- 积分
- 631
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
ios
| 厂商: |
思科/微软 |
| 思科: |
other |
| 华为/H3C: |
交换机 |
链接:https://pan.xunlei.com/s/VNJtFqjBu-gN8YRlq7NsXuyxA1; A1 n, [" i# t& P9 P# ` G% j! H5 x
提取码:bb7t
/ O# O% y1 @) P f& F8 |1 M8 L! ~* Y9 I1 v* `! E
当时记录的:% J/ \* g1 N0 E3 c
●同一台交换机上划分有两个Vlan,要求10.10.2.X网络(Vlan 20)里的主机不能访问服务器10.10.1.100;主机10.10.1.4和10.10.1.8(Vlan 10)虽然和服务器在同地址段内,但也不能访问服务器。该实验曾在2016年4510R交换机上做过实机测试,但当时的模拟器不支持配置相关命令,2019年8月发现有版本支持VlanMap命令,测试可成功。7 n; x8 o5 N' f0 p: v! V8 U
conf t
% C6 j1 D5 o% U2 m1 R3 Glogging console alerts
# v) x% B4 Z- u5 W5 S' Lno enable secret
9 P# G: O% V4 h! N* Pip routing
$ C2 o6 v3 }- b& M: Z: [- k$ mline con 0) {1 D7 c" b: X4 h" j
no password' W0 Q3 X- q7 W
logging sync
& j+ |7 Y$ s) E4 Q. yexec-time 0 0 Q* Y: H. V7 E( X) |9 K8 U+ d, c& J
exit
* L* W, `4 t1 R; Fno service tcp-small-servers
3 e. @0 j, C0 S( o1 ]& C. Dno service udp-small-servers
* Q8 W4 |, s P& ^: j- z c; A. mno ip finger1 }( @+ x7 `7 P/ c
no service finger
j: ? M! I3 W) n2 \1 T; i/ H4 Rno ip http server
+ L' C: E/ H5 A3 q/ n6 Sno ip source-route K7 e) n( Q Y: f& r* v
no ip classless
. x" N, z. ~+ O7 a$ r- k& |" Ano ip domain-lookup
/ H0 f# L2 c' y0 s5 Vno ip bootp server
$ p( K, k( t, a0 I9 sno boot network
9 R2 W2 U! ?2 z* t& G" g/ y& Ino service config
9 _8 d: ?) f+ r6 J1 ]& Wno snmp-server community public RO4 R6 I9 C' j# Z0 @7 N1 w
no snmp-server community admin RW3 D6 r) m7 m$ @0 ~
no snmp-server enable traps
# Z2 d& f; m+ W7 g" ~no snmp-server system-shutdown
9 l4 b' w# x" B/ ?: Ano snmp-server trap-source. t. B! E0 _: I$ P
no snmp-server3 O: K+ Z; s2 U4 _
username admin privilege 15 password qweasd
! Y# _6 e' z5 a4 ?line vty 0 4+ m) t- E! h: |) Y5 E6 }2 ]# L! N0 ?* }
no password: ?3 K9 u1 F. ^
login local
2 } U& g% f3 U y+ nexec-time 0 0% }2 x- B2 B: T7 o2 y' Q
exit
6 _( `; o+ r. c$ D9 r5 ^5 Ovlan 10
* W7 a5 o8 z$ s+ _% Iexit9 D* R: Z: j0 L! `! D/ G! @$ X/ p5 Z
vlan 20
- c9 b3 f: `4 Oexit( t0 W; n2 k; x$ x$ c9 a
int Vlan 10) g( n0 V7 F- M8 ^) V$ _( a, [- U
ip add 10.10.1.254 255.255.255.0
+ N8 p, s3 D: R9 d# P F8 eno shut
7 O# d- T4 q6 U4 c' hexit
) i' T8 x! r8 v+ a+ o2 t( Gint Vlan 20
6 r9 c% Q! W& [. H/ fip add 10.10.2.254 255.255.255.0
1 Z* Y7 S+ _) C; O$ Ino shut
( f" K- u( r7 T/ {. v) i$ dexit8 `% i+ T0 y( q+ r
int e0/0) E8 A4 \) g' [6 t
des =10.10.2.8 Vlan20=% q% N& T& M" L: l6 m
sw mode acc
$ ~# V! \$ Z: C2 \3 ^sw acc vlan 20* v1 A7 I! S0 h* R/ M$ c. |
duplex full4 P% ^0 Q# t% e/ \0 R1 W
no shut9 d! o% W5 V5 L$ B0 f' n8 D3 e' L6 b
exit; w, h& H4 f7 h* x' H# W: s
int e0/19 \! j9 e. m& g# Y2 c
des =10.10.1.4 vlan10=
3 G6 e* j) C/ y- \sw mode acc
' \& x3 H4 a. s6 @& Jsw acc vlan 10
: b1 r4 F0 K) }# ?. Tno shut& C3 Q5 ?# o# U
exit8 g$ G o1 W& T% H0 m
int e0/2% [- y$ K: F* Y
des =10.10.1.8 Vlan10=
2 n. |- g1 I/ j4 w; z: Hsw mode acc
3 \* | w0 E( A, R) e) ^- @sw acc vlan 10
2 ^ H3 p) E0 G) F/ m# wduplex full
, j# I: g8 r5 h, D" eno shut. k& Z& [( q, n! F9 x, I0 n0 i
exit
5 [5 z0 ?1 D& {* o; Z. Oint e0/3" E$ F: j8 c) `
des =10.10.1.100 Server=
6 F6 Q5 \" l; {6 F, W' Ksw mode acc
" |" M" w" A4 asw acc vlan 10
2 U, G# N* o; D: aduplex full
/ f7 C8 z* r7 A0 q$ lno shut2 @! s6 m r+ O- F. q% c. w( A' T
exit* r) u3 z9 T( p" h
ip access-list extended test
# f }4 ~; |7 q: u- I( S! J/ Rpermit ip host 10.10.1.4 host 10.10.1.100) }0 N! C0 h1 C
permit ip host 10.10.1.8 host 10.10.1.100
; k, u g9 Y% V% ^0 S/ ?permit ip 10.10.2.0 0.0.0.255 host 10.10.1.100) ^4 o1 D ]5 V& w' o; R+ D
exit
3 W" }2 {8 I8 a* U. W4 }vlan access-map AABB 10% T! N& b, o t) \& B
match ip address test
( {/ l' P7 Q9 g6 i# a. eaction drop
, a6 v( D$ i( p+ j @5 q* eexit
/ r- y3 |( Y) Z Dvlan access-map AABB 20' d# F! B4 ]6 U5 F1 L
action forward
* r+ l# I# F8 y0 P' u( Iexit6 g& P9 i- [9 Q' {) \% ]+ p
vlan filter AABB vlan-list 10
8 F% J9 g) w1 L9 O. [' T& \" }vlan filter AABB vlan-list 20
, w" l7 e/ Z3 J5 J- F- {7 o' X ~$ K- L8 C
●取消时复制粘贴:
. x# ]8 |& E$ \4 g0 Wno vlan filter AABB vlan-list 10
& m1 l6 N8 @2 a) c' D6 F3 D! ^no vlan filter AABB vlan-list 20
+ {6 p4 E. y0 kno vlan access-map AABB 10% [& t2 A% f* C1 h
no vlan access-map AABB 20: S7 K6 P7 s3 b+ C
no ip access-list extended test
6 P9 D" ? @7 d8 y====================; P) V+ v6 B% \' f6 k8 w
●PVlan
: V' O+ _) q$ z' D 主要作用就是实现同一Vlan下的相互隔离,在传统的Vlan的环境下,同一Vlan下的主机是可以相互通信的,为了保证通信的相对安全性,要求同一Vlan下的主机隔离,这样就可以采用PVlan技术。在用户的角度看存在第二层Vlan201和Vlan202但在运营商的角度它们都在第一层Vlan100中。主Vlan和其所关联的隔离Vlan、团体Vlan都可以通信。隔离Vlan和团体Vlan都属于次级Vlan,他们之间的区别是同属于一个隔离Vlan的主机不能通信,同属于一个团体Vlan的主机可以通信,但它们都可以和所关联的主Vlan进行通信。
- y5 h% l% O" l3 @& L+ b( _ 在私有Vlan的概念中,交换机端口有三种类型:隔离端口、团体端口、混杂端口;它们分别对应不同的Vlan类型:隔离端口属于隔离PVlan,团体端口属于团体PVlan,而代表一个私有Vlan整体的是主Vlan,前面两类Vlan需要和它绑定在一起,同时它还包括混杂端口。+ w7 x- L+ F! E6 B7 {3 a
: W( E% [' r; r
●PVlan实验
6 b9 R; v6 t# J4 k# Y' r# }所有主机都可以访问R2服务器% W* p! T0 {: Y$ _5 X
R3和R4彼此不能访问. Q/ N! z/ y, s+ d |
R5和R6彼此可以访问$ T( _! n' R4 C0 k
conf t/ p. r$ [1 l. [, Q7 v; @& [" Y0 p
logging console alerts
% E X- A9 D. M, H) a G: Gno enable secret5 }: O, {6 y% Z
line con 09 N% I$ s/ W, s1 e$ s) C
no password
% R6 n5 `$ `; j9 Hlogging sync, g! ~+ H7 z7 ?3 \* q1 |) t" `
exec-time 0 0
: s) |5 Y' H, mexit" S* ~/ [2 A5 V( v. F7 B) ?
hostname SW-1
4 U: v6 d7 x9 e( a' p, c- `vtp mode transparent
/ H* N& N( i/ C. lVlan 10
0 K2 A, N" y4 k6 ^name GeLi-Vlan
7 @2 J( g: t4 \" b1 d% ]6 ]private-Vlan isolated
# u4 B6 }& i; `5 o& k9 U9 M6 Nexit$ _& k. `1 p/ |4 i" V
Vlan 20
8 R* `- U# e l p4 p( R/ S8 M: Hprivate-Vlan community4 C8 [3 P2 s( j5 ^( x
name TuanTi-Vlan! [/ X6 F% _0 _! n( E. E C t" a1 _
exit& L4 C {' m9 S- H
Vlan 800
+ v# H8 T& Y3 Q- L5 w6 F4 o; lname Zhu-Vlan
- L6 a1 q9 m' x: w [' e& ^2 Mprivate-Vlan primary7 r% x- @- `# y+ l7 X
private-Vlan association 10,20
/ m3 _0 U$ V; m+ v( r7 f) e% Xexit
$ E$ h! }8 }- g7 mint Vlan800
* Y& B& C0 F- ~ r1 e: g( U: Hprivate-Vlan mapping 10,20
9 A$ |' a5 Z5 x2 ?no shut1 C Q8 |7 J* Y& t0 T1 l8 b8 D
ip add 1.1.10.254 255.255.255.0
/ F4 y2 s* d8 p: R, t# F7 Iexit5 j6 m2 z, `9 c6 l
int e0/03 P. i& {( q" S$ }8 k4 S
des =R3-GeLi-1.1.10.3=2 m$ J3 w2 Y" A6 S+ T( J1 A
duplex full+ @) z& n+ b g( d) D3 D7 y w+ S/ K
sw private-Vlan host-association 800 100 u: V/ H, t# s1 a4 S+ l6 K& p4 a
sw mode private-Vlan host 4 @/ ^7 J$ Q3 Q1 m( m9 k& F+ O& K
no shut; j7 f3 A# N! n& ~- d
exit* U" L+ q6 }5 E$ H2 e
int e0/1
! B: g# @2 ~+ v0 G& O% Mdes =R4-GeLi-1.1.10.4=" R7 S8 t/ ?3 x
duplex full
) `1 F/ x8 f9 J& dsw private-Vlan host-association 800 10
4 w3 W9 V! B$ c# e( Rsw mode private-Vlan host5 Y/ ~: d6 e4 G' Y+ `+ G! ^
no shut
B6 j: Y" k' yexit1 e7 [3 }, [/ } L
int e0/2' | T2 @ L& s- @$ Y8 C
des =R5-TuanTi-1.1.10.5=
/ n ?+ v5 Z3 l( I0 s# |duplex full8 J$ a9 a9 T- Z$ X5 a
sw private-Vlan host-association 800 20
3 B3 t8 v( y9 Q1 ysw mode private-Vlan host7 G% |" L* W2 `0 Z* J
no shut
6 W$ b8 j% R' qexit
; l1 a9 U; ~- `* |/ nint e0/3
& q# w i, M& Z5 w5 m/ v) q0 Ides =R6-TuanTi-1.1.10.6=' Z m' y2 I- D' c/ p
duplex full
$ m {% n k1 Z! Z5 }9 xsw private-Vlan host-association 800 20 B0 y q* U, }% Z% W
sw mode private-Vlan host
$ c5 d/ A! v- }7 I, N7 y7 Ano shut
# O0 i& P' v* {! [9 ^, g yexit6 a4 d# \9 @; K; ]& f: P
int e1/05 h* l6 U" o3 N, r
duplex full$ _( ^- {" n j: O, M& C# G
des =R2-FuWuQi-1.1.10.2=
; b' y) I6 e4 N2 U; g. L$ psw private-Vlan mapping 800 10,20$ O$ m. J: I5 z! K; S1 N; X
sw mode private-Vlan promiscuous$ ~8 p: ?" u8 U8 v1 b) S7 w4 N
no shut
: b$ z0 i- D/ s# F. [; V* d0 Aexit7 N% C$ B6 c+ h+ f8 f1 L3 `
; y( E9 Z) s' ^●测试结果
4 _0 ^( w; ]7 J 隔离Vlan 10之间不能够通信,但可以跟Server端口通信;团体Vlan 20不能跟隔离Vlan通信,可以跟自己Vlan内的用户通信,同时也可以跟Server端口通。
7 L4 M$ x, e2 V& D9 ]) |: Z" R
6 R" Z/ o! X1 Y5 A1 z- k* t8 {( }: t% Z' v$ b
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-12-22 18:00:23
置顶卡
喧嚣卡
变色卡
千斤顶