背景

在很多企業(yè)的網(wǎng)絡(luò)環(huán)境中，不同部門間不能互訪已經(jīng)是保證企業(yè)信息安全的一個(gè)基本措施。在這樣的背景下，vlan功能已經(jīng)是企業(yè)在選擇網(wǎng)絡(luò)產(chǎn)品的重要依據(jù)。

組網(wǎng)難題

在一個(gè)中小規(guī)模的企業(yè)中，一個(gè)純二層的網(wǎng)絡(luò)已經(jīng)足以滿足企業(yè)的網(wǎng)絡(luò)應(yīng)用，在二層網(wǎng)絡(luò)中劃分vlan，達(dá)到VLAN間不能互訪，但是網(wǎng)絡(luò)中必然會(huì)有一些服務(wù)器或者出口路由器需要被全部或部分VLAN共享，這個(gè)時(shí)候應(yīng)該怎么辦呢？

TPLINK解決方案

TPLINK二層全網(wǎng)絡(luò)型交換機(jī)，采用private vlan技術(shù)幫助企業(yè)實(shí)現(xiàn)在二層網(wǎng)絡(luò)環(huán)境中，不同VLAN間共享服務(wù)器

用戶需求

某公司網(wǎng)絡(luò)要求實(shí)現(xiàn)如下應(yīng)用需求：

1、 要求公司財(cái)務(wù)部門和銷售部門之間相互隔離，不能相互通信；

2、 要求處于不同交換機(jī)下的相同部門的成員能相互通信；

3、 要求各部門均能訪問(wèn)互聯(lián)網(wǎng)和內(nèi)網(wǎng)服務(wù)器。

拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)規(guī)劃

根據(jù)用戶的需求結(jié)合拓?fù)浣Y(jié)構(gòu)，對(duì)VLAN的劃分進(jìn)行如下規(guī)劃：

●在兩個(gè)交換機(jī)上都創(chuàng)建一個(gè)vlan ID為2的Primary VLAN，該P(yáng)rimary VLAN包含所有端口。

●創(chuàng)建VLAN ID為3的Secondary VLAN，在Switch 1上端口成員包括1-10，在Switch 2上端口成員包括1-10；

●建VLAN ID為4的Secondary VLAN，在Switch 1上端口成員包括11-20，在Switch 2上端口成員包括11-20

配置步驟

配置Switch 1：

1） 進(jìn)入交換機(jī)管理頁(yè)面->vlan->private vlan添加Primary VLAN 2，Secondary VLAN 3,4

2） 在端口配置中將兩個(gè)vlan的公共端口設(shè)置為Promiscuous模式，如下圖所示，這樣24，25，26號(hào)端口會(huì)被所有屬于Primary VLAN2的Secondary VLAN所包含。

3） 將1-10號(hào)端口的端口類型設(shè)置為Host，并將其加入到Secondary VLAN 3中

4） 同樣把11-20號(hào)端口劃分到Secondary VLAN 4中，這個(gè)時(shí)候查看PVLAN設(shè)置，可以看到下圖所示

5） 由于26號(hào)接口是級(jí)聯(lián)接口，所以要將出口規(guī)則設(shè)置為tag，點(diǎn)擊VLAN->802.1Q VLAN，將Private VLAN 2,3,4 中的26號(hào)端口出口規(guī)則設(shè)置為tag


這樣switch1就設(shè)置完畢了，然后通過(guò)同樣的方法在Switch 2上配置Private vlan。

配置完成后即可實(shí)現(xiàn)應(yīng)用需求