Private VLAN
实验1
实验需求
按照图示配置 IP 地址
在 SW1 上配置 Private VLAN,Primary VLAN 为 Vlan30,Secondary VLAN 为 Vlan10 和 Vlan20
SW2 通过 Vlan100 下行连接 SW1,要求 PC3 和 PC4 都能以 Vlan100 访问 PC5
在 SW1 上配置 Private VLAN,Primary VLAN 为 Vlan30,Secondary VLAN 为 Vlan10 和 Vlan20
分析:根据需求,通过配置 Private VLAN 来使 Secondary VLAN 对上行设备不可见,实现 VLAN 复用的效果
VLAN30 为 Prmary VLAN,Vlan10 和 Vlan20 为其 Secondary VLAN,把连接上行设备的接口 G1/0/3 口配置为上行接口,连接终端的 G1/0/1 和 G1/0/2 口配置为客户端接口
步骤 1:在 SW1 上创建 Vlan10,Vlan20,Vlan30
<H3C>sy
System View: return to User View with Ctrl+Z.
[H3C]sysn sw1
[sw1]vlan 10
[sw1-vlan10]vlan 20
[sw1-vlan20]vlan 30
步骤 2:在 SW1 上配置 Vlan30 为 Prmary VLAN,Secondary VLAN 为 Vlan10 和 Vlan20
[sw1-vlan30]private-vlan primary
[sw1-vlan30]private-vlan secondary 10 20
步骤 3:在 SW1 上配置 G1/0/3 口为上行接口,G1/0/1 和 G1/0/2 口为下行接口,并把 G1/0/1 口加入 Vlan10,把 G1/0/2 口加入 Vlan20
[sw1-vlan30]int g1/0/3
[sw1-GigabitEthernet1/0/3]port private-vlan 30 promiscuous
[sw1-GigabitEthernet1/0/3]int g1/0/1
[sw1-GigabitEthernet1/0/1]port access vlan 10
[sw1-GigabitEthernet1/0/1]port private-vlan host
[sw1-GigabitEthernet1/0/1]int g1/0/2
[sw1-GigabitEthernet1/0/2]port access vlan 20
[sw1-GigabitEthernet1/0/2]port private-vlan host
[sw1-GigabitEthernet1/0/2]
3,SW2 通过 Vlan100 下行连接 SW1,要求 PC3 和 PC4 都能以 Vlan100 访问 PC5
分析:根据 Private VLAN 原理,SW1 向 G1/0/3 接口发出的所有 Vlan 的数据帧都将剥离 tag 发出,SW2 收到的必定是未携带 tag 的数据帧,把 SW2 的 G1/0/2 和 G1/0/2 口都以 Access 类型加入 Vlan100,SW2 就会把收到的 SW1 转发过来的数据帧重新打上 Vlan 100 的 tag,从而实现 PC3 和 PC4 都能够以 Vlan100 访问 PC5
步骤 1:在 SW2 上创建 Vlan100,并把 G1/0/1 和 G1/0/2 口以 Access 类型加入 Vlan100
[sw2]vlan 100
[sw2-vlan100]port g1/0/1
[sw2-vlan100]port g1/0/2
效果测试:PC3 和 PC4 都能够 Ping 通 PC5
<PC3>ping 192.168.1.1
实验2
配置:
ASW
[ASW]undo info-center enable ##关闭日志消息:不然一直弹消息,还是蛮烦的
[ASW]vlan 10
[ASW-vlan10]vlan 2 to 3
[ASW]vlan 10
[ASW-vlan10]private-vlan primary ## 设置为private vlan 的primary
[ASW-vlan10]private-vlan secondary 2 3 ## 配置primary 与 secondary 2 3的映射关系
[ASW-vlan10]qu
将g1/0/1 设置为promiscuous 模式
[ASW]int g1/0/1
[ASW-GigabitEthernet1/0/1]port private-vlan 10 promiscuous
[ASW-GigabitEthernet1/0/1]qu
将g1/0/2 绑定 VLAN 2
[ASW]interface gigabitethernet 1/0/2
[ASW-GigabitEthernet1/0/2]port access vlan 2
[ASW-GigabitEthernet1/0/2]port private-vlan host
[ASW-GigabitEthernet1/0/2]quit
将g1/0/3 绑定 VLAN 3
[ASW]int g1/0/3
[ASW-GigabitEthernet1/0/3]port access vlan 3
[ASW-GigabitEthernet1/0/3]port private-vlan host
[ASW-GigabitEthernet1/0/3]quit
[ASW]interface vlan-interface 10
[ASW-Vlan-interface10]ip address 192.168.1.1 255.255.255.0 ## 配置SVI接口地址
[ASW-Vlan-interface10]local-proxy-arp enable ## 开启本地ARP代理
[ASW-Vlan-interface10]private-vlan secondary 2 3 ## 在VLAN 10接口中映射secondary 2 3
[ASW-Vlan-interface10]quit
实验3(H3CSE372和371题库里面的拓扑复刻)
二层隔离
SW1
创建VLAN
[SW1]vlan 10
[SW1-vlan10]vlan 2 to 3
[SW1]vlan 10
[SW1-vlan10]private-vlan primary ## 配置 VLAN 10 为 Primary VLAN
[SW1-vlan10]private-vlan secondary 2 3 ## 配置 Primary和Secondary VLAN 2 3 的映射关系
[SW1-vlan10]qu
[SW1]int g1/0/1
[SW1-GigabitEthernet1/0/1]port private-vlan 10 promiscuous # 设置为promiscuous模式
[SW1-GigabitEthernet1/0/1]qu
将g1/0/2 绑定 VLAN 2
[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port access vlan 2
[SW1-GigabitEthernet1/0/2]port private-vlan host
[SW1-GigabitEthernet1/0/2]qu
将g1/0/3 绑定 VLAN 3
[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 3
[SW1-GigabitEthernet1/0/3]port private-vlan host
[SW1-GigabitEthernet1/0/3]qu
[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.10.10 24 SW2
[SW2]vlan 20
[SW2-vlan20]vlan 4
[SW2-vlan4]qu[SW2]vlan 20
[SW2-vlan20]private-vlan primary
[SW2-vlan20]private-vlan secondary 4
[SW2-vlan20]qu[SW2]int g1/0/1
[SW2-GigabitEthernet1/0/1]port private-vlan 20 promiscuous
[SW2-GigabitEthernet1/0/1]qu[SW2]int g1/0/2
[SW2-GigabitEthernet1/0/2]port access vlan 4
[SW2-GigabitEthernet1/0/2]port private-vlan host
[SW2-GigabitEthernet1/0/2]qu[SW2]int vlan 20
[SW2-Vlan-interface20]ip address 192.168.10.20 24
分析
针对SW1 来说,可以看到,所谓的Private VLAN,本质上是在用Hybrid口的特性
当配置好上面的命令时,查看配置,就能理解到这些功能,大家也可以自己去理解一下,都可以得到这些的,不难,本质上就是Hybrid端口
对于SW1 的 GigabitEthernet1/0/1,可以对 VLAN 2 3 10 去标签,pvid 10
对于SW1 的 GigabitEthernet1/0/2,可以对 VLAN 2 10 去标签 pvid 2
对于SW1 的 GigabitEthernet1/0/3,可以对 VLAN 3 10 去标签 pvid 3
对于SW2 的 GigabitEthernet1/0/1,可以对 VLAN 4 20 去标签 pvid 20
对于SW2 的 GigabitEthernet1/0/2,可以对 VLAN 4 20 去标签 pvid 4
按照上面的特性,我们就可以得到
PC1 能ping通 PC3
PC2 能ping通 PC3
PC3 能ping通 PC1 和 PC2
