• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

Secondary VLAN和Private VLAN

2021-04-23提问
  • 0关注
  • 0收藏,139浏览
粉丝:0人 关注:0人

问题描述:

这两种技术有什么不同吗?

Private VLAN中,Secondary VLAN的用户与其他网段三层访问,网关是private-vlan primary的IP地址还是核心交换机的地址呀?

看学习视频是核心交换机与配置了Private VLAN接入交换机对应的接口vlan的IP地址。

组网及组网描述:


最佳答案

粉丝:73人 关注:1人

Secondary VLAN是与Isolate-user-VLAN有映射关系的客户自己的VLAN。在配置Isolate-user-VLAN方案时肯定也要先指定哪些VLAN将作为Secondary VLAN,一方面可以实现同一Secondary VLAN内的各端口间的二层隔离,另一方面Secondary VLAN中的成员可以实现通过服务商分配的Isolate-user-VLAN与服务商网络通信。相当于NAT的功能,在与服务商网络通信时把客户自己的Secondary VLAN(相当于内部VLAN)转换成服务商的Isolate-user-VLAN(相当于外部VLAN)。

Secondary VLAN的配置步骤与其他普通VLAN的配置差不多,无非就是多了一个实现同一Secondary VLAN内各端口间二层隔离的功能,具体如表20-6所示。

20-6  Secondary VLAN的配置步骤

步骤

命令

用途说明

1

system-view

例如: system-view

进入系统视图

2

vlan { vlan-id1 [ to vlan-id2 ] | all }

例如:[sysname] vlan 10

创建Secondary VLAN,可以通过指定vlan-id1 [ to vlan-id2 ] | all }参数或选项一定次创建多个VLAN,或者创建全部的4094VLAN。但要注意,这里所创建的VLANVLAN ID一定不能与上节创建的Isolate-user-VLANVLAN ID一样,因为Isolate-user-VLAN有双重特性,一方面可看成是客户内部网络自己的VLAN,另一方面它又是服务分配的,具有公共属性的VLAN

3

isolated-vlan enable

例如:[sysname-vlan10] isolated-vlan enable

(可选)启用隔离功能,把Isolate-user-VLAN中的同一Secondary VLAN中的各端口二层隔离(如果不开启这项功能,同一VLAN内的端口是二层互通的)。默认情况下,同一Secondary VLAN内的端口能够二层互通,可以用undo isolated-vlan enable命令恢复默认情况。注意,启用隔离功能后,Isolate-user-VLAN内各端口是不会二层隔离的。另外,Isolate-user-VLANSecondary VLAN建立映射关系后该命令才会生效

续表

步骤

命令

用途说明

4

quit

例如:[Sysname-vlan10] quit

退回系统视图

5

Secondary VLAN添加Access端口或者Hybrid端口(不能为Trunk端口),并确保至少有一个端口的默认VLANSecondary VLAN。具体的添加方法参见19.3节的相关内容

6

port isolate-user-vlan host

例如:[Sysname-GigabitEthernet2/0/1]port
isolate-user-vlan host

(可选)配置Secondary VLAN中各端口的Isolate-user-VLAN类型为host(下行端口)。默认情况下,没有配置端口的Isolate-user-VLAN类型,可以用undo port isolate-user-vlan命令恢复为默认情况。此命令仅S5500S7500E系列支持,S7500系列不支持

 

quit

例如:[Sysname- GigabitEthernet2/0/1] quit

退回系统视图

 

interface vlan-interface vlan-interface-id

[Sysname] interface vlan-interface 10

为以上Secondary VLAN创建VLAN接口,并进入Secondary VLAN接口视图。参数vlan-interface-id的值必须等于所创建的Secondary VLANVLAN ID。此步如果Isolate-user-VLAN作为二层应用时,则可选;如果Isolate-user-VLAN是作为三层应用(如需要访问外部网络或者与其他Secondary VLAN进行三层通信)时,则必选

【示例1】设置Secondary VLAN 4内各端口二层互相隔离。

system-view

[Sysname] vlan 2

[Sysname-vlan2] isolate-user-vlan enable   !--指定VLAN 2isolate-user-vlan

[Sysname-vlan2] port gigabitethernet 1/0/2  

[Sysname-vlan2] vlan 3

[Sysname-vlan3] port gigabitethernet 1/0/3

[Sysname-vlan3] vlan 4

[Sysname-vlan4] port gigabitethernet 1/0/4

[Sysname-vlan4] quit

[Sysname] isolate-user-vlan 2 secondary 3 to 4  !--映射Isolate-user-VLAN 2Secondary VLAN 3Secondary VLAN 4

[Sysname] vlan 4

[Sysname-vlan4] isolate-vlan enable   !--隔离Secondary VLAN 4中各端口的二层通信

【示例2】将端口GigabitEthernet1/0/1Access类型)的Isolate-user-VLAN类型配置为host

system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port isolate-user-vlan host



2.2.1  PVLAN工作原理

2.1  PVLAN相关术语所述,PVLAN提供了四种工作模式:Host工作模式、Trunk secondary工作模式、Promiscuous工作模式、Trunk promiscuous工作模式。其中,Promiscuous工作模式和Trunk promiscuous工作模式应用于上行端口;Host工作模式和Trunk secondary工作模式应用于下行端口,与Isolated VLAN一起应用时具有隔离功能。通过这四种工作模式,可以对PVLAN的应用进行灵活组网。

各工作模式端口间的互通关系如2所示(假设上行端口工作在Promiscuous模式,Trunk promiscuous模式的上行端口与此相同):Community portPromiscuous port之间可以互通,Community port之间可以互通;Isolated portPromiscuous port之间可以互通,Isolated port之间不能互通。


具体可参考两个技术的白皮书,以下是连接:

http://www.h3c.com/cn/d_200804/603079_30003_0.htm


http://www.h3c.com/CN/D_201505/868804_30003_0.htm


暂无评论

1 个回答
粉丝:11人 关注:0人

过时的技术

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明