說明:
此Lab為Private Vlan,何謂Private Vlan?
同一個Vlan裡,還有其它的Vlan,Second Vlan用來限制同一個Vlan之間的存取。
pvlan可提高安全性、減少子網路切割與Vlan的使用率。
Private Vlan包含了三種Port:
一、Promiscous(primary):主Vlan,如Gateway。
二、Community(community):同Vlan需互相溝通。
三、Isolated(isolate):同Vlan但不互相溝通。
最下面有指令,如果要自己先玩的人請不要拉最下面,為了減少行數,刪掉不必要的設定。
實作條件:
一、共有三個Vlan,200、201、202
二、四台PC在同Subnet
三、PC0、PC1不可通;PC2、PC3可通
四、PC0、PC1與PC2、PC3不可通
Core_SW Show Run如下:
Core_SW#sh run
Building configuration...
Current configuration : 4806 bytes
!
! Last configuration change at 08:31:26 UTC Sun Dec 19 2010
! NVRAM config last updated at 07:35:11 UTC Sun Dec 19 2010
!
version 12.2
hostname Core_SW
enable password cisco
!
vtp domain cisco
vtp mode transparent
ip subnet-zero
ip routing
no ip domain-lookup
!
vlan internal allocation policy ascending
!
vlan 200
private-vlan primary
private-vlan association 201-202
!
vlan 201
private-vlan isolated
!
vlan 202
private-vlan community
!
interface FastEthernet0/11
switchport private-vlan host-association 200 201
switchport mode private-vlan host
!
interface FastEthernet0/12
switchport private-vlan host-association 200 201
switchport mode private-vlan host
!
interface FastEthernet0/13
switchport private-vlan host-association 200 202
switchport mode private-vlan host
!
interface FastEthernet0/14
switchport private-vlan host-association 200 202
switchport mode private-vlan host
!
interface FastEthernet0/15
!
interface FastEthernet0/16
switchport private-vlan mapping 200 201-202
switchport mode private-vlan promiscuous
!
ip classless
no ip http server
no ip http secure-server
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
privilege level 15
password cisco
logging synchronous
login
line vty 5 15
login
!
end
指令 Command:
Core_SW(config)# vlan 201 建立Vlan 201
Core_SW(config-vlan)# private-vlan isolated 設定成pvlan的isolated模式
Core_SW(config)# vlan 202 建立Vlan 202
Core_SW(config-vlan)# private-vlan community 設定成pvlan的community模式
Core_SW(config)# vlan 200 建立Vlan 200
Core_SW(config-vlan)# private-vlan primary 設定成pvlan的primary模式
Core_SW(config-vlan)# private-vlan associateion 201,202 把201、202和200做關係
Core_SW(config)# int ra fa 0/11 – 12
Core_SW(config-if-range)# sw mo ac 設定成Access Port
Core_SW(config-if-range)# sw ac vl 201 設定存取Vlan 201
Core_SW(config-if-range)# switch mode private-vlan host 設定成pvlan host端
Core_SW(config)# int ra fa 0/13 - 14
Core_SW(config-if-range)# sw mo ac 設定成Access Port
Core_SW(config-if-range)# sw ac vl 202 設定存取Vlan 202
Core_SW(config-if-range)# switch mode private-vlan host 設定成pvlan host端
Core_SW(config)# int fa 0/16
Core_SW(config-if)# sw mo ac 設定成Access Port
Core_SW(config-if)# sw ac vl 200 設定存取Vlan 200
Core_SW(config-if)# switch mode private-vlan promiscous 設定成pvlan promiscous端
Core_SW(config-if)# switchport private-vlan mapping 200 201-202 這行…不會解釋
檢查指令:
show interface fa 0/16 switchport
show vlan pritvate
留言列表