EdgeSwitch - 配置 Private VLAN

一.前言:
1.Private vlan 是能够为相同 vlan 内不同端口提供隔离的 vlan
2.通过 pvlan 技术可以隔离相同 vlan 中的网络设备之间的流量,并且位于相同子网的所有设备都只能与网关或其他网络进行通信实现网络内部的隔离
3.Pvlan 可以将一个 vlan 的二层广播域划分成多个子域,每个子域都由一对 vlan 组成即主 vlan 和辅助vlan 组成。
4.在整个PVLAN 中只有一个主 vlan ,每个子域有不同的辅助 vlan,通过 vlan 实现二层网络的隔离。辅助vlan 包括隔离 vlan 和团体 vlan。同一个隔离 vlan中的端口互相不能进行二层通信,也不能与其他团体通信。
5.一个private vlan 中只有一个隔离 vlan。同一个团体 vlan 中的端口可以进行二层通信,但是不能与其他团体 vlan 中的端口进行二层通行。一个private vlan 中以有多个团体 vlan。
  
二.网络拓扑图及说明


三. EdgeSwitch 基础配置


1.用户可选择通过 console 或网线 telnet 访问连接 EdgeSwitch,并输入账号 ubnt 密码 ubnt 登入


2.建立3个 vlan 即 vlan100/vlan201/vlan202
enable

vlan database
vlan 100,201-202
exit


3.划分端口5-24属于 vlan100
configure
interface 0/5-0/24
vlan pvid 100
vlan participation exclude 1
vlan participation include 100
exit


四.EdgeSwitch 配置 Private VLAN


1.定义 vlan201 为隔离 vlan(Isolated vlan)
vlan 201
private-vlan isolated


2.定义vlan202为团体vlan(community vlan)
vlan 202
private-vlan community
exit


3.定义 vlan100 为主 vlan 并关联隔离 vlan 和团体 vlan
configure
vlan 100
private-vlan primary
private-vlan association 201-202
exit


4.配置 Private VLAN 接口


(1)定义接口口5-8为属于隔离 vlan201
interface 0/5-0/8
switchport mode private-vlan host
switchport private-vlan host-association 100 201
exit


(2)定义接口9-12为属于团体 vlan202
interface 0/9-0/12
switchport mode private-vlan host
switchport private-vlan host-association 100 202
exit


(3)配置端口23为混杂模式 

interface 0/23
switchport mode private-vlan promiscuous
switchport private-vlan mapping 100 201-202
exit

end


4.保存配置 write memory


五.实验测试
1.SRV1 因处于隔离 vlan 无法访问 SRV2,也无法访问 SRV3/SRV4,但是可以访问网关 192.168.10.1


2.SRV3 因处于团体 vlan 可以访问 SRV4,也可以访问网关 192.168.10.1,但无法访问 SRV1/SRV2