Private VLAN

实验1

实验需求

按照图示配置 IP 地址

在 SW1 上配置 Private VLAN，Primary VLAN 为 Vlan30，Secondary VLAN 为 Vlan10 和 Vlan20

SW2 通过 Vlan100 下行连接 SW1，要求 PC3 和 PC4 都能以 Vlan100 访问 PC5

在 SW1 上配置 Private VLAN，Primary VLAN 为 Vlan30，Secondary VLAN 为 Vlan10 和 Vlan20

分析：根据需求，通过配置 Private VLAN 来使 Secondary VLAN 对上行设备不可见，实现 VLAN 复用的效果
VLAN30 为 Prmary VLAN，Vlan10 和 Vlan20 为其 Secondary VLAN，把连接上行设备的接口 G1/0/3 口配置为上行接口，连接终端的 G1/0/1 和 G1/0/2 口配置为客户端接口

步骤 1：在 SW1 上创建 Vlan10，Vlan20，Vlan30

<H3C>sy
System View: return to User View with Ctrl+Z.
[H3C]sysn sw1
[sw1]vlan 10
[sw1-vlan10]vlan 20
[sw1-vlan20]vlan 30

步骤 2：在 SW1 上配置 Vlan30 为 Prmary VLAN，Secondary VLAN 为 Vlan10 和 Vlan20

[sw1-vlan30]private-vlan primary
[sw1-vlan30]private-vlan secondary 10 20

步骤 3：在 SW1 上配置 G1/0/3 口为上行接口，G1/0/1 和 G1/0/2 口为下行接口，并把 G1/0/1 口加入 Vlan10，把 G1/0/2 口加入 Vlan20

[sw1-vlan30]int g1/0/3
[sw1-GigabitEthernet1/0/3]port private-vlan 30 promiscuous
[sw1-GigabitEthernet1/0/3]int g1/0/1
[sw1-GigabitEthernet1/0/1]port access vlan 10
[sw1-GigabitEthernet1/0/1]port private-vlan host
[sw1-GigabitEthernet1/0/1]int g1/0/2
[sw1-GigabitEthernet1/0/2]port access vlan 20
[sw1-GigabitEthernet1/0/2]port private-vlan host
[sw1-GigabitEthernet1/0/2] 

3,SW2 通过 Vlan100 下行连接 SW1，要求 PC3 和 PC4 都能以 Vlan100 访问 PC5

分析：根据 Private VLAN 原理，SW1 向 G1/0/3 接口发出的所有 Vlan 的数据帧都将剥离 tag 发出，SW2 收到的必定是未携带 tag 的数据帧，把 SW2 的 G1/0/2 和 G1/0/2 口都以 Access 类型加入 Vlan100，SW2 就会把收到的 SW1 转发过来的数据帧重新打上 Vlan 100 的 tag，从而实现 PC3 和 PC4 都能够以 Vlan100 访问 PC5
步骤 1：在 SW2 上创建 Vlan100，并把 G1/0/1 和 G1/0/2 口以 Access 类型加入 Vlan100

[sw2]vlan 100
[sw2-vlan100]port g1/0/1
[sw2-vlan100]port g1/0/2

效果测试：PC3 和 PC4 都能够 Ping 通 PC5

<PC3>ping 192.168.1.1

实验2

配置：

ASW

[ASW]undo info-center enable     ##关闭日志消息：不然一直弹消息，还是蛮烦的
[ASW]vlan 10
[ASW-vlan10]vlan 2 to 3
[ASW]vlan 10
[ASW-vlan10]private-vlan primary             ## 设置为private vlan 的primary
[ASW-vlan10]private-vlan secondary 2 3       ## 配置primary 与 secondary 2 3的映射关系
[ASW-vlan10]qu

将g1/0/1 设置为promiscuous 模式

[ASW]int g1/0/1
[ASW-GigabitEthernet1/0/1]port private-vlan 10 promiscuous 
[ASW-GigabitEthernet1/0/1]qu

将g1/0/2 绑定 VLAN 2

[ASW]interface gigabitethernet 1/0/2
[ASW-GigabitEthernet1/0/2]port access vlan 2
[ASW-GigabitEthernet1/0/2]port private-vlan host
[ASW-GigabitEthernet1/0/2]quit

将g1/0/3 绑定 VLAN 3

[ASW]int g1/0/3
[ASW-GigabitEthernet1/0/3]port access vlan 3
[ASW-GigabitEthernet1/0/3]port private-vlan host
[ASW-GigabitEthernet1/0/3]quit
[ASW]interface vlan-interface 10
[ASW-Vlan-interface10]ip address 192.168.1.1 255.255.255.0 ## 配置SVI接口地址
[ASW-Vlan-interface10]local-proxy-arp enable               ## 开启本地ARP代理
[ASW-Vlan-interface10]private-vlan secondary 2 3           ## 在VLAN 10接口中映射secondary 2 3
[ASW-Vlan-interface10]quit

实验3（H3CSE372和371题库里面的拓扑复刻）

二层隔离
SW1
创建VLAN
[SW1]vlan 10                        
[SW1-vlan10]vlan 2 to 3
[SW1]vlan 10
[SW1-vlan10]private-vlan primary          ## 配置 VLAN 10 为 Primary VLAN
[SW1-vlan10]private-vlan secondary 2 3    ## 配置 Primary和Secondary VLAN 2 3 的映射关系
[SW1-vlan10]qu
[SW1]int g1/0/1   
[SW1-GigabitEthernet1/0/1]port private-vlan 10 promiscuous   # 设置为promiscuous模式
[SW1-GigabitEthernet1/0/1]qu

将g1/0/2 绑定 VLAN 2

[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port access vlan 2
[SW1-GigabitEthernet1/0/2]port private-vlan host
[SW1-GigabitEthernet1/0/2]qu

将g1/0/3 绑定 VLAN 3

[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 3
[SW1-GigabitEthernet1/0/3]port private-vlan host
[SW1-GigabitEthernet1/0/3]qu

[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.10.10 24  

SW2
[SW2]vlan 20
[SW2-vlan20]vlan 4
[SW2-vlan4]qu

[SW2]vlan 20
[SW2-vlan20]private-vlan primary 
[SW2-vlan20]private-vlan secondary 4
[SW2-vlan20]qu

[SW2]int g1/0/1
[SW2-GigabitEthernet1/0/1]port private-vlan 20 promiscuous 
[SW2-GigabitEthernet1/0/1]qu

[SW2]int g1/0/2
[SW2-GigabitEthernet1/0/2]port access vlan 4
[SW2-GigabitEthernet1/0/2]port private-vlan host
[SW2-GigabitEthernet1/0/2]qu

[SW2]int vlan 20
[SW2-Vlan-interface20]ip address 192.168.10.20 24

分析

针对SW1 来说，可以看到，所谓的Private VLAN，本质上是在用Hybrid口的特性
当配置好上面的命令时，查看配置，就能理解到这些功能，大家也可以自己去理解一下，都可以得到这些的，不难，本质上就是Hybrid端口

对于SW1 的 GigabitEthernet1/0/1，可以对 VLAN 2 3 10 去标签，pvid 10
对于SW1 的 GigabitEthernet1/0/2，可以对 VLAN 2 10 去标签 pvid 2
对于SW1 的 GigabitEthernet1/0/3，可以对 VLAN 3 10 去标签 pvid 3

对于SW2 的 GigabitEthernet1/0/1，可以对 VLAN 4 20 去标签 pvid 20
对于SW2 的 GigabitEthernet1/0/2，可以对 VLAN 4 20 去标签 pvid 4

按照上面的特性，我们就可以得到
PC1 能ping通 PC3
PC2 能ping通 PC3
PC3 能ping通 PC1 和 PC2