本篇文章给大家谈谈锐捷三层交换机ip地址,以及锐捷三层交换机配置的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
文章详情介绍:
锐捷交换机配置Pvlan的方式
请详细阅读操作文档,结合实际情况进行配置:
若操作不当将可能导致网络卡顿甚至断网等异常情况。
若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。
若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
应用场景:
Private VLAN的主要功能就是能够实现节约IP地址,隔离广播风暴,病毒攻击,控制端口二层互访。特别适用于大二层结构的环境,用户多,vlan多,但是IP地址又是同一个网段,又要实现彼此之间二层隔离,个别VLAN之间又有互访的需求。常见的场景有宾馆酒店,小区宽带接入,运营商与高校共建的校园网等,他们的特点是一个房间或者一户人家一个vlan,彼此隔离,但是IP地址有限,无法给数量庞大的vlan每个分一个网段IP,只能共用一个IP地址段,比如vlan 10的IP地址段10.10.10.0/24,这样一户人家可能就使用了1-2个IP,造成剩余200多个ip地址浪费。
另一种比较典型的PVLAN应用类似于端口隔离功能(switchport protected),即将所有用户端口设置为隔离VLAN((Isolated Port),这样即使同一vlan,同一网段的IP之间的用户也无法访问,可以有效隔离病毒传播。
功能简介:
服务提供商如果给每个用户一个VLAN,则由于一台设备支持的VLAN数最大只有4096而限制了服务提供商能支持的用户数;在三层设备上,每个VLAN被分配一个子网地址或一系列地址,这种情况导致IP地址的浪费;另外同一个vlan内的广播风暴,病毒攻击等安全问题让维护人员非常头疼,等等的这些问题的一种解决方法就是应用Private VLAN 技术。
Private VLAN将一个VLAN 的二层广播域划分成多个子域,每个子域都由一个私有VLAN对组成:主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN)。
在一个Private VLAN域中所有的私有VLAN对共享同一个主VLAN,每个子域的辅助VLAN ID 不同。一个Private VLAN域中只有一个主VLAN,有两种类型的辅助VLAN:
隔离VLAN(Isolated VLAN):同一个隔离VLAN 中的端口不能互相进行二层通信,一个私有VLAN 域中只有一个隔离VLAN。
群体VLAN(Community VLAN):同一个群体VLAN 中的端口可以互相进行二层通信,但不能与其它群体VLAN 中的端口进行二层通信。一个Private VLAN域中可以有多个群体VLAN。
在一个Private VLAN域内通常有三种常见的端口角色,通过定义交换机上面不通的端口的角色可以实现各用户间的二层互访,还是隔离的效果:
混杂端口(Promiscuous Port),属于主VLAN 中的端口,可以与任意端口通讯,包括同一个Private VLAN域中辅助VLAN的隔离端口和群体端口,通常是交换机上联网关设备的端口。
隔离端口(Isolated Port),隔离VLAN 中的端口彼此之间不能通信,只能与混杂口通讯。通常是下联接入用户端的接口。
群体端口(Community port),属于群体VLAN 中的端口,同一个群体VLAN 的群体端口可以互相通讯,也可以与混杂口通讯,不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。通常是下联接入用户端的接口。
Private VLAN域中,只有主VLAN 可以创建SVI 接口,配置IP作为网关使用,辅助VLAN 不可以创建SVI。
注意:N18K系列中,CB卡不支持Private VLAN功能,CB卡包括M18000-16XS-CB、M18000-40XS-CB、M18000-44SFP4XS-CB、M18000-16XT-CB、M18000-10QXS-CB。
一、组网需求
如下图,属于同一企业的用户群体分布在两台接入交换机上,两台接入交换机进行级联。这两台交换机上存在部分用户之间可以访问,部分用户不能访问的需求,而且他们所使用的IP地址在同一个网段,交换机管理VLAN和用户VLAN分离,可以实现设备管理。
群体VLAN20:SwitchA上的用户1(VLAN20内)的报文经Trunk口转发时带上VID为20的TAG,Switch B接收来自群体VLAN(VLAN 20)的报文允许转发到相应的群体端口,实现了跨设备的相互通信;
隔离VLAN30:SwitchA上的用户3和SwitchB上的用户5属于隔离VLAN(VLAN 30内),SwitchA上的用户3的报文经Trunk口转发时带上VID为30的TAG,由于从Trunk口收到的报文不支持向同VLAN的隔离口转发,所以Switch B丢弃来自隔离VLAN的报文,实现了跨设备的隔离;
混杂TRUNK口:SwitchA的上联口为混杂TRUNK口,由于辅助VLAN的报文允许转发到主VLAN,所以相关报文都能够转发到网关,实现与外部的通信。SWITCHA、SWITCHB、GW设备的管理地址为另一个网段,并且属于普通vlan100,在混杂TRUNK口直接透传,实现设备管理。
二、组网拓扑
三、配置要点
1、switchA,switchB按照普通的pvlan配置方法,新建primary vlan 10(主VLAN),community vlan 20,isolated vlan 30,并且将primary vlan同secondary vlan(辅助VLAN)关联起来,同时新建管理vlan 100;
2、switchA,switchB上的用户端口加入secondary vlan(辅助VLAN);
3、switchA,switchB互联的端口设置为trunk模式,并且允许vlan10,20,30,100(trunk默认允许所有VLAN通过);
4、switchA同GW互联的端口设置为混杂trunk模式,实现透传管理VLAN并将私有VLAN的VID修改为主VLAN的功能;
5、网关交换机上建立vlan10、100,并设置ip,作为用户及管理段的网关,下联switchA的端口设置为trunk模式;
四、配置步骤
SWITCH A交换机的配置:
1、配置pvlan中的相关vlan并做关联
SWITCHA>en
SWITCHA#config ter
SWITCHA(config)#vlan 20
SWITCHA(config-vlan)#private-vlan community ——>创建团体vlan20
SWITCHA(config-vlan)#ex
SWITCHA(config)#vlan 30
SWITCHA(config-vlan)#private-vlan isolated ——>创建隔离vlan30
SWITCHA(config-vlan)#ex
SWITCHA(config)#vlan 10
SWITCHA(config-vlan)#private-vlan primary ——>创建主vlan,并关联secondary vlan
SWITCHA(config-vlan)#private-vlan association 20,30
2、将交换机端口划入pvlan的各属性端口
SWITCHA(config)#int range g0/10-11
SWITCHA(config-if-range)#switchport mode private-vlan host
SWITCHA(config-if-range)#switchport private-vlan host-association 10 20 ——>将10,11端口加入团体vlan20
SWITCHA(config-if-range)#exit
SWITCHA(config)#int g0/12
SWITCHA(config-if-GigabitEthernet 0/12)#switchport mode private-vlan host
SWITCHA(config-if-GigabitEthernet 0/12)#switchport private-vlan host-association 10 30 ——>将12端口加入隔离vlan30
3、SWITCHA和SWITCHB跨设备的pvlan的互通配置
SWITCHA(config)#interface g0/1
SWITCHA(config-if-GigabitEthernet 0/1)#switchport mode trunk
4、配置混杂TRUNK口实现与网关的通信
10.X的配置
①配置方法一(推荐该方法,有些设备不支持该方法时,使用方法二)
SWITCHA(config)#interface g0/24
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode trunk
SWITCHA(config-if-GigabitEthernet 0/24)#switchport private-vlan promiscuous trunk 10 20,30 ——>配置上联GW的端口为混杂口属性指定主,辅vlan的映射关系,实现私有VLAN的报文送本接口发送出去时,修改VID为主VLAN ID。
②配置方法二
SWITCHA(config)#interface g0/24
SWITCHA(config-if)# switchport mode private-vlan promiscuous
SWITCHA(config-if)# switchport private-vlan mapping 10 add 20,30
SWITCHA(config-if)# end
注释:设置该端口为混杂口,如果还有其他vlan(该vlan非pvlan),则没法通过该混杂口。
11.X的配置
SWITCHA(config)#interface g0/24
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode trunk
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode private-vlan promiscuous
注:若trunk要做vlan裁剪,可以通过该命令根据实际情况配置裁剪:switchport trunk allowed remove xxx,不过要注意该trunk需要允许管理VLAN100,主VLAN10通过。
SWITCH B交换机的配置:
1、配置pvlan中的相关vlan并做关联
SWITCHB(config)#vlan 20
SWITCHB(config-vlan)#private-vlan community
SWITCHB(config-vlan)#ex
SWITCHB(config)#vlan 30
SWITCHB(config-vlan)#private-vlan isolated
SWITCHB(config-vlan)#ex
SWITCHB(config)#vlan 10
SWITCHB(config-vlan)#private-vlan primary
SWITCHB(config-vlan)#private-vlan association 20,30
2、将交换机端口划入pvlan的各属性端口
SWITCHB(config)#int f0/10
SWITCHB(config-FastEthernet 0/10)#switchport mode private-vlan host
SWITCHB(config-FastEthernet 0/10)#switchport private-vlan host-association 10 20
SWITCHB(config-FastEthernet 0/10)#ex
SWITCHB(config-FastEthernet 0/12)#switchport mode private-vlan host
SWITCHB(config-FastEthernet 0/12)#switchport private-vlan host-association 10 30
SWITCHB(config-FastEthernet 0/12)#exit
3、跨设备的pvlan的互通配置
SWITCHB(config)#interface f0/1
SWITCHB(config-if- FastEthernet 0/1)#switchport mode trunk
网关交换机配置
GW>en
GW#config ter
GWA(config)#vlan 20
GW(config-vlan)#private-vlan community ——>创建团体vlan20
GW(config-vlan)#ex
GW(config)#vlan 30
GW(config-vlan)#private-vlan isolated ——>创建隔离vlan30
GW(config-vlan)#ex
GW(config)#vlan 10
GW(config-vlan)#private-vlan primary ——>创建主vlan,并关联secondary vlan
GW(config-vlan)#private-vlan association 20,30
GW(config-vlan)# interface 10
GW(config-vlan)# ip address 192.168.3.1 255.255.255.0 ——>配置主vlan的ip地址
GW(config-vlan)#private-vlan mapping 20,30 ——>映射两个辅vlan到主vlan10
GW(config)#interface g0/1
GW(config-if-GigabitEthernet 0/1)#switchport mode trunk ——>下联接入接口配置成trunk口
五、功能验证
1、查看配置
SWITCHA#show vlan private-vlan
VLAN Type Status Routed Ports Associated VLANs
—– ———- ——– ——– —————————— ——————
10 primary active Disabled Gi0/1, Gi0/24 20,30
20 community active Disabled Gi0/1, Gi0/10, Gi0/11 10
30 isolated active Disabled Gi0/1, Gi0/12 10
2、效果验证
1)同一个community vlan内的通信:Switch A上属于VLAN20的两台PC间可以通信,SwitchA上属于VLAN20的PC也可以和SwitchB上属于VLAN20的PC通信;
2)同一个isolated vlan内的通信:Switch A上属于VLAN30的PC与SwitchB上属于VLAN30的PC之间无法通信;
3)community vlan与isolated vlan间的通信:Switch A上属于VLAN20的PC与SwitchB上属于VLAN30的PC之间无法通信;
4)community vlan、isolated vlan与promiscuous trunk间的通信:Switch A和Switch B下属于VLAN 20及VLAN30的PC能够与网关通信;
5)Switch A、Switch B上的管理网段vlan100 ping GW上的管理网关,可以通信.