配置Private VLAN.doc

配置Private VLAN 【实验名称】 配置Private VLAN 【实验目的】 使用private vlan 技术实现valn 内部的通信隔离 【背景描述】 某企业网络中，网络管理员将所有服务器都划分到了vlan 100 中，并且分配了 172.16.100.0 ./24 子网的地址。该vlan中共有四台服务器，包括两台计费服务器，一台WEB服务器一台SQL 服务器。现在，为了业务的需要，以及从安全性角度考虑，需要将服务器进行隔离。两天计费服务器不能与WEB服务器和SQL SERVER 服务器进行通信，为了安全性考虑，两台计费服务器之间的通信也需要隔离，但是WEB 服务器和SQL服务器之间需要进行通信以提供电子商务服务。 【需求分析】 目前四台服务器都属于同一个vlan 中，为了它们之间的通行进行隔了，需要将它们划分到不同vlan 中，并重新划分子网地址，并这样做需要对现在拓扑和编址进行修改。 对于这种需求，为了隔了同一个vlan 内的通信，我们可以使用private vlan 技术，这样无需重新划分vlan 并进行编址。在使用private vlan 时 ，原先的vlan 100 作为 pvlan 的主vlan。为了隔离两台计费服务器的通信，将这两台服务器划分到隔离vlan 中。由于web 服务器 和sql 服务器之间需要通信，因此将这两台服务器划分到团体vlan 中。 【实验拓扑】 【实验设备】 三层交换机 1台 需支持（pvlan） 路由器 （网关）1台 PC 机 4台 【预备知识】 Vlan 知识、private vlan 工作原理 【实验原理】 Private vlan 是能够为相同 vlan 内不同端口 提供隔离的vlan 。通过pvlan 技术可以隔离相同vlan 中的网络设备之间的流量，并且位于相同子网的所有设备都只能与网关或其他网络进行通信，实现网络内部的隔离， Pvlan 可以将一个vlan 的二层广播域划分成多个子域，每个子域都由一对 vlan 组成：主vlan 和辅助vlan 组成。在整个PVLAN 中，只有一个主vlan ，每个子域有不同的辅助vlan，通过vlan 实现二层网络的隔离。辅助vlan 包括隔离vlan 和团体vlan。同一个隔离vlan中的端口互相不能进行二层通信。也不能与其他团体通信。一个private vlan 中 只有一个隔离vlan。同一个团体vlan 中的端口可以进行二层通信，但是不能与其他团体vlan 中的端口进行二层通行。一个private vlan 中可以有多个团体vlan。 【实验步骤】 第一步：配置主vlan switch#configure terminal switch(config)#vlan 100 switch(config-vlan)#private-vlan primary switch(config-vlan)#exit ！将vlan 100 配置为pvlan 的主vlan 第二步：配置辅助vlan switch(config)#vlan 101 switch(config-vlan)#private-vlan isolated ！将vlan 101 配置为pvlan 的辅助vlan ，并配置为隔离vlan switch(config-vlan)#exit switch(config)#vlan 102 switch(config-vlan)#private-vlan community ！将vlan 102 配置为pvlan 的辅助vlan ，并设置为团体vlan switch(config-vlan)#exit 第三步：配置主机端口 switch(config)#vlan 100 switch(config-vlan)#private-vlan association add 101,102 ！将辅助vlan101和102关联到100 switch(config-vlan)#exit 第四步：配置主机端口 switch(config)#interface range fastEthernet 0/1-2 switch(config-if-range)#switchport mode private-vlan host ！将连接计费服务器的端口配置为主机端口 switch(config)#switchport priavate-vlan-host-accociation 100 101 ！将端口关联到pvlan 的主vlan 与辅助 vlan switch(config-if-range)#exit switch(config)#interface range fastEthernet 0/3-4 switch(conf