CCNP---PVLAN----简单的交换安全
要求:
主vlan2 次vlan---隔离vlan202 社团vlan203
通讯规则:
- 隔离vlan和社团vlan间不能互访
- 隔离vlan之内pc间不能互访
- 社团vlan之内pc间可以互访
- 所有设备均可和主vlan内设备
Cisco3560以上含3560交换机可以配置PVLAN;
1)配置时VTP模式必须为透明
Switch(config)#vtp mode transparent
2)创建各种vlan间的关联
3)端口需要划分到向对应的vlan中
sw(config)#vlan 2
sw(config-vlan)#private-vlan primary //声明为主vlan
sw(config-vlan)#exit
sw(config)#vlan 202
sw(config-vlan)#private-vlan isolated //声明为隔离vlan
sw(config-vlan)#exit
sw(config)#vlan 203
sw(config-vlan)#private-vlan community 声明为社团vlan
sw(config-vlan)#exit
sw(config)#vlan 2
sw(config-vlan)#private-vlan association 202,203
sw(config)#interface e0/1 主vlan所在接口
sw(config-if)#switchport mode private-vlan promiscuous
sw(config-if)#switchport private-vlan mapping 2 202-203
sw(config)#interface range e0/2 -3 次vlan--隔离vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 202
sw(config)#interface range e0/4 -5 次vlan--社团vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 203
注:必须在开启路由功能的情况下,才可以工作;
在3350和29系列交换机上无法配置PVLAN,但可以使用端口保护功能;
core(config)#interface f0/1
core(config-if)#switchport protected //被保护接口间不能通讯
router2811配置
//给接口配置IP地址并打开
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
//配置dhcp
ip dhcp pool vlan2
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
欢迎评论提问