跨 3 台交换机配置 PVLAN

网络工程 ip 私有vlan

2022-02-12 14:06:27

我们即将在我们的环境中实施 PVLAN，但是对于任何有生产经验的人，我有几个问题。

网络将设置如下：

Hosts     Hosts
 |          |
SW1 (N)    SW2 (S)
    \     /
      SW3 (Core SW)
       |
    Firewall
       |
    Internet

我的问题是 IP 地址会在哪个 VLAN 上运行？首要的？如果是这样，所有其他交换机都具有相同的主 VLAN 但不同的 IP 地址，这不会造成冲突吗？

谢谢你们的帮助！

这是我当前配置的一个想法：

11 N 3560x 的 PVLAN 配置

conf t
vtp mode transparent
feature private-vlan
vlan 2
private-vlan primary
exit
vlan 3
private-vlan isolated
exit
vlan 2
private-vlan associated add 3
exit
int gi0/1 - gi0/23
switchport mode private-vlan host
switchport private-vlan host-association 2 3
spanning-tree portfast
int gi0/24
description to core switch
switchport mode private-vlan promiscuous
switchport private-vlan mapping 2 add 3
spanning-tree portfast
end

显示 vlan 主

显示int gi0/1 - gi0/23 开关| 私下求

11 S 3560x 的 PVLAN 配置

conf t
vtp mode transparent
feature private-vlan
vlan 2
private-vlan primary
exit
vlan 5
private-vlan isolated
exit
vlan 2
private-vlan associated add 5
exit
int gi0/1 - gi0/23
switchport mode private-vlan host
switchport private-vlan host-association 2 5
spanning-tree portfast
int gi0/24
description to core switch
switchport mode private-valn promiscuous
switchport private-vlan mapping 2 add 5
spanning-tree portfast
end

显示 vlan 主

核心交换机的 PVLAN 配置

conf t
vtp mode transparent
feature private-vlan
vlan 2
private-vlan primary
exit
vlan 7
private-vlan isolated
exit
vlan 2
private-vlan associated add 7
exit
int gi0/1 - gi0/23
switchport mode private-vlan host
switchport private-vlan host-association 2 7
spanning-tree portfast
int gi0/24
description to fortinet
switchport mode private-valn promiscuous
switchport private-vlan mapping 2 add 7
spanning-tree portfast
end

显示 vlan 主

显示 vlan 私有 vlan 类型

配置中继端口一台设备不知道 pvlan

int gi0/24
switchport mode private-vlan trunk secondary
switchport private-vlan trunk native vlan 3
switchport private-vlan trunk allowed 3, 7
switchport private-vlan association trunk 2 3   #primary, secondary

显示 int gi0/24 开关端口

配置两个设备都知道 pvlan 的中继端口

int gi0/24
switchport mode private-vlan trunk promiscuous
switchport private-vlan trunk native vlan 3
switchport private-vlan trunk allowed vlan 3, 7 #core switch vlan
switchport private-vlan mapping trunk 2 add 3, 7

2个回答

您可以将 IP 地址放在主 VLAN SVI 上。

Interface vlan2
 private-VLAN mapping 3,5,7
 ip address x.x.x.x x.x.x.x

我建议运行支持 pvlan 的 VTPv3。这样，所有交换机都将添加相同的 VLAN 配置（VLAN.dat 文件）。此外，vtpv3 支持扩展范围的 vlan。不再需要每个交换机有不同的 pvlan，尤其是因为它们是隔离的。想想，每个 pvlan 社区有 1 个主 VLAN、1 个隔离 VLAN 和 1 个 VLAN。

我没有分析您的配置，但快速浏览一下这看起来是正确的。我只会在所有交换机上使用相同的 pvlan 号码。

1) 是的，主 vlan 是为社区和隔离 vlan 提供共享子网的实体。为什么每台交换机都有自己的 Primary vlan 地址？（你的交换机管理vlan和Primary vlan是同一个vlan吗？）

因此，我想您的核心交换机正在执行 MLS（多层交换）并容纳 Primary Vlan SVI？

2）您不需要定义三个不同的隔离vlan。隔离vlan的目的是只允许隔离端口和混杂端口之间的通信。根据定义，隔离主机将无法与混杂端口以外的任何其他类型的端口进行通信。只需通过 pvlan 域中继一个隔离的 vlan 并使用它。

另一个注意事项是，一个 Primary Vlan 最多可以与一个孤立的 vlan 和许多社区 vlan 相关联。同样，一个混杂端口只能服务于一个主 vlan、一个隔离 vlan 和多个社区 vlan。

3) 为什么你需要将 vlan 中继到你的 fortinet 防火墙？如果不是绝对必要的话，我会把它变成核心交换机和 fortinet 之间的路由链接。如果您的核心交换机支持 L3。

4) 只需使用 Promiscuous-PVlan 中继链接到不支持 PVLAN 或受保护端口的设备。这将确保在穿过主干时使用主 vlan 标记重写辅助 vlan 标记帧。尽管如果您使 3) 发生，那么这可能不再需要 AIUI。

HTH。随时要求澄清。

其它你可能感兴趣的问题

上一篇在单个 ISP IP 下分离 2 个 LAN 的最佳方法下一篇TTl !=1 ICMP Port Unreachable 消息中的值 (traceroute)