《专有VLAN和SuperVLAN.doc》由会员分享,可在线阅读,更多相关《专有VLAN和SuperVLAN.doc(5页珍藏版)》请在三一办公上搜索。
1、网络系统集成实训指导书5-2-2 专有VLAN和Super VLAN【实训目的】1了解专有VLAN和Super VLAN的概念及作用2熟练专有VLAN和Super VLAN的配置【参考资料】1 高峡,陈智罡,袁宗福. 网络设备互连学习指南, 科学出版社,20092 高峡,钟啸剑,李永俊. 网络设备互连实验指南, 科学出版社,20093 VLAN学习指南4 锐捷S3550配置手册【实训内容】Private Vlan有三种模式:promisicuous isolate community1设置专有VLAN模式Switch(config)#vlan vlan-idSwitch(config-vlan
2、)#private-vlan community | isolated | primary参数:community: 设为团体VLAN,只能在同一VLAN中互相通信,不能与其它VLAN的端口互相通信isolated: 设为隔离VLAN,其中端口在二层上不能互相通信primary: 设为主VLAN定义主VLAN:Switch(config-vlan)#private-vlan primary定义辅助VLAN:Switch(config-vlan)#private-vlan association ncapsulation dot1Q vlan-id关联Primary VLAN与Second VL
3、AN:Switch(config)#vlan vlan-id private-vlan association isolated-vlan, community-vlan2配置专有VLAN端口配置promiscuous(混杂)端口:Switch(config)#interface fastethernet 0/1Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan promiscuousSwitch(config-if)#switchport private-vlan mapping primary
4、-vlan isolated-vlan, community-vlan配置isolated端口:Switch(config)#interface fastethernet 0/2Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan hostSwitch(config-if)#switchport private-vlan host-association primary-vlan isolated-vlan配置community端口:Switch(config)#interface fastethe
5、rnet 0/3Switch(config-if)#switchportSwitch(config-if)#switchport mode private-vlan hostSwitch(config-if)#switchport private-vlan host-association primary-vlan community-vlan3打开Super VLANSwitch(config)#vlan vlan-idSwitch(config-vlan)#supervlan4设置Sub VLAN的地址范围Switch(config-vlan)# subvlan-address-range
6、 start-ip end-ip【实训任务】1 下图是一个实际的网络结构图。其中,需要将交换机Switch0的fa0/1和fa0/2配置成受保护的接口,它们和服务器Server0都处于vlan10中。也就是说两台PC只能访问Server0,不能访问其它服务器。2 在Switch0上创建VLAN 90,它包括一个团体VLAN901和一个隔离VLAN900。要求Server3和Server4能够通信,Server1和Server2不能通信,但是这4台服务器都可以和路由器通信。所有的这些设备都被映射到路由器上。配置示例:在Switch0上:#创建PVLAN需要设置VTP模式为透明Switch0#vl
7、an dataSwitch0(vlan)#vtp transportSwitch0(vlan)#exit#先创建主VLAN,然后创建隔离VLAN和团体VLAN,最后和主VLAN关联Switch0(config)#vlan 90Switch0(config-vlan)#private-vlan primarySwitch0(config-vlan)#vlan 900Switch0(config-vlan)#private-vlan isolatedSwitch0(config-vlan)#vlan 901Switch0(config-vlan)#private-vlan communitySwi
8、tch0(config-vlan)#vlan 90Switch0(config-vlan)#private-vlan association 900, 901Switch0(config-vlan)#exit#按要求把端口划入隔离VLANSwitch0(config)#interface range fa3/1-2Switch0(config-if)#switchportSwitch0(config-if)#switchport mode private-vlan hostSwitch0(config-if)#switchport mode private-vlan host-associat
9、ion 90 900Switch0(config-if)#no shut#按要求把端口划入团体VLANSwitch0(config-if)#interface range fa3/3-4Switch0(config-if)#switchportSwitch0(config-if)#switchport mode private-vlan hostSwitch0(config-if)#switchport mode private-vlan host-association 90 901Switch0(config-if)#no shut#按要求把端口设为混杂端口,并将隔离VLAN和团体VLAN
10、映射到混杂端口Switch0(config-if)#interface gi 1/2Switch0(config-if)#switchportSwitch0(config-if)#switchport mode promiscuousSwitch0(config-if)#switchport mode private-vlan mapping 90 900,901Switch0(config-if)#no shut在switch2上:Switch2(config)#interface range fastether 0/1-2Switch2(config-if)#switch mode acc
11、essSwitch2(config-if)#switch access vlan 10Switch2(config-if)#port protectedSwitch2(config-if)#interface fastether 0/3Switch2(config-if)#switch mode trunkSwitch2(config-if)#switch trunk en doSwitch2(config-if)#end私有vlan的作用及注意事项:1、在一个交换网络中。你可以分配单独的private vlan并给终端分配IP。终端只需通过网关访问外网。这样内网服务器可以得到保护。2、必须把
12、网关与备份服务器以及localdirector所连接的接口设置为promisuous以使客户端能正常访问。3、一个promiscuous port可以服务一个primary vlan ,一个promiscuous port可以为任意isolated or community vlans提供服务4、通过promiscuous port,你可以连接多个设备作为访问点,来访问private vlan。例如,你可以把promiscuous port连在localdirector的一端,而在另一端连接isolated vlan或community vlans,以便localdirector可以在isol
13、ated 和 community vlan间进行负载均衡。或者你也可以在管理员的主机上,用promiscuous port 监视或备份所有的private vlan server。5、配置private vlan,交换机必须处于transparent状态。6、不能配置vlan 1 1002-10057、2层端口如果是private vlan的一部分,他们将会处于inactive状态。8、3层端口只能作为primary vlans,当他们被配置为isolated or community vlan时,接口处于inactive状态。9、如果接口已被配置为private vlan,则ethercha
14、nnel处于inactive状态。10、目标SPAN端口会覆盖private vlan设置。11、可以将private vlan port作为SPAN源端口。12、可以设置vlan-based SPAN(VSPAN)在 primary isolated and community vlans。13、一个primary vlan可以拥有一个isolated vlan 和许多 community vlan14、当你删除了一个在private vlan中被使用的vlan时,此vlan所对应端口会处于inactive状态。专有VLAN通信范围:primary VLAN:可以和所有他所关联的isolat
15、ed VLAN,community VLAN通信。community VLAN:可以同那些处于相同community VLAN内的community port通信,也可以与pVLAN中的promiscuous端口通信。(每个pVLAN可以有多个community VLAN)isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。(每个pVLAN中只能有一个isolated VLAN)专有VLAN的限制:1、pvlan配置要求vtp版本1或2,并且工作在透明模式。2、禁止将第3层vlan接口配置为辅助vl
16、an3、etherChannel或SPAN目标端口不支持私用vlan。3 网络拓扑如下图所示,使用Super VLAN配置交换机,使得Sub VLAN3和Sub VLAN4中的主机可以通信。部分配置示例:Switch(config)#vlan 2Switch(config-vlan)#supervlanSwitch(config-vlan)#subvlan 3,4Switch(config)#interface vlan 3Switch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#no shutdown#设置
17、SubVLAN3下的IP地址空间 Swtich(config)#vlan 3Switch(config-vlan)#subvlan-address-range 192.168.1.1 192.168.1.100Swtich(config)#interface fastether 0/3Swtich(config-if)#switchport mode accessSwtich(config-if)#switchport access vlan 3Swtich(config)#interface fastether 0/4Swtich(config-if)#switchport mode acc
18、essSwtich(config-if)#switchport access vlan 3#设置SubVLAN4下的IP地址空间 Swtich(config)#vlan 4Switch(config-vlan)#subvlan-address-range 192.168.1.101 192.168.1.254Swtich(config)#interface fastether 0/5Swtich(config-if)#switchport mode accessSwtich(config-if)#switchport access vlan 4注意事项:Super VLAN不能包含任何成员口,只能包含Sub VLAN,由Sub VLAN包含实际的物理接口。Super VLAN不能做为其它 Super VLAN的 Sub VLAN。Super VLAN不能当正常的1Q vlan来使用。VLan 1不能作为SuperVLAN。Sub VLAN不能配置为网络接口,不能配置 IP 地址。VLAN不能使用 VRRP,不支持多播。基于Super VLAN接口的ACL和QOS配置不对Sub VLAN生效。可能由于资源不足导致设置Sub VLAN失败。
