web-iou 实验 Private Vlans 命令都有，但是实验没效果

cuizhiliang

技术开发的缘由:

VLAN的安全 -->Pvlan

使得Vlan的可扩展性更强

(1)VLAN的限制：交换机固有的VLAN数目的限制；

(2)复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；

(3)IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；

(4)路由的限制：每个子网都需要相应的默认网关的配置

实验解释原理：

r1e0/0 -sw1e0/1

r2e0/0 -sw1e0/2

r3e0/0 -sw1e0/3

r4e0/0 -sw1e1/0

r5e0/0 -sw1e1/1

需求：

r1 为网关路由器

需求:

100.1.1.0/24 网段

R1可以和r2/r3/r4/r5互访   r2 r3 r4 r5 模拟PC

r2和r3可以互访

r4和r5不能互访

分析：

在这种需求的情况下，要如果要用正常的Vlan设计的话，r2 r3 在一个vlan中， r4 在一个vlan中，r5在一个vlan中，r1在的vlan通过vlan间路由实现和下面的vlan互通，可能还要用到ACL来控制别的vlan通信的限制。所以很麻烦，可控制性不强。

下面介绍一种技术PVlan原理：

pvlan的设计中有两种vlan

1 主vlan (primary vlan)

2 辅助vlan (secondary vlan) ，辅助vlan又分为团体vlan(community vlan)和孤立vlan(isolated vlan)

pvlan中的接口设计，要把交换机的端口划分进不同的vlan所以，就有了端口类型

1 混杂端口（promiscuous port） 隶属于主vlan

2 主机端口（host port）隶属于孤立vlan 所以主机端口分为isolated 端口，community 端口

通信范围：
1 主vlan可以和他所关联的isolated vlan , community vlan 通信

2 辅助vlan中的community vlan 可以和相同的community vlan 内的community port通信，也可以和主vlan 通信

3 isoslated vlan 不可以和处于相同isolated vlan 中的其他isolated port 通信，只可以和主vlan的混杂端口通信

实验步骤：

步骤：

1 VTP 模式一定要是transparent    //不是透明模式的话，不支持pvlan,命令打上去会提示不行

2 最低型号3560支持

3 vlan 20

   private-vlan primary  //  定义主vlan

vlan 100                  //创建辅助vlan

   private-vlan isolated  //定义secondary vlan 为隔离vlan,一个pvlan内孤立vlan只鞥创建一个

vlan 200

   private-vlan community        //创建辅助vlan为团体vlan

4  关联vlan 将主vlan 和secondary 关联起来

   主vlan下面

   Vlan 20

Private-vlan association add 100 ,200   //关联辅助vlan到主vlan

5 将端口类型划进相应的vlan内别

Interface fa0/1

Switchport mode private-vlan {promiscuous | host}  // 创建杂合端口，并且映射Pvlan到杂合端口

Switchport private-vlan mapping 20 501,502   // 关联20 为主vlan,能够访问的501 502

Interface range  e0/2 ,e0/3                       //将终端端口划入PVlan的辅助vlan中

Switchport private-vlan host

Switchport private-vlan host-association 20 100

Interface range e/4 -5

Switchport private-vlan host

Switchport private-vlan host-association 20 200

实验结果：

没有做Pvlan之前，都能互相通信：

r1(config-if)#end
r1#ping 100.1.1.
*Sep  4 01:45:16.015: %SYS-5-CONFIG_I: Configured from console by console
r1#ping 100.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
r1#ping 100.1.1.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.5, timeout is 2 seconds:
.!!!!

2根据步骤实现pvlan 的设计

show vlan private-vlan

Show interface  e0/0  switchport

查看端口模式的一些改变

实验结果：由于web-iou 的一些bug所以实验效果没有！！！但不影响实验原理的解释。

该贴已经同步到 cuizhiliang的微博