pvlan的工作原理和配置的步骤 2020-03-26 网络 暂无评论 3099 次阅读 PVLAN的概念 PVLAN即私有VLAN(Private VLAN),也称“专用虚拟局域网”。PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。通过隔离相同VLAN之中的网络设备之间的流量,Cisco所提出的pVLAH能够提高安全性、降低IP子网数目和降低VLAN利用率。 每个PVLAN包括2种VLAN:主VLAN和辅助VLAN 主VLAN:主PVLAN是PVLAN中的高级VLAN.主VLAN由很多个辅助VLAN组成,且辅助VLAN属于主VLAN的相同子网. 辅助VLAN:辅助VLAN是主VLAN的子代,并且映射到一个主VLAN。每台设备连接到辅助PVLAN Promiscuous端口PVLAN中的全部设备进行通信.混杂端口只是主VLAN的一部分。每个混杂端口可以映射到多个辅助VLAN。混杂端口通常是路由器端口,备分服务器或者VLAN接口. 辅助VLAN包括如下两种类型: 团体VLAN-如果端口属于团体VLAN,那么它就不仅能够与相同团体VLAN中的其他端口进行 通信,而且还能够与PVLAN的混杂端口进行通信。 隔离VLAN-如果端口属于隔离VLAN,那么它只能与混杂端口进行通信。隔离VLAN端口不能与相同隔离VLAN中的其他端口进行通信. PVLAN 在配置PVALN的时候,因为只有VTP透明模式支持PVLAN,所以必须首先将交换机配置为VTP透明模式. ![pvlan-cisco.png](https://blog.moper.net/usr/uploads/2020/03/2703091041.png) 步骤1:在开始配置PVLAN之前,首先将交换机VTP模式为透明模式. ``` AS1(config-vlan)#vtp mode transparent ``` 步骤2:在交换机AS1,创建主PVLAN 100,团体PVLAN 101 和隔离PVLAN 102。此外,建立辅助PVLAN和主PVLAN 的关联. ``` AS1(config-vlan)#vlan 100 AS1(config-vlan)#private-vlan primary//将VLAN100配置为主PVLAN AS1(config-vlan)#private-vlan association 101-102//建立辅助PVLAN与主PVLAN的关联 AS1(config-vlan)#vlan 101 AS1(config-vlan)#private-vlan community //将VLAN101配置为团体PVLAN AS1(config-vlan)#vlan 102 AS1(config-vlan)#private-vlan isolated //将VLAN102配置为隔离PVLAN ``` 步骤3:将VLAN100配置为主PVLAN,并且将其映射到辅助PVLAN101 和102。 ``` AS1(config)#interface vlan 100 AS1(config-if)#no shut AS1(config-if)#private-vlan mapping 101,102//将辅助PVLAN映射到第3层VLAN接口以实现路由功能 ``` 步骤4:在交换机AS1上,将主机A的接口配置为PVLAN 101的成员,将主机B的接口配置为PVLAN 102的成员。 ``` AS1(config)#interface fastEtherne t 2/3 AS1(config-if)#description Host_A AS1(config-if)#swithport AS1(config-if)#swithport mode private-vlan host //将端口配置为主机端口 AS1(config-if)#swithport private-vlan host-association 100 101 //建立第2层接口与PVLAN的关联 AS1(config-if)#no shutdown AS1(config-if)#interface fastethernet 2/4 AS1(config-if)#description Host_B AS1(config-if)#swithport AS1(config-if)#swithport mode private-vlan host //将端口配置为主机端口 AS1(config-if)#swithport private-vlan host-association 100 102 //建立第2层接口与PVLAN的关联 AS1(config-if)#no shutdown ``` 步骤5:验证私用VLAN配置,并且确认主机A不能成功ping通主机B 标签: cisco, pvlan 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。