H3C Private VLAN实验

烟雨任平生@2024-05-07 14:59

Private VLAN

实验1

实验需求

按照图示配置 IP 地址

在 SW1 上配置 Private VLAN,Primary VLAN 为 Vlan30,Secondary VLAN 为 Vlan10 和 Vlan20

SW2 通过 Vlan100 下行连接 SW1,要求 PC3 和 PC4 都能以 Vlan100 访问 PC5

在 SW1 上配置 Private VLAN,Primary VLAN 为 Vlan30,Secondary VLAN 为 Vlan10 和 Vlan20

分析:根据需求,通过配置 Private VLAN 来使 Secondary VLAN 对上行设备不可见,实现 VLAN 复用的效果
VLAN30 为 Prmary VLAN,Vlan10 和 Vlan20 为其 Secondary VLAN,把连接上行设备的接口 G1/0/3 口配置为上行接口,连接终端的 G1/0/1 和 G1/0/2 口配置为客户端接口

步骤 1:在 SW1 上创建 Vlan10,Vlan20,Vlan30

复制代码 
<H3C>sy
System View: return to User View with Ctrl+Z.
[H3C]sysn sw1
[sw1]vlan 10
[sw1-vlan10]vlan 20
[sw1-vlan20]vlan 30

步骤 2:在 SW1 上配置 Vlan30 为 Prmary VLAN,Secondary VLAN 为 Vlan10 和 Vlan20

复制代码 
[sw1-vlan30]private-vlan primary
[sw1-vlan30]private-vlan secondary 10 20

步骤 3:在 SW1 上配置 G1/0/3 口为上行接口,G1/0/1 和 G1/0/2 口为下行接口,并把 G1/0/1 口加入 Vlan10,把 G1/0/2 口加入 Vlan20

复制代码 
[sw1-vlan30]int g1/0/3
[sw1-GigabitEthernet1/0/3]port private-vlan 30 promiscuous
[sw1-GigabitEthernet1/0/3]int g1/0/1
[sw1-GigabitEthernet1/0/1]port access vlan 10
[sw1-GigabitEthernet1/0/1]port private-vlan host
[sw1-GigabitEthernet1/0/1]int g1/0/2
[sw1-GigabitEthernet1/0/2]port access vlan 20
[sw1-GigabitEthernet1/0/2]port private-vlan host
[sw1-GigabitEthernet1/0/2]

3,SW2 通过 Vlan100 下行连接 SW1,要求 PC3 和 PC4 都能以 Vlan100 访问 PC5

分析:根据 Private VLAN 原理,SW1 向 G1/0/3 接口发出的所有 Vlan 的数据帧都将剥离 tag 发出,SW2 收到的必定是未携带 tag 的数据帧,把 SW2 的 G1/0/2 和 G1/0/2 口都以 Access 类型加入 Vlan100,SW2 就会把收到的 SW1 转发过来的数据帧重新打上 Vlan 100 的 tag,从而实现 PC3 和 PC4 都能够以 Vlan100 访问 PC5
步骤 1:在 SW2 上创建 Vlan100,并把 G1/0/1 和 G1/0/2 口以 Access 类型加入 Vlan100

复制代码 
[sw2]vlan 100
[sw2-vlan100]port g1/0/1
[sw2-vlan100]port g1/0/2

效果测试:PC3 和 PC4 都能够 Ping 通 PC5

复制代码 
<PC3>ping 192.168.1.1

实验2


配置:

ASW

复制代码 
[ASW]undo info-center enable     ##关闭日志消息:不然一直弹消息,还是蛮烦的
[ASW]vlan 10
[ASW-vlan10]vlan 2 to 3
[ASW]vlan 10
[ASW-vlan10]private-vlan primary             ## 设置为private vlan 的primary
[ASW-vlan10]private-vlan secondary 2 3       ## 配置primary 与 secondary 2 3的映射关系
[ASW-vlan10]qu

将g1/0/1 设置为promiscuous 模式

复制代码 
[ASW]int g1/0/1
[ASW-GigabitEthernet1/0/1]port private-vlan 10 promiscuous 
[ASW-GigabitEthernet1/0/1]qu

将g1/0/2 绑定 VLAN 2

复制代码 
[ASW]interface gigabitethernet 1/0/2
[ASW-GigabitEthernet1/0/2]port access vlan 2
[ASW-GigabitEthernet1/0/2]port private-vlan host
[ASW-GigabitEthernet1/0/2]quit

将g1/0/3 绑定 VLAN 3

复制代码 
[ASW]int g1/0/3
[ASW-GigabitEthernet1/0/3]port access vlan 3
[ASW-GigabitEthernet1/0/3]port private-vlan host
[ASW-GigabitEthernet1/0/3]quit
[ASW]interface vlan-interface 10
[ASW-Vlan-interface10]ip address 192.168.1.1 255.255.255.0 ## 配置SVI接口地址
[ASW-Vlan-interface10]local-proxy-arp enable               ## 开启本地ARP代理
[ASW-Vlan-interface10]private-vlan secondary 2 3           ## 在VLAN 10接口中映射secondary 2 3
[ASW-Vlan-interface10]quit

实验3(H3CSE372和371题库里面的拓扑复刻)

复制代码 
二层隔离
SW1
创建VLAN
[SW1]vlan 10                        
[SW1-vlan10]vlan 2 to 3
[SW1]vlan 10
[SW1-vlan10]private-vlan primary          ## 配置 VLAN 10 为 Primary VLAN
[SW1-vlan10]private-vlan secondary 2 3    ## 配置 Primary和Secondary VLAN 2 3 的映射关系
[SW1-vlan10]qu
[SW1]int g1/0/1   
[SW1-GigabitEthernet1/0/1]port private-vlan 10 promiscuous   # 设置为promiscuous模式
[SW1-GigabitEthernet1/0/1]qu

将g1/0/2 绑定 VLAN 2

复制代码 
[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port access vlan 2
[SW1-GigabitEthernet1/0/2]port private-vlan host
[SW1-GigabitEthernet1/0/2]qu

将g1/0/3 绑定 VLAN 3

复制代码 
[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 3
[SW1-GigabitEthernet1/0/3]port private-vlan host
[SW1-GigabitEthernet1/0/3]qu

[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.10.10 24  

SW2
[SW2]vlan 20
[SW2-vlan20]vlan 4
[SW2-vlan4]qu

[SW2]vlan 20
[SW2-vlan20]private-vlan primary 
[SW2-vlan20]private-vlan secondary 4
[SW2-vlan20]qu

[SW2]int g1/0/1
[SW2-GigabitEthernet1/0/1]port private-vlan 20 promiscuous 
[SW2-GigabitEthernet1/0/1]qu

[SW2]int g1/0/2
[SW2-GigabitEthernet1/0/2]port access vlan 4
[SW2-GigabitEthernet1/0/2]port private-vlan host
[SW2-GigabitEthernet1/0/2]qu

[SW2]int vlan 20
[SW2-Vlan-interface20]ip address 192.168.10.20 24

分析

针对SW1 来说,可以看到,所谓的Private VLAN,本质上是在用Hybrid口的特性
当配置好上面的命令时,查看配置,就能理解到这些功能,大家也可以自己去理解一下,都可以得到这些的,不难,本质上就是Hybrid端口

对于SW1 的 GigabitEthernet1/0/1,可以对 VLAN 2 3 10 去标签,pvid 10
对于SW1 的 GigabitEthernet1/0/2,可以对 VLAN 2 10 去标签 pvid 2
对于SW1 的 GigabitEthernet1/0/3,可以对 VLAN 3 10 去标签 pvid 3

对于SW2 的 GigabitEthernet1/0/1,可以对 VLAN 4 20 去标签 pvid 20
对于SW2 的 GigabitEthernet1/0/2,可以对 VLAN 4 20 去标签 pvid 4

按照上面的特性,我们就可以得到
PC1 能ping通 PC3
PC2 能ping通 PC3
PC3 能ping通 PC1 和 PC2

相关推荐
zhang1338308907532 分钟前
CG-09H 超声波风速风向传感器 加热型 ABS材质 重量轻 没有机械部件
大数据·运维·网络·人工智能·自动化
津津有味道1 小时前
易语言TCP服务端接收刷卡数据并向客户端读卡器发送指令
服务器·网络协议·tcp·易语言
酣大智2 小时前
接口模式参数
运维·网络·网络协议·tcp/ip
Genie cloud2 小时前
1Panel SSL证书申请完整教程
服务器·网络协议·云计算·ssl
24zhgjx-lxq3 小时前
华为ensp:MSTP
网络·安全·华为·hcip·ensp
ling___xi3 小时前
《计算机网络》计网3小时期末速成课各版本教程都可用谢稀仁湖科大版都可用_哔哩哔哩_bilibili(笔记)
网络·笔记·计算机网络
REDcker3 小时前
Linux 文件描述符与 Socket 选项操作详解
linux·运维·网络
Up九五小庞3 小时前
用arpspoof实现100%批量切断192.168.110.10 - 192.168.110.100 断网(双向欺骗)--九五小庞
网络·开源
躺柒3 小时前
读数字时代的网络风险管理:策略、计划与执行04风险指引体系
大数据·网络·信息安全·数字化·网络管理·网络风险管理
独角鲸网络安全实验室4 小时前
本地信任成“致命漏洞”:数千Clawdbot Agent公网裸奔,供应链与内网安全告急
网络·网关·安全·php·漏洞·clawdbot·信任机制漏洞
热门推荐
01GitHub 镜像站点02Clawdbot 中文汉化版 接入微信、飞书032026美赛A题智能手机电池续航时间预测的连续时间数学模型04OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书05OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)062025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望07UV安装并设置国内源08Linux下V2Ray安装配置指南09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10【Milvus】向量数据库pymilvus使用教程