web-iou 实验 Private Vlans 命令都有,但是实验没效果
技术开发的缘由:VLAN的安全 -->Pvlan使得Vlan的可扩展性更强 (1)VLAN的限制:交换机固有的VLAN数目的限制;(2)复杂的STP:对于每个VLAN,每个相关的Spanning Tree的拓扑都需要管理;(3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费;(4)路由的限制:每个子网都需要相应的默认网关的配置
实验解释原理:r1e0/0 -sw1e0/1r2e0/0 -sw1e0/2r3e0/0 -sw1e0/3r4e0/0 -sw1e1/0r5e0/0 -sw1e1/1
需求:
r1 为网关路由器
需求:100.1.1.0/24 网段R1可以和r2/r3/r4/r5互访 r2 r3 r4 r5 模拟PCr2和r3可以互访r4和r5不能互访 分析:在这种需求的情况下,要如果要用正常的Vlan设计的话,r2 r3 在一个vlan中, r4 在一个vlan中,r5在一个vlan中,r1在的vlan通过vlan间路由实现和下面的vlan互通,可能还要用到ACL来控制别的vlan通信的限制。所以很麻烦,可控制性不强。 下面介绍一种技术PVlan原理:pvlan的设计中有两种vlan 1 主vlan (primary vlan)2 辅助vlan (secondary vlan) ,辅助vlan又分为团体vlan(community vlan)和孤立vlan(isolated vlan) pvlan中的接口设计,要把交换机的端口划分进不同的vlan所以,就有了端口类型1 混杂端口(promiscuous port) 隶属于主vlan2 主机端口(host port)隶属于孤立vlan 所以主机端口分为isolated 端口,community 端口 通信范围:
1 主vlan可以和他所关联的isolated vlan , community vlan 通信2 辅助vlan中的community vlan 可以和相同的community vlan 内的community port通信,也可以和主vlan 通信3 isoslated vlan 不可以和处于相同isolated vlan 中的其他isolated port 通信,只可以和主vlan的混杂端口通信 实验步骤: 步骤:1 VTP 模式一定要是transparent //不是透明模式的话,不支持pvlan,命令打上去会提示不行2 最低型号3560支持3 vlan 20 private-vlan primary//定义主vlan vlan 100 //创建辅助vlan private-vlan isolated//定义secondary vlan 为隔离vlan,一个pvlan内孤立vlan只鞥创建一个 vlan 200 private-vlan community //创建辅助vlan为团体vlan4关联vlan 将主vlan 和secondary 关联起来 主vlan下面 Vlan 20 Private-vlan association add 100 ,200 //关联辅助vlan到主vlan
5 将端口类型划进相应的vlan内别Interface fa0/1Switchport mode private-vlan {promiscuous | host}// 创建杂合端口,并且映射Pvlan到杂合端口Switchport private-vlan mapping 20 501,502 // 关联20 为主vlan,能够访问的501 502
Interface rangee0/2 ,e0/3 //将终端端口划入PVlan的辅助vlan中Switchport private-vlan hostSwitchport private-vlan host-association 20 100 Interface range e/4 -5Switchport private-vlan hostSwitchport private-vlan host-association 20 200
实验结果:没有做Pvlan之前,都能互相通信:r1(config-if)#end
r1#ping 100.1.1.
*Sep4 01:45:16.015: %SYS-5-CONFIG_I: Configured from console by console
r1#ping 100.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
r1#ping 100.1.1.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.5, timeout is 2 seconds:
.!!!!
2根据步骤实现pvlan 的设计
show vlan private-vlan
Show interfacee0/0switchport查看端口模式的一些改变
实验结果:由于web-iou 的一些bug所以实验效果没有!!!但不影响实验原理的解释。
http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 该贴已经同步到 cuizhiliang的微博
页:
[1]