背景
在很多企业的网络环境中,不同部门间不能互访已经是保证企业信息安全的一个基本措施。在这样的背景下,vlan功能已经是企业在选择网络产品的重要依据。
组网难题
在一个中小规模的企业中,一个纯二层的网络已经足以满足企业的网络应用,在二层网络中划分vlan,达到VLAN间不能互访,但是网络中必然会有一些服务器或者出口路由器需要被全部或部分VLAN共享,这个时候应该怎么办呢?
TPLINK解决方案
TP-LINK二层全网络型交换机,采用private vlan技术帮助企业实现在二层网络环境中,不同VLAN间共享服务器
用户需求
某公司网络要求实现如下应用需求:
1、 要求公司财务部门和销售部门之间相互隔离,不能相互通信;
2、 要求处于不同交换机下的相同部门的成员能相互通信;
3、 要求各部门均能访问互联网和内网服务器。
拓扑结构
网络规划
根据用户的需求结合拓扑结构,对VLAN的划分进行如下规划:
●在两个交换机上都创建一个vlan ID为2的Primary VLAN,该Primary VLAN包含所有端口。
●创建VLAN ID为3的Secondary VLAN,在Switch 1上端口成员包括1-10,在Switch 2上端口成员包括1-10;
●建VLAN ID为4的Secondary VLAN,在Switch 1上端口成员包括11-20,在Switch 2上端口成员包括11-20
配置步骤
配置Switch 1:
1) 进入交换机管理页面->vlan->private vlan添加Primary VLAN 2,Secondary VLAN 3,4
2) 在端口配置中将两个vlan的公共端口设置为Promiscuous模式,如下图所示,这样24,25,26号端口会被所有属于Primary VLAN2的Secondary VLAN所包含。
3) 将1-10号端口的端口类型设置为Host,并将其加入到Secondary VLAN 3中
4) 同样把11-20号端口划分到Secondary VLAN 4中,这个时候查看PVLAN设置,可以看到下图所示
5) 由于26号接口是级联接口,所以要将出口规则设置为tag,点击VLAN->802.1Q VLAN,将Private VLAN 2,3,4 中的26号端口出口规则设置为tag
这样switch1就设置完毕了,然后通过同样的方法在Switch 2上配置Private vlan。
配置完成后即可实现应用需求
