请详细阅读操作文档,结合实际情况进行配置:
若操作不当将可能导致网络卡顿甚至断网等异常情况。
若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。
若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
应用场景:
Private VLAN的主要功能就是能够实现节约IP地址,隔离广播风暴,病毒攻击,控制端口二层互访。特别适用于大二层结构的环境,用户多,vlan多,但是IP地址又是同一个网段,又要实现彼此之间二层隔离,个别VLAN之间又有互访的需求。常见的场景有宾馆酒店,小区宽带接入,运营商与高校共建的校园网等,他们的特点是一个房间或者一户人家一个vlan,彼此隔离,但是IP地址有限,无法给数量庞大的vlan每个分一个网段IP,只能共用一个IP地址段,比如vlan 10的IP地址段10.10.10.0/24,这样一户人家可能就使用了1-2个IP,造成剩余200多个ip地址浪费。
另一种比较典型的PVLAN应用类似于端口隔离功能(switchport protected),即将所有用户端口设置为隔离VLAN((Isolated Port),这样即使同一vlan,同一网段的IP之间的用户也无法访问,可以有效隔离病毒传播。
功能简介:
服务提供商如果给每个用户一个VLAN,则由于一台设备支持的VLAN数最大只有4096而限制了服务提供商能支持的用户数;在三层设备上,每个VLAN被分配一个子网地址或一系列地址,这种情况导致IP地址的浪费;另外同一个vlan内的广播风暴,病毒攻击等安全问题让维护人员非常头疼,等等的这些问题的一种解决方法就是应用Private VLAN 技术。
Private VLAN将一个VLAN 的二层广播域划分成多个子域,每个子域都由一个私有VLAN对组成:主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN)。
在一个Private VLAN域中所有的私有VLAN对共享同一个主VLAN,每个子域的辅助VLAN ID 不同。一个Private VLAN域中只有一个主VLAN,有两种类型的辅助VLAN:
隔离VLAN(Isolated VLAN):同一个隔离VLAN 中的端口不能互相进行二层通信,一个私有VLAN 域中只有一个隔离VLAN。
群体VLAN(Community VLAN):同一个群体VLAN 中的端口可以互相进行二层通信,但不能与其它群体VLAN 中的端口进行二层通信。一个Private VLAN域中可以有多个群体VLAN。
在一个Private VLAN域内通常有三种常见的端口角色,通过定义交换机上面不通的端口的角色可以实现各用户间的二层互访,还是隔离的效果:
混杂端口(Promiscuous Port),属于主VLAN 中的端口,可以与任意端口通讯,包括同一个Private VLAN域中辅助VLAN的隔离端口和群体端口,通常是交换机上联网关设备的端口。
隔离端口(Isolated Port),隔离VLAN 中的端口彼此之间不能通信,只能与混杂口通讯。通常是下联接入用户端的接口。
群体端口(Community port),属于群体VLAN 中的端口,同一个群体VLAN 的群体端口可以互相通讯,也可以与混杂口通讯,不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。通常是下联接入用户端的接口。
Private VLAN域中,只有主VLAN 可以创建SVI 接口,配置IP作为网关使用,辅助VLAN 不可以创建SVI。
注意:N18K系列中,CB卡不支持Private VLAN功能,CB卡包括M18000-16XS-CB、M18000-40XS-CB、M18000-44SFP4XS-CB、M18000-16XT-CB、M18000-10QXS-CB。
一、组网需求
如下图,属于同一企业的用户群体分布在两台接入交换机上,两台接入交换机进行级联。这两台交换机上存在部分用户之间可以访问,部分用户不能访问的需求,而且他们所使用的IP地址在同一个网段,交换机管理VLAN和用户VLAN分离,可以实现设备管理。
群体VLAN20:SwitchA上的用户1(VLAN20内)的报文经Trunk口转发时带上VID为20的TAG,Switch B接收来自群体VLAN(VLAN 20)的报文允许转发到相应的群体端口,实现了跨设备的相互通信;
隔离VLAN30:SwitchA上的用户3和SwitchB上的用户5属于隔离VLAN(VLAN 30内),SwitchA上的用户3的报文经Trunk口转发时带上VID为30的TAG,由于从Trunk口收到的报文不支持向同VLAN的隔离口转发,所以Switch B丢弃来自隔离VLAN的报文,实现了跨设备的隔离;
混杂TRUNK口:SwitchA的上联口为混杂TRUNK口,由于辅助VLAN的报文允许转发到主VLAN,所以相关报文都能够转发到网关,实现与外部的通信。SWITCHA、SWITCHB、GW设备的管理地址为另一个网段,并且属于普通vlan100,在混杂TRUNK口直接透传,实现设备管理。
二、组网拓扑
三、配置要点
1、switchA,switchB按照普通的pvlan配置方法,新建primary vlan 10(主VLAN),community vlan 20,isolated vlan 30,并且将primary vlan同secondary vlan(辅助VLAN)关联起来,同时新建管理vlan 100;
2、switchA,switchB上的用户端口加入secondary vlan(辅助VLAN);
3、switchA,switchB互联的端口设置为trunk模式,并且允许vlan10,20,30,100(trunk默认允许所有VLAN通过);
4、switchA同GW互联的端口设置为混杂trunk模式,实现透传管理VLAN并将私有VLAN的VID修改为主VLAN的功能;
5、网关交换机上建立vlan10、100,并设置ip,作为用户及管理段的网关,下联switchA的端口设置为trunk模式;
四、配置步骤
SWITCH A交换机的配置:
1、配置pvlan中的相关vlan并做关联
SWITCHA>en
SWITCHA#config ter
SWITCHA(config)#vlan 20
SWITCHA(config-vlan)#private-vlan community ——>创建团体vlan20
SWITCHA(config-vlan)#ex
SWITCHA(config)#vlan 30
SWITCHA(config-vlan)#private-vlan isolated ——>创建隔离vlan30
SWITCHA(config-vlan)#ex
SWITCHA(config)#vlan 10
SWITCHA(config-vlan)#private-vlan primary ——>创建主vlan,并关联secondary vlan
SWITCHA(config-vlan)#private-vlan association 20,30
2、将交换机端口划入pvlan的各属性端口
SWITCHA(config)#int range g0/10-11
SWITCHA(config-if-range)#switchport mode private-vlan host
SWITCHA(config-if-range)#switchport private-vlan host-association 10 20 ——>将10,11端口加入团体vlan20
SWITCHA(config-if-range)#exit
SWITCHA(config)#int g0/12
SWITCHA(config-if-GigabitEthernet 0/12)#switchport mode private-vlan host
SWITCHA(config-if-GigabitEthernet 0/12)#switchport private-vlan host-association 10 30 ——>将12端口加入隔离vlan30
3、SWITCHA和SWITCHB跨设备的pvlan的互通配置
SWITCHA(config)#interface g0/1
SWITCHA(config-if-GigabitEthernet 0/1)#switchport mode trunk
4、配置混杂TRUNK口实现与网关的通信
10.X的配置
①配置方法一(推荐该方法,有些设备不支持该方法时,使用方法二)
SWITCHA(config)#interface g0/24
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode trunk
SWITCHA(config-if-GigabitEthernet 0/24)#switchport private-vlan promiscuous trunk 10 20,30 ——>配置上联GW的端口为混杂口属性指定主,辅vlan的映射关系,实现私有VLAN的报文送本接口发送出去时,修改VID为主VLAN ID。
②配置方法二
SWITCHA(config)#interface g0/24
SWITCHA(config-if)# switchport mode private-vlan promiscuous
SWITCHA(config-if)# switchport private-vlan mapping 10 add 20,30
SWITCHA(config-if)# end
注释:设置该端口为混杂口,如果还有其他vlan(该vlan非pvlan),则没法通过该混杂口。
11.X的配置
SWITCHA(config)#interface g0/24
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode trunk
SWITCHA(config-if-GigabitEthernet 0/24)#switchport mode private-vlan promiscuous
注:若trunk要做vlan裁剪,可以通过该命令根据实际情况配置裁剪:switchport trunk allowed remove xxx,不过要注意该trunk需要允许管理VLAN100,主VLAN10通过。
SWITCH B交换机的配置:
1、配置pvlan中的相关vlan并做关联
SWITCHB(config)#vlan 20
SWITCHB(config-vlan)#private-vlan community
SWITCHB(config-vlan)#ex
SWITCHB(config)#vlan 30
SWITCHB(config-vlan)#private-vlan isolated
SWITCHB(config-vlan)#ex
SWITCHB(config)#vlan 10
SWITCHB(config-vlan)#private-vlan primary
SWITCHB(config-vlan)#private-vlan association 20,30
2、将交换机端口划入pvlan的各属性端口
SWITCHB(config)#int f0/10
SWITCHB(config-FastEthernet 0/10)#switchport mode private-vlan host
SWITCHB(config-FastEthernet 0/10)#switchport private-vlan host-association 10 20
SWITCHB(config-FastEthernet 0/10)#ex
SWITCHB(config-FastEthernet 0/12)#switchport mode private-vlan host
SWITCHB(config-FastEthernet 0/12)#switchport private-vlan host-association 10 30
SWITCHB(config-FastEthernet 0/12)#exit
3、跨设备的pvlan的互通配置
SWITCHB(config)#interface f0/1
SWITCHB(config-if- FastEthernet 0/1)#switchport mode trunk
网关交换机配置
GW>en
GW#config ter
GWA(config)#vlan 20
GW(config-vlan)#private-vlan community ——>创建团体vlan20
GW(config-vlan)#ex
GW(config)#vlan 30
GW(config-vlan)#private-vlan isolated ——>创建隔离vlan30
GW(config-vlan)#ex
GW(config)#vlan 10
GW(config-vlan)#private-vlan primary ——>创建主vlan,并关联secondary vlan
GW(config-vlan)#private-vlan association 20,30
GW(config-vlan)# interface 10
GW(config-vlan)# ip address 192.168.3.1 255.255.255.0 ——>配置主vlan的ip地址
GW(config-vlan)#private-vlan mapping 20,30 ——>映射两个辅vlan到主vlan10
GW(config)#interface g0/1
GW(config-if-GigabitEthernet 0/1)#switchport mode trunk ——>下联接入接口配置成trunk口
五、功能验证
1、查看配置
SWITCHA#show vlan private-vlan
VLAN Type Status Routed Ports Associated VLANs
—– ———- ——– ——– —————————— ——————
10 primary active Disabled Gi0/1, Gi0/24 20,30
20 community active Disabled Gi0/1, Gi0/10, Gi0/11 10
30 isolated active Disabled Gi0/1, Gi0/12 10
2、效果验证
1)同一个community vlan内的通信:Switch A上属于VLAN20的两台PC间可以通信,SwitchA上属于VLAN20的PC也可以和SwitchB上属于VLAN20的PC通信;
2)同一个isolated vlan内的通信:Switch A上属于VLAN30的PC与SwitchB上属于VLAN30的PC之间无法通信;
3)community vlan与isolated vlan间的通信:Switch A上属于VLAN20的PC与SwitchB上属于VLAN30的PC之间无法通信;
4)community vlan、isolated vlan与promiscuous trunk间的通信:Switch A和Switch B下属于VLAN 20及VLAN30的PC能够与网关通信;
5)Switch A、Switch B上的管理网段vlan100 ping GW上的管理网关,可以通信.
本期我们来了解锐捷交换机的配置。
一、基础配置命令
1、准备命令
>Enable 进入特权模式
#Exit 返回上一级操作模式
#End 返回到特权模式
#write memory 或copy running-config startup-config 保存配置文件
#del flash:config.text 删除配置文件(交换机及1700系列路由器)
#erase startup-config 删除配置文件(2500系列路由器)
#del flash:vlan.dat 删除Vlan配置信息(交换机)
#Configure terminal 进入全局配置模式
(config)# hostname switchA 配置设备名称为switchA
(config)#banner motd & 配置每日提示信息 &为终止符
(config)#enable secret level 1 0 star 配置远程登陆密码为star
(config)#enable secret level 15 0 star 配置特权密码为star
Level 1为普通用户级别,可选为1~15,15为最高权限级别;0表示密码不加密
(config)#enable services web-server 开启交换机WEB管理功能
Services 可选以下:web-server(WEB管理)、telnet-server(远程登陆)等
2、查看信息
#show running-config //查看当前生效的配置信息
#show interface fastethernet 0/3 //查看F0/3端口信息
#show interface serial 1/2 //查看S1/2端口信息
#show interface //查看所有端口信息
#show ip interface brief //以简洁方式汇总查看所有端口信息
#show ip interface //查看所有端口信息
#show version //查看版本信息
#show mac-address-table //查看交换机当前MAC地址表信息
#show running-config //查看当前生效的配置信息
#show vlan //查看所有VLAN信息
#show vlan id 10 //查看某一VLAN (如VLAN10)的信息
#show interface fastethernet 0/1 //查看某一端口模式(如F 0/1)
#show aggregateport 1 summary //查看聚合端口AG1的信息
#show spanning-tree //查看生成树配置信息
#show spanning-tree interface fastethernet 0/1 //查看该端口的生成树状态
#show port-security //查看交换机的端口安全配置信息
#show port-security address //查看地址安全绑定配置信息
#show ip access-lists listname //查看名为listname的列表的配置信息
3、端口的基本配置
(config)#Interface fastethernet 0/3 //进入F0/3的端口配置模式
(config)#interface range fa 0/1-2,0/5,0/7-9 //进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式
(config-if)#speed 10 //配置端口速率为10M,可选10,100,auto
(config-if)#duplex full //配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
(config-if)#no shutdown //开启该端口
(config-if)#switchport access vlan 10 //将该端口划入VLAN10中,用于VLAN
(config-if)#switchport mode trunk //将该端口设为trunk模式,可选模式为access , trunk
(config-if)#port-group 1 //将该端口划入聚合端口AG1中,用于聚合端口
4、聚合端口的创建
(config)# interface aggregateport 1 //创建聚合接口AG1
(config-if)# switchport mode trunk //配置并保证AG1为 trunk 模式
(config)#int f0/23-24
(config-if-range)#port-group 1 //将端口(端口组)划入聚合端口AG1中
5、生成树
配置多生成树协议:
switch(config)#spanning-tree //开启生成树协议
switch(config)#spanning-tree mst configuration //建立多生成树协议
switch(config-mst)#name ruijie //命名为ruijie
switch(config-mst)#revision 1 //设定校订本为1
switch(config-mst)#instance 0 vlan 10,20 //建立实例0
switch(config-mst)#instance 1 vlan 30,40 //建立实例1
switch(config)#spanning-tree mst 0 priority 4096 //设置优先级为4096
switch(config)#spanning-tree mst 1 priority 8192 //设置优先级为8192
switch(config)#interface vlan 10
switch(config-if)#vrrp 1 ip 192.168.10.1 //此为vlan 10的IP地址
switch(config)#interface vlan 20
switch(config-if)#vrrp 1 ip 192.168.20.1 //此为vlan 20的IP地址
switch(config)#interface vlan 30
switch(config-if)#vrrp 2 ip 192.168.30.1 //此为vlan 30的IP地址(另一三层交换机)
switch(config)#interface vlan 40
switch(config-if)#vrrp 2 ip 192.168.40.1 //此为vlan 40的IP地址(另一三层交换机)
6、VLAN的基本配置
(config)#vlan 10 //创建VLAN10
(config-vlan)#name vlanname // 命名VLAN为vlanname
(config-if)#switchport access vlan 10 //将该端口划入VLAN10中
某端口的接口配置模式下进行
(config)#interface vlan 10 //进入VLAN 10的虚拟端口配置模式
(config-if)# ip address 192.168.1.1 255.255.255.0 //为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址
(config-if)# no shutdown //启用该端口
7、端口安全
(config)# interface fastethernet 0/1 //进入一个端口
(config-if)# switchport port-security //开启该端口的安全功能
a、配置最大连接数限制
(config-if)# switchport port-secruity maxmum 1 //配置端口的最大连接数为1,最大连接数为128
(config-if)# switchport port-secruity violation shutdown
//配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复)
b、IP和MAC地址绑定
(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1
//接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)
8、三层路由功能(针对三层交换机)
(config)# ip routing //开启三层交换机的路由功能
(config)# interface fastethernet 0/1
(config-if)# no switchport //开启端口的三层路由功能(这样就可以为某一端口配置IP)
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# no shutdown
9、三层交换机路由协议
(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 //配置静态路由
注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
(config)# router rip //开启RIP协议进程
(config-router)# network 172.16.1.0 //申明本设备的直连网段信息
(config-router)# version 2 //开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
(config-router)# no auto-summary //关闭路由信息的自动汇总功能(只有在RIPV2支持)
(config)# router ospf //开启OSPF路由协议进程(针对1762,无需使用进程ID)
(config)# router ospf 1 //开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
(config-router)# network 192.168.1.0 0.0.0.255 area 0
//申明直连网段信息,并分配区域号(area0为骨干区域)
10、IP ACL:
交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种
a、标准ACL
(config)#ip access-list stand listname //定义命名标准列表,命名为listname,stand为标准列表
(config-std-nacl)#deny 192.168.30.0 0.0.0.255 //拒绝来自192.168.30.0网段的IP流量通过
注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过)
192.168.30.0 0.0.0.255:源地址及源地址通配符;可使用any表示任何IP
(config-std-nacl)#permit any
(config-std-nacl)#end //返回
b、扩展ACL
(config)#ip access-list extended listname
//定义命名扩展列表,命名为listname,extended为扩展
(config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www //拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。
192.168.10.0 0.0.0.255:源地址及源地址通配符
192.168.30.0 0.0.0.255:目的地址及目的地址通配符
eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
www:端口号,可使用名称或具体编号
可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。
(config-ext-nacl)#permit ip any any //允许其它通过
(config-ext-nacl)#end //返回
(config)#interface vlan 10 //进入端口配置模式
(config-if)# ip access-group listname in //访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
(config-if)#end //返回
注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。
二、功能配置命令示例
交换机密码
(config)#enable secret level 1 0 100
(config)#enable secret level 15 0 100
远程登入密码
(config)#line vty 0 4
(config-line)#password 100
(config-line)#end
交换机管理IP
(config)#interface vlan 1
(config-if)#ip address 192.168.1.10 255.255.255.0
(config-if)#no shutdown
修改交换机老化时间
(config)#mac-address-table aging-time 20
(config)#end
添删vlan
(config)#vlan 888
(config-vlan)#name a888
(config)#no vlan 888
添加access口
(config)#interface gigabitEthernet 0/10
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
切换assess trunk
(config-if)#switchport mode access
(config-if)#switchport mode trunk
指定特定一个native vlan
(config-if)#switchport trunk native vlan 10
配置网关:
switch(config)#ip default-gateway 192.168.1.254
显示接口详细信息的命令
show interfaces gigabitEthernet 4/1 counters
接口配置
Switch(config)#interface gigabitethernet 0/1
把接口工作模式改为光口。
Switch(config-if)#medium-type fiber
把接口工作模式改为电口。
Switch(config-if)#medium-type copper
VLAN配置
建立VLAN 100
Switch (config)#vlan 100
该VLAN名称为ruijie
Switch (config)#name ruijie
将交换机接口划入VLAN 中:
range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用。
Switch (config)#interface range f 0/1-48
将接口划到VLAN 100中。
Switch (config-if-range)#switchport access vlan 100
将接口划回到默认VLAN 1中,即端口初始配置。
Switch (config-if-range)#no switchport access vlan
Switch(config)#interface fastEthernet 0/1
该端口工作在access模式下
Switch(config-if)#switchport mode access
该端口工作在trunk模式下
Switch(config-if)#switchport mode trunk
Switch(config)#interface fastEthernet 0/2
路由配置:添加一条路由。
switch (config)#ip route 目的地址 掩码 下一跳
switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.8