用VLAN解决宿舍网络安全问题

     解决：PVLAN配置案例

     这是一所外国语大学的网络拓扑图，由于考虑到安全的原因，我们只分隔出本案例中需要说明的部分，参见下图。
     
    

     
     在这个案例中，需要交换机Sw-access1的端口1和2配置成了受保护的端口，它们都在VLAN 10里，Sw-core1上的VLAN 10服务器（VLAN10 Server）也在VLAN 10里。这就让PC只能连接到这台服务器，而不会连接到其它服务器。在汇集交换机上还创建了私用VLAN 90，它包括一次community VLAN 901和一个isolated VLAN 900，端口3/46的服务器2和端口3/48服务器3都在community VLAN 901内，而连接到端口3/1和3/2的服务器在isolated VLAN 900内。使10.10.90.5和10.10.90.6之间不能通讯，10.10.90.7和10.10.90.8能够互相通讯，但这四台主机都可以和10.10.90.2通讯。所有这些设备都被映射到连接在端口1/2上的路由器。

     1．核心交换机Sw-core1的设置清单
     Sw-core1#vlan database
     Sw-core1（vlan）#vtp transparent
     Sw-core1（vlan）#exit

     Sw-core1#conf t
     Sw-core1（config）#vlan 90
     Sw-core1（config-vlan）#private-vlan primary
     Sw-core1（config-vlan）#vlan 900
     Sw-core1（config-vlan）#private-vlan isolated
     Sw-core1（config-vlan）#vlan 901
     Sw-core1（config-vlan）#private-vlan community
     Sw-core1（config-vlan）#vlan 90
     Sw-core1（config-vlan）#private-vlan association 900,901
     Sw-core1（config-vlan）#interface range fastethernet 3/1 – 2
     Sw-core1（config-if）#switchport mode private-vlan host
     Sw-core1（config-if）#switchport mode private-vlan host-association 90 900
     Sw-core1（config-if）#no shut
     Sw-core1（config-if）#interface range fastethernet 3/46 , 3/48
     Sw-core1（config-if）#switchport
     Sw-core1（config-if）#switchport mode private-vlan host
     Sw-core1（config-if）#switchport mode private-vlan host-association 90 901
     Sw-core1（config-if）#no shut
     Sw-core1（config-if）#interface gigabitethernet 1/2
     Sw-core1（config-if）#switchport
     Sw-core1（config-if）#switchport mode private-vlan promiscuous
     Sw-core1（config-if）#switchport mode private-vlan mapping 90 900,901
     Sw-core1（config-if）#no shut
     Sw-core1（config-if）#interface vlan 90
     Sw-core1（config-if）#ip address 10.10.90.1 255.255.255.0
     Sw-core1（config-if）#private-vlan mapping 90 900,901
     Sw-core1（config-if）#no shut
     Sw-core1（config-if）#end
     Sw-core1#copy running-config startup-config

    （2）负责宿舍里面接入的交换机配置清单

     Sw-access1# configure terminal
     Sw-access1（config）#interface fastethernet 0/1
     Sw-access1（config-if）#switchport access vlan 10
     Sw-access1（config-if）#port protected
     Sw-access1（config-if）#interface fastethernet 0/1
     Sw-access1（config-if）#switchport access vlan 10
     Sw-access1（config-if）#port protected
     Sw-access1（config-if）#interface gigabitethernet 0/1
     Sw-access1（config-if）#switchport mode trunk
     Sw-access1（config-if）#switchport trunk encapsulation dot1q
     Sw-access1（config-if）#end
     Sw-access1# copy running-config startup-config

上一页  [1] [2] [3] [4] 

【责编:Zenghui】