- 积分
- 631
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
ios
| 厂商: |
思科/微软 |
| 思科: |
other |
| 华为/H3C: |
交换机 |
链接:https://pan.xunlei.com/s/VNJtFqjBu-gN8YRlq7NsXuyxA1* V, T7 s; n. I4 d. H" G' n
提取码:bb7t& M( k: }- y( q: @% G# t; a6 |
* X2 p# j' o4 x! ^ Y% U当时记录的:/ e: J8 T( w0 }0 i4 e* [8 }
●同一台交换机上划分有两个Vlan,要求10.10.2.X网络(Vlan 20)里的主机不能访问服务器10.10.1.100;主机10.10.1.4和10.10.1.8(Vlan 10)虽然和服务器在同地址段内,但也不能访问服务器。该实验曾在2016年4510R交换机上做过实机测试,但当时的模拟器不支持配置相关命令,2019年8月发现有版本支持VlanMap命令,测试可成功。
2 S$ n( a6 _. uconf t9 l6 M4 O6 [* y- X
logging console alerts
( c, h T, K* I" Gno enable secret' F# s" H( }) @9 l# ?; { o$ C
ip routing5 c6 j9 Z6 ~3 y8 t* a, g
line con 0
7 `, _- L0 c: u' eno password
2 J# O' K, H2 ^4 [( P/ Vlogging sync
/ O6 t* k9 s$ Jexec-time 0 0
8 m F- h6 o2 V( l. {/ q5 Rexit+ b0 t6 g* a' K; O% {) h
no service tcp-small-servers
8 k, a5 C" `2 S" J$ K! e7 R4 Qno service udp-small-servers
1 q' G0 ^2 k! u# F6 f# Z) Sno ip finger
0 ?& s# y! j. x! ^( Z( @no service finger5 Y3 K2 M$ o. D
no ip http server
}8 s9 o0 N1 K5 R& O7 [no ip source-route
, {' V5 V8 Z8 \& r2 F$ [1 Jno ip classless/ ~6 p6 o( g) V+ C( ?& k; K" V. a
no ip domain-lookup
1 s/ {3 `3 I. a0 j" X. x* K) Pno ip bootp server9 p; d3 s2 w) O5 ~0 f Y. ?$ \. @# F
no boot network
& I" V+ V _- c2 C- Z9 G0 } c5 ]no service config) s! Z6 y# G0 }: ]( F
no snmp-server community public RO7 A& z2 J: G6 L6 J5 d3 S
no snmp-server community admin RW! b0 c/ W" F& d% o
no snmp-server enable traps9 c$ k* p6 O7 N. o& T& [
no snmp-server system-shutdown
' y0 ~- y7 i* V* sno snmp-server trap-source
y8 h7 f r: _' v/ J0 Lno snmp-server
, S' z9 j, @/ k S2 Susername admin privilege 15 password qweasd# Y" [# j( a% {* l& t
line vty 0 40 O. n2 Q3 Y+ {/ t G
no password
' v# `; @- V, j$ m i+ hlogin local8 A2 b; l% e2 }; b: ~7 m
exec-time 0 0) n0 f9 j' W3 E9 a7 K0 C
exit4 A9 I" s5 b7 q: `9 `. l# H* B2 q
vlan 10# Y2 _$ K8 Q- A
exit3 h0 W w7 L- D" N5 ~" R
vlan 203 S5 ] p2 T% w1 @' `9 z4 n1 o
exit
9 U' k3 l2 P7 T3 y% m5 |int Vlan 104 D4 P* r6 \" k% U9 ]6 Q+ x& g
ip add 10.10.1.254 255.255.255.0
# C. j9 S" d2 J) cno shut
# h( ^' b7 c! E: z9 A( J2 P: Fexit
: Z, [: {2 ?2 G' ]) |2 H9 k7 V; Cint Vlan 20
& @7 v% L7 u, k P' B4 t1 |2 kip add 10.10.2.254 255.255.255.0; w$ y: {, d! i6 o$ @
no shut( X S' a Q: T' _( Z
exit
: n1 m. j5 Y# t: c: O: q4 O+ rint e0/0
3 h+ C( q5 p* x$ ?, Zdes =10.10.2.8 Vlan20=
$ C8 s& a, p+ N5 z$ b7 rsw mode acc! N9 O. ~6 j4 P
sw acc vlan 20
+ Q+ P! [9 C% H+ Y# Lduplex full
: W+ a3 }3 Z" Eno shut
9 M! P! }3 e0 O6 r, @: qexit
9 P, \* E$ C: y8 ~- V, Uint e0/1
- o6 O7 Q6 q6 t+ i" O" wdes =10.10.1.4 vlan10=
* B- y/ d+ m/ q) D( R' Bsw mode acc
; R3 o9 t2 |/ C3 g2 y+ y2 O, M: [sw acc vlan 102 c! ^0 B3 i# c( E2 L: _, l
no shut* D1 t1 t/ `0 d* k" f. U
exit; f# |% E9 \. r" W. ^8 m
int e0/2
( f- s7 F5 s0 z; |8 t# r9 Tdes =10.10.1.8 Vlan10=) y( G. I/ _! e
sw mode acc0 z* p! H* t/ y x! @# J) C
sw acc vlan 10
* }- M2 N) X0 w$ k: s8 y" Fduplex full
% c1 P3 a" E7 r4 w0 N& d$ ]' ino shut& w+ P" o$ W: N
exit
" w5 @) i! m( K0 \+ x8 B; Zint e0/3- s" x, F- m* i
des =10.10.1.100 Server=
8 n: w, f0 y0 l& i, _0 I/ psw mode acc
& L& F6 J; i" r: k: L0 Ysw acc vlan 10" p0 H" U; J" P& r
duplex full+ f1 F( R4 F/ W1 X) N
no shut
5 ?8 B( A1 N0 Z- S0 K& _exit
& V6 l! @+ P* O- W0 k6 }0 x$ yip access-list extended test
* a# N4 a/ v. i9 P; v0 Upermit ip host 10.10.1.4 host 10.10.1.100( @/ b/ v& ] `2 C
permit ip host 10.10.1.8 host 10.10.1.100
0 M$ W! u# S9 N* ]' d) hpermit ip 10.10.2.0 0.0.0.255 host 10.10.1.100) Z* B: _) u# H1 V3 C! m. N' Y
exit, R0 a; K- F+ X7 y% Z+ l
vlan access-map AABB 10
. H: s0 e6 `" umatch ip address test+ t# a* ~ P# x# g# G- }. p7 _9 \) ]
action drop
+ Z$ O+ w1 t' X' ~- Aexit
% L8 d, s$ l5 g+ \vlan access-map AABB 20( b7 _6 j. Q. k0 ?
action forward
2 J! y" r5 M& [- Z6 J- _/ J9 eexit" D* E' `+ c5 U% Z/ x; ^
vlan filter AABB vlan-list 10- c/ E% S! ?2 n6 d9 g4 {
vlan filter AABB vlan-list 206 i) w* |5 ~: t! Z7 O# x( G
8 _0 L- C- A8 ]5 s! z, g●取消时复制粘贴:6 z+ W, T3 J; w, G
no vlan filter AABB vlan-list 10
% L$ q+ \6 }, C9 E/ x' lno vlan filter AABB vlan-list 20
! y |$ h9 f3 _. W8 G: {7 |no vlan access-map AABB 10
( M) L; X) `7 y) C& H# I+ K& T0 uno vlan access-map AABB 20
G/ P4 y: X. X1 J A4 \+ I. Rno ip access-list extended test
% j E+ j. D' P. @2 N+ Q* r- ~4 j====================5 U8 o* \1 y# d1 v0 Z% d( f
●PVlan
! U; ^: B e( p- v) I0 I 主要作用就是实现同一Vlan下的相互隔离,在传统的Vlan的环境下,同一Vlan下的主机是可以相互通信的,为了保证通信的相对安全性,要求同一Vlan下的主机隔离,这样就可以采用PVlan技术。在用户的角度看存在第二层Vlan201和Vlan202但在运营商的角度它们都在第一层Vlan100中。主Vlan和其所关联的隔离Vlan、团体Vlan都可以通信。隔离Vlan和团体Vlan都属于次级Vlan,他们之间的区别是同属于一个隔离Vlan的主机不能通信,同属于一个团体Vlan的主机可以通信,但它们都可以和所关联的主Vlan进行通信。
5 N4 L- l% T5 U1 M" V' r! \9 d 在私有Vlan的概念中,交换机端口有三种类型:隔离端口、团体端口、混杂端口;它们分别对应不同的Vlan类型:隔离端口属于隔离PVlan,团体端口属于团体PVlan,而代表一个私有Vlan整体的是主Vlan,前面两类Vlan需要和它绑定在一起,同时它还包括混杂端口。4 L x9 T. D9 W4 G) s a+ G
/ ]4 c1 ~4 ~& J' z3 X& u
●PVlan实验
* l% h$ v3 M% r" N- n5 Y) \所有主机都可以访问R2服务器; s% H6 A; t; p! N/ T
R3和R4彼此不能访问4 D ]; f0 M8 ~. r
R5和R6彼此可以访问4 o/ K1 j+ h) p
conf t
; M9 [! \" r, `: k glogging console alerts4 I* R# J3 A% S8 Z9 _. {
no enable secret
A' g; ^! H$ u4 _' b2 X! iline con 04 U- _9 z4 v+ S# o( B# X& B
no password
; \! v) g" {2 B' F6 Slogging sync2 \. z& h2 C5 L% y
exec-time 0 0/ G3 {, E" _: B6 v' ]6 X* f
exit. I9 g) Z' s9 N" f8 N, S7 E- h
hostname SW-1) J+ J! z! e( {% {- }6 M9 D2 c
vtp mode transparent) T l2 ]" u$ T9 ?+ h% i# e" X* N
Vlan 10, F# @, f: r8 Q% I' u1 ~4 e K
name GeLi-Vlan
. d& z3 o/ ?2 D# b" V+ p4 _/ Tprivate-Vlan isolated5 L2 I: j- E p2 a- I" c0 o* ^( d
exit1 k9 L9 ?# A% Y
Vlan 20" G( U* _- c7 ]3 k2 v4 @0 G
private-Vlan community
9 m7 e ~; @9 K! pname TuanTi-Vlan
& H8 K* g- l. e8 u: O+ C% ^4 Y* Aexit
$ }! W- X& R+ [# E' Q. JVlan 8007 g" j6 h* H0 c( Y4 i
name Zhu-Vlan' V3 H; C" D, E0 n2 }
private-Vlan primary* J0 U2 Z4 e% _: H8 q* \8 ]2 ?$ Q
private-Vlan association 10,20- s1 a& n) U" _/ C! `
exit9 @. \5 S7 g3 h- x
int Vlan800
6 P* x, t) o6 Q6 k9 \( p1 uprivate-Vlan mapping 10,20
: x$ \3 r Z ?. s: H0 vno shut
: j# U' X4 \! b$ N" z( A$ n bip add 1.1.10.254 255.255.255.05 O4 C3 s, n1 I
exit0 k) q; l$ Y* v
int e0/0# S: {( m7 C: {" T7 f. y
des =R3-GeLi-1.1.10.3=) c+ T3 _) g3 c& K
duplex full& k8 `: T# P5 t, S2 O4 F
sw private-Vlan host-association 800 106 m! q, B# G; r9 Y8 Y
sw mode private-Vlan host
7 W* j4 t: @6 _, C bno shut
" w W1 n& z* v3 z# s2 w7 b( Fexit
! N* Y, n3 |1 E$ j! I2 Q% k' Nint e0/1$ y6 A9 J: d# h Z. ~8 r R
des =R4-GeLi-1.1.10.4=/ `" L( K3 _5 l( k* y+ e) Z+ K9 x
duplex full: ^7 p8 C# f+ F$ F- x, l z
sw private-Vlan host-association 800 10' h M+ s! B" h4 o& b0 E1 M
sw mode private-Vlan host
# v+ b7 ^/ k D3 F# @no shut$ q' W F2 Q5 C; G, ?
exit4 y8 T8 h$ U* R' L
int e0/2( m+ j4 m H9 {
des =R5-TuanTi-1.1.10.5=
2 x3 x/ R9 t& s& s1 _6 [6 mduplex full! ]% N5 U7 H1 p0 z. i( b+ o1 t2 j
sw private-Vlan host-association 800 20
0 F4 L5 k% Q# k% `) b3 bsw mode private-Vlan host7 M4 U# z- M5 [3 T W; G8 k
no shut
6 G3 ` p `$ X* w/ lexit
+ R- B' h8 e5 }) V) {int e0/3
1 e1 k6 a( I/ n3 I: b, ?des =R6-TuanTi-1.1.10.6=
. o3 s* v$ x# ?/ ]+ iduplex full
3 h- {: d) u2 P4 msw private-Vlan host-association 800 208 b0 S) i. K3 Y9 @$ p" T |
sw mode private-Vlan host
- y' U, ^8 N6 o7 y: E# [no shut T+ d$ s* p* |* C, U
exit9 ^" }3 H9 ^( l5 z6 P+ K, \# B0 q) o* q
int e1/06 D% b2 K+ a; ]. Z; N. T
duplex full
c% u9 V. v0 ]% }; w; n% u8 Hdes =R2-FuWuQi-1.1.10.2=/ }% P/ a5 B0 Z2 [/ H+ {9 Z2 Q
sw private-Vlan mapping 800 10,20
& |) W6 B/ X9 W5 w4 s3 ]+ Gsw mode private-Vlan promiscuous
& o) U/ Y. G8 x% v3 }' b5 L: a* Wno shut7 d" w* o2 C/ q* T+ _) i- I
exit
( X) z$ Y9 D* Y7 ]$ n% m1 w; N' n1 _7 q0 c ]
●测试结果6 x& a* x& V8 u0 Y6 x' X% \
隔离Vlan 10之间不能够通信,但可以跟Server端口通信;团体Vlan 20不能跟隔离Vlan通信,可以跟自己Vlan内的用户通信,同时也可以跟Server端口通。. O4 G+ T- R" h; C
" x7 K9 b: Q6 \( m8 p0 ]3 C& I
( a- n, f% f; y0 K2 h0 l' M |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-12-22 18:00:23
置顶卡
喧嚣卡
变色卡
千斤顶