高级VLAN

一、思科PVLAN(思科私有协议)

1、作用：

​ 可以节约vlan数量，并且可以控制同一个vlan里面的访问权限，简化IP地址

2、端口类型

1）隔离端口

​ 处于隔离端口的用户是无法互相进行通信的，只能和混杂端口进行通信

2）团体端口

​ 处于团体端口的用户是可以和混杂端口以及同一个团体的团体端口互相进行通信的

3）混杂端口

​ 处于混杂端口的用户可以与隔离端口与和团体端口进行通信

3、VLAN角色

1）辅助vlan：

①隔离vlan：

​ 处于隔离vlan的端口只能和主vlan进行通信

②团体vlan：

​ 处于团体vlan的端口可以和同一个团体的团体端口以及主vlan进行通信

2）主vlan：

​ 处于主vlan的端口可以和隔离vlan、团体vlan互相通信

4、基本配置：

​ 前提：使用PVLAN的时候必须要把VTP设置为透明模式或者关闭VTP

sw(config)#vtp mode transparent        
sw(config)#vtp mode off 

1）：定义vlan角色：

sw(config)#vlan 100
sw(config-vlan)#private-vlan primary 
sw(config-vlan)#vlan 10 
sw(config-vlan)#private-vlan isolated 
sw(config-vlan)#vlan 20 
sw(config-vlan)#private-vlan community 
sw(config-vlan)#vlan 100
sw(config-vlan)#private-vlan association 10,20

2）定义端口角色：

sw(config)#int e1/0
sw(config-if)#switchport mode private-vlan promiscuous 
sw(config-if)#switchport private-vlan mapping 100 10,20
sw(config)#int range e0/0-1
sw(config-if-range)#switchport mo private-vlan host
sw(config-if-range)#switchport private-vlan host-association 100 10
sw(config)#int range e0/2-3
sw(config-if-range)#switchport private-vlan host-association 100 20
sw(config-if-range)#switchport mo private-vlan host 

2、保护端口：PVLAN边缘

在某些设备型号比较低端，不支持PVLAN功能的交换机下可以使用此功能，仅本地有效

Switch(config)#int range e0/1-2
Switch(config-if-range)#switchport protected 

二、华为MUX VLAN

1、vlan角色：

1）主vlan

2）从vlan：类似于思科PVLAN中的辅助vlan

​ ①隔离型vlan
​ ②互通型vlan

2、基本配置：

[SW1] vlan batch 10 20 30 100#创建所有VLAN
[SW1] vlan 100
[SW1-vlan100] mux-vlan
#指定VLAN100为主VLAN
[SW1-vlan100] subordinate group 10 20
#指定VLAN10，20为互通型从VLAN
[SW1-vlan100] subordinate separate 30
#指定VLAN30为隔离型从VLAN
[SW1] interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] port mux-vlan enable vlan 10
#接口加入相关VLAN，并且激活MUX VLAN功能

3、华为端口隔离：

1）隔离类型：

①单向隔离

​ 只有一方能够访问到对方

②双向隔离

​ 双方都不能互相通信

2）隔离模式：

①L2：二层隔离

②ALL：二层三层都隔离

3）基本配置：

[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2
[Switch] interface GigabitEthernet0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2
[Switch] interface GigabitEthernet0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan2

三、华三Private VLAN

1、基本配置：

[SWA]vlan 2 to 3
[SWA]vlan 10
[SWA-vlan10]private-vlan primary
[SWA-vlan10]private-vlan secondary 2 3
[SWA]interface GigabitEthernet 1/0/3
[SWA-GigabitEthernet1/0/3] port private-vlan 10 promiscuous
[SWA]interface GigabitEthernet 1/0/1
[SWA-GigabitEthernet1/0/1] port access vlan 2
[SWA-GigabitEthernet1/0/1] port private-vlan host
[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEthernet1/0/2] port access vlan 3
[SWA-GigabitEthernet1/0/2] port private-vlan host

四、华三Super VLAN

1、端口类型

​ 1）Super vlan
​ 2）Sub vlan

2、基本配置：

[SWA]vlan2
[SWA-vlan2]port GigabitEthernet1/0/1
[SWA]vlan3
[SWA-vlan3]port GigabitEthernet1/0/2
[SWA]vlan10
[SWA-vlan10]supervlan
[SWA-vlan10]sub vlan 2 3
[SWA]interface Vlan-interface 10
[SWA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
[SWA-Vlan-interface10]local-proxy-arp enable

五、ARP代理

1、分类：

1）普通ARP代理

2）本地ARP代理

六、华为VLAN聚合

[SW1] vlan batch 10 20#创建Sub-VLAN
[SW1] interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SW1] interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[SW1] vlan 100#创建Super-VLAN
[SW1-vlan100] aggregate-vlan
[SW1-vlan100] access-vlan 10 20 #将VLAN10,20作为VLAN100的Sub-VLAN
[SW1] interface vlanif 100
[SW1-vlanif100] ip address 192.168.1.254 24
[SW1-vlanif100] arp-proxy inter-sub-vlan-proxy enable
#使能Sub-VLAN间的Proxy ARP功能

赏

谢谢你请我吃糖果