CCNP--PVLAN-----交换安全

CCNP---PVLAN----简单的交换安全 

要求:

    主vlan2    次vlan---隔离vlan202     社团vlan203

通讯规则:

  1. 隔离vlan和社团vlan间不能互访
  2. 隔离vlan之内pc间不能互访
  3. 社团vlan之内pc间可以互访
  4. 所有设备均可和主vlan内设备

 

简单的交换安全

 

Cisco3560以上含3560交换机可以配置PVLAN;
1)配置时VTP模式必须为透明

Switch(config)#vtp mode transparent


2)创建各种vlan间的关联
3)端口需要划分到向对应的vlan中 


sw(config)#vlan 2
sw(config-vlan)#private-vlan primary //声明为主vlan
sw(config-vlan)#exit
sw(config)#vlan 202   
sw(config-vlan)#private-vlan isolated  //声明为隔离vlan
sw(config-vlan)#exit
sw(config)#vlan 203
sw(config-vlan)#private-vlan community 声明为社团vlan
sw(config-vlan)#exit
sw(config)#vlan 2 
sw(config-vlan)#private-vlan association 202,203
sw(config)#interface e0/1  主vlan所在接口
sw(config-if)#switchport mode private-vlan promiscuous 
sw(config-if)#switchport private-vlan mapping 2 202-203


sw(config)#interface range e0/2 -3  次vlan--隔离vlan
sw(config-if-range)#switchport mode private-vlan host 
sw(config-if-range)#switchport private-vlan host-association 2 202

sw(config)#interface range e0/4 -5  次vlan--社团vlan
sw(config-if-range)#switchport mode private-vlan host 
sw(config-if-range)#switchport private-vlan host-association 2 203

注:必须在开启路由功能的情况下,才可以工作;

在3350和29系列交换机上无法配置PVLAN,但可以使用端口保护功能;
core(config)#interface f0/1
core(config-if)#switchport protected //被保护接口间不能通讯

router2811配置

//给接口配置IP地址并打开
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
//配置dhcp
 ip dhcp pool vlan2
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 8.8.8.8

欢迎评论提问

 

posted @ 2018-12-08 19:50  ASQW234  阅读(130)  评论(0编辑  收藏  举报