p9 W2 O6 o3 V! R1 E
no shut* C! w7 I7 ?) c* {( z6 z
exit
! @' z# i5 C, z! `int e0/3
# Y4 O: s+ p' F6 i* h/ ~# Ades =R6-TuanTi-1.1.10.6=4 A9 H/ ]" F! t7 p
duplex full
/ U6 ^" ~8 S5 V& [6 {5 ]sw private-Vlan host-association 800 20) l3 d8 T# c6 H+ ] F" j
sw mode private-Vlan host
: r$ O5 `6 S$ g, R+ Fno shut
6 H. M5 c2 _& ~6 P# ?+ zexit8 I/ J, q7 v) c) y4 S
int e1/04 I( U1 h5 ~% R
duplex full" U4 x O. u2 T8 E) q, @) _
des =R2-FuWuQi-1.1.10.2=& M, \5 x# B! m5 w4 k. ] I
sw private-Vlan mapping 800 10,20* m5 ^' C3 C) ~6 s* L$ \
sw mode private-Vlan promiscuous
4 k" e. S+ x2 {4 |. b' `3 Vno shut4 T3 ^# v0 S& w
exit
4 L$ R; i7 u1 K: W7 V4 X/ D* ?
●测试结果
! R! C7 @! A7 { 隔离Vlan 10之间不能够通信,但可以跟Server端口通信;团体Vlan 20不能跟隔离Vlan通信,可以跟自己Vlan内的用户通信,同时也可以跟Server端口通。
8 v: {$ `* k& {
$ R/ Q/ F g; u3 i/ S+ c0 w+ W
! n7 F# V# T" ~7 B |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-12-22 18:00:23
置顶卡
喧嚣卡
变色卡
千斤顶