- 积分
- 631
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
ios
| 厂商: |
思科/微软 |
| 思科: |
other |
| 华为/H3C: |
交换机 |
链接:https://pan.xunlei.com/s/VNJtFqjBu-gN8YRlq7NsXuyxA1
- P/ K) G9 Y, T, s$ p- @提取码:bb7t1 g- q; _( V9 `5 B" w/ T u* J
7 P/ T) g6 E% v2 \) N4 B7 l当时记录的:
$ I4 a r5 y+ I- G- f Q1 A5 O0 x●同一台交换机上划分有两个Vlan,要求10.10.2.X网络(Vlan 20)里的主机不能访问服务器10.10.1.100;主机10.10.1.4和10.10.1.8(Vlan 10)虽然和服务器在同地址段内,但也不能访问服务器。该实验曾在2016年4510R交换机上做过实机测试,但当时的模拟器不支持配置相关命令,2019年8月发现有版本支持VlanMap命令,测试可成功。
/ w; J3 J, k! K, t4 Q( u' wconf t
. ]$ D% z7 n& b2 {6 Nlogging console alerts9 q9 a8 c7 s3 c; K
no enable secret2 R1 c& C- Z( @. A& |8 \+ W
ip routing
. {! V! m) E# }line con 0
) H3 B9 J0 l% @& g. k- q4 yno password" A3 [' s' e/ c
logging sync
' I/ P9 ]& s+ J8 f, ]4 o/ e: Bexec-time 0 0
" a# p0 q$ ]% u' C @2 Sexit0 M/ u( i+ R6 L, C% h, o
no service tcp-small-servers# b3 z7 q( t* E5 @/ k( k
no service udp-small-servers
5 N* d+ x6 Q& w/ a3 kno ip finger
; t/ L: t- i* R8 Z, r# _no service finger
1 K# T e! ?! s: M. G/ }% Eno ip http server S+ s, n4 L# f* L
no ip source-route! ^, q$ S3 Y W. ?$ j: T
no ip classless
1 B: ?9 ^; ]- Q! Ono ip domain-lookup. V7 p. w3 a r+ N- H- E) z& x5 H
no ip bootp server2 w3 _7 B' E$ E( z: v3 H5 L4 N
no boot network
" a0 l: X9 ] W' k5 l# S" {+ hno service config
3 c2 @$ I6 c# F1 m/ p/ Dno snmp-server community public RO" c0 [* V. s( `, \# `
no snmp-server community admin RW
9 p' n3 C* t8 h. E5 qno snmp-server enable traps
J/ d# T- |9 J# P+ U" fno snmp-server system-shutdown
! M4 u$ U$ w! D+ E8 v0 Yno snmp-server trap-source/ \1 O$ L! l: P, t4 z! E
no snmp-server
7 p' S; X! @2 P7 h- Ousername admin privilege 15 password qweasd% i y! {0 s6 g5 M" N: e
line vty 0 4, I8 Q& a4 Y4 o7 Z
no password
/ l. V) }1 a Ologin local4 _* H$ b2 o# ]4 f6 q& a; Y
exec-time 0 0
) j- m$ b8 Y6 I" s" D. ]5 yexit! T }' k# ~) k0 y
vlan 10
$ e/ r0 [; Z9 r% `exit0 w( C1 G4 p- o2 ]
vlan 205 `: G" Q( V; o0 `* X/ ~- K
exit
+ J" [1 X" |+ y% O5 \int Vlan 105 V1 X j% A5 u
ip add 10.10.1.254 255.255.255.0
' j K( M/ F; H; J! Fno shut5 O' ]9 m9 i3 N/ Q% Z" N* a; v% Q
exit% ~6 i6 @, T+ k0 [# P0 b1 f
int Vlan 207 t! S. a* c9 L5 z4 _- I c& x+ v
ip add 10.10.2.254 255.255.255.0
# A# \; {& y* dno shut% A$ i- n6 F/ R* |$ r6 t
exit C# y: i/ l k* q, \
int e0/0* Z, }5 T$ ]6 ]- w
des =10.10.2.8 Vlan20=
, A) [4 O) }/ V! q" H) E. ~# fsw mode acc. H# h" ` K2 i: M; ?3 k$ }
sw acc vlan 20' ]" m& f5 z) @
duplex full* H F5 r& ?4 H% X8 i+ z
no shut8 k& J% t$ r! M. M2 U; J- i
exit
6 y- M% k5 ~! g7 x( {! v! i7 ]int e0/1
: }# Y- r8 Q9 W& t/ S0 vdes =10.10.1.4 vlan10=' R- H2 i/ c' q/ t" b
sw mode acc% q. Q; r" a: }9 t/ a! G/ J
sw acc vlan 10
, N7 U& |! _ }no shut
9 o* A% Q3 m+ ^( M( Uexit1 `2 B$ {# d/ m$ Y5 x* g$ d# n% \- K
int e0/2
. E3 h) R8 l' zdes =10.10.1.8 Vlan10=
7 E5 S; l$ I0 o3 K9 T2 hsw mode acc
+ g0 I5 j d% `0 Xsw acc vlan 10$ G5 B% {2 i2 I! g: S0 H
duplex full
# s, a ]2 L8 L# g& ^' hno shut
9 s6 w. f& e& m6 }; n# xexit
: ^7 m- N5 ] [7 a4 D! [: d. kint e0/3
& u* j' Z. I$ Pdes =10.10.1.100 Server=
# \/ C& C) @4 V7 N) i5 m7 Asw mode acc- w4 o5 S, v6 C. A$ O5 u2 Q" [
sw acc vlan 10
2 V+ ]8 D3 O5 B: k' {duplex full
5 B6 L5 b& d# D& c" u* a( b" Ono shut
( V E2 s6 Q X/ m5 qexit. @6 ?4 \- b m ~. E# v3 s/ S2 E
ip access-list extended test
- n2 O. r$ B- h4 `permit ip host 10.10.1.4 host 10.10.1.100
6 F( l* A2 x1 e% T1 _7 Wpermit ip host 10.10.1.8 host 10.10.1.100; o" ]( ~ Z. v. S0 ^
permit ip 10.10.2.0 0.0.0.255 host 10.10.1.100( o& L1 V& C J, ^& |/ d( R+ Q b
exit" a& A1 |( K. V$ D
vlan access-map AABB 10; v/ c g3 @5 }4 {
match ip address test* e; |" {3 s3 U: B% I
action drop
1 b0 v* ~& j& {. D4 P% Zexit
0 t3 m- R% L! f$ Q- y( J) }vlan access-map AABB 205 x( p t1 \6 D* j4 h8 ?- N
action forward" t' r# E) Q1 E. f% M; W
exit
+ ?, S/ G" h, x7 m4 E. Jvlan filter AABB vlan-list 10' h% @6 N2 L* d+ p7 M
vlan filter AABB vlan-list 20
. ^! j# B' `& u r! X- {2 H: N1 c) n9 a( _/ `0 t" g# L
●取消时复制粘贴:. }& P+ ?: C8 _0 i0 W% h
no vlan filter AABB vlan-list 106 Y2 Y! @; I3 d
no vlan filter AABB vlan-list 20
4 ]" K; d% d+ ~no vlan access-map AABB 10$ G/ f* j: F# R- R" O
no vlan access-map AABB 20
' W( u( d3 r: K9 Y4 F% _no ip access-list extended test
" ^4 c6 @9 {# v====================
- E3 m5 f# v/ b1 H●PVlan! I3 p$ H) C( ~ S
主要作用就是实现同一Vlan下的相互隔离,在传统的Vlan的环境下,同一Vlan下的主机是可以相互通信的,为了保证通信的相对安全性,要求同一Vlan下的主机隔离,这样就可以采用PVlan技术。在用户的角度看存在第二层Vlan201和Vlan202但在运营商的角度它们都在第一层Vlan100中。主Vlan和其所关联的隔离Vlan、团体Vlan都可以通信。隔离Vlan和团体Vlan都属于次级Vlan,他们之间的区别是同属于一个隔离Vlan的主机不能通信,同属于一个团体Vlan的主机可以通信,但它们都可以和所关联的主Vlan进行通信。- j l& p9 w$ P! y% \
在私有Vlan的概念中,交换机端口有三种类型:隔离端口、团体端口、混杂端口;它们分别对应不同的Vlan类型:隔离端口属于隔离PVlan,团体端口属于团体PVlan,而代表一个私有Vlan整体的是主Vlan,前面两类Vlan需要和它绑定在一起,同时它还包括混杂端口。
, f0 c4 T" z4 j7 o; i
' q/ [9 Q5 [ @, w3 d/ w●PVlan实验
6 E/ Z* U l% k$ _8 b所有主机都可以访问R2服务器$ L5 A! f, Q6 u! _* d/ H
R3和R4彼此不能访问
) g# U3 S7 v% o1 a% KR5和R6彼此可以访问
7 B- J% I' O! Jconf t
" Z; M" U5 ]: D* Elogging console alerts
8 l9 k2 O* i2 M, `( E- C1 h8 Bno enable secret- E$ C |4 ?$ m" v
line con 0' m( d% v/ N+ u% D+ ?) V
no password
+ _2 x- y0 B2 J3 }; y/ _logging sync
6 x9 F) [8 M5 ]+ A$ g7 lexec-time 0 0+ a2 q" X7 [0 W
exit
; h6 u/ B6 k/ Z1 r2 f3 K8 T- Zhostname SW-1
h( S1 x# @4 ~# z# c# W, Gvtp mode transparent& m- H4 X# E+ a% `1 s( L& P4 w, G
Vlan 104 f! L) `4 [ X& x9 B
name GeLi-Vlan- m4 N8 t7 o. [6 R8 s+ F' c/ j
private-Vlan isolated
; Q# J8 f) g f/ a( r% wexit1 H- U& x I! ~. N
Vlan 20
! X+ f6 V! L5 Wprivate-Vlan community
1 D. ^: U1 _7 m0 H6 x1 wname TuanTi-Vlan
% l# R0 f& _/ j4 I! R% Yexit- f3 R4 A$ g; U/ {% c8 u- ~
Vlan 800
* H G8 J$ |7 F/ H$ ^name Zhu-Vlan# Z( _5 T1 T+ S0 ]+ g5 }
private-Vlan primary( A/ R5 T4 }* j1 l- P$ W4 T
private-Vlan association 10,20
; p+ {6 z# Z2 a8 L/ Y$ Fexit
7 l' W7 p0 w; ?int Vlan800
: c" b$ A6 I, K% wprivate-Vlan mapping 10,20
8 E# R% \/ P- a" Vno shut! v$ B* [, _0 A6 ]1 K* G
ip add 1.1.10.254 255.255.255.0
' @) G! o, R; V" b# ?exit$ L1 b0 H0 n& ?- c' H
int e0/0
) W$ i1 q# u* [% f& q! h1 tdes =R3-GeLi-1.1.10.3=1 n, E7 D( Y5 k/ X/ d) ?- R9 r4 ~
duplex full
6 O0 [1 T% a1 p( m* J* b5 J9 asw private-Vlan host-association 800 10
9 ~; w0 ?$ [) v# d6 K/ {8 p+ _2 usw mode private-Vlan host
- _' @! g2 _- }0 {& O, Uno shut; ^6 i. @8 h+ r. Z6 P8 h
exit
/ |: a( i( _. j1 P( dint e0/1
: d0 `5 g. t3 pdes =R4-GeLi-1.1.10.4=
$ B" S* X" O7 C P% X* gduplex full% s: z3 Y" J I6 k
sw private-Vlan host-association 800 106 @- ~& M4 ~) ~
sw mode private-Vlan host8 J: v* v- T* y. o) m2 ]/ d# n7 u
no shut
" {0 O0 r4 {: F5 ^- t9 Gexit
+ O) ~3 c- v4 x' B9 h- d; }int e0/2
& d: D6 o: o: _9 ]4 _des =R5-TuanTi-1.1.10.5= p. F+ K0 ]# n; r2 A9 l0 x a! C; v
duplex full
- D5 I o2 q9 F; P hsw private-Vlan host-association 800 20
: }1 r% R$ v) y9 [sw mode private-Vlan host7 \3 l7 j" V5 |
no shut
# ]) A9 i4 J2 j X8 bexit- O3 Z, N6 ~: `
int e0/3
/ s5 P& b' Z1 f9 e- Pdes =R6-TuanTi-1.1.10.6=
: n$ m/ t7 _" s' [7 }/ W4 n9 hduplex full
6 h1 j9 S% ?) Ksw private-Vlan host-association 800 20
* c' w* k; p5 I8 T: usw mode private-Vlan host D/ j9 L+ A' W1 U
no shut
; q3 P' X# j4 U! N9 Y7 Z" `exit! o$ q U& {' }
int e1/0
+ l# E3 ]4 C" P3 n/ `" c) Eduplex full
" K1 Y% l5 g. I% L, ^6 ?7 }des =R2-FuWuQi-1.1.10.2=
2 l, L% L$ y+ i: g. _3 b' s4 A0 Usw private-Vlan mapping 800 10,20
`2 e2 P5 _. z* F3 ^ e; Bsw mode private-Vlan promiscuous& s4 w6 o2 }- A
no shut
! n; K; F1 P. n' jexit: Z/ L, G9 Y" p- Q( o5 h
6 ~) B# \7 S( p* A
●测试结果' @' q) [4 Z/ i* a
隔离Vlan 10之间不能够通信,但可以跟Server端口通信;团体Vlan 20不能跟隔离Vlan通信,可以跟自己Vlan内的用户通信,同时也可以跟Server端口通。
! J v9 r4 l0 G" y" t( F9 B& }+ e" x. ?9 T
+ u4 k1 g; I! {1 p8 N! I
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-12-22 18:00:23
置顶卡
喧嚣卡
变色卡
千斤顶