私有VLAN(PVLAN):
为相同VLAN内不同端口提供隔离的VLAN
PVLAN 只能在VTP transparent模式配置
两种:
主VLAN(PrimaryVlan)
辅助VLAN(SecondaryVlans)
一个主VLAN 包含多个辅助VLAN。
好处:减少VLAN 数量、减少了IP 子网的数量。
secondary vlan 下:可以有island port 、community port 、 promiscuous port。
Promiscuous(混杂):能够与pVLAN中全部设备进行通信。是主VLAN的一部分/每个混杂端口可以映射多个辅助VLAN
Isolated(隔离):可以使隔离端口和混杂模式进行通讯。
Community(团体):可以和同一团体的端口通讯,也可以和混杂模式的端口通讯。
可通信的端口 主VLAN端口 团体VLAN端口 隔离VLAN端口
与主VLAN通信 是 是 是
与同一从VLAN通信 N/A 是 否
与其他从VLAN通信 N/A 否 否
配置命令:
配置PVLAN 时VTP 必须使用透明模式
第一步:定义主vlan
switch(config)# vlan (vlan-id)
switch(config-vlan)# private-vlan primary
switch(config-vlan)# exit
第二步:设置辅助vlan,将主/辅助vlan 帮定在一起
switch(config)# vlan (primary-vlan-id)
switch(config-vlan)# private-vlan association {add|remove}(aue-vlan)
第三步:
switch(config)# interface vlan (primary-vlan-id)
switch(config-if)# privst-vlan mapping (辅助vlan-id)
第四步:
Switch config-vlan # private-vlan [primary | isolated | community] 定义vlan类型
Config-if# switchport mode private-vlan {host | promiscuous}
配置从vlan的接口模式
host表示团体模式或隔离模式
promiscuous是混杂模式
Config-if# switchport private-vlan host-association primary_vlan_id secondary_vlan_id
把团体端口和隔离端口划分到私有vlan中
例如:
Vtp mode transpoarent 必须设置成透明模式
Vlan 202
Private-vlan primary
Private-vlan association 440
Vlan 440
Private-vlan isolated
int fast 5/2
switchport mode private-vlan promiscuous 设置混杂模式
switchport private-vlan mapping 202 440 把这个端口放到主vlan中,可以和从vlan 440的端口通信
int fast 5/1
switchport mode private-vlan host 定义为host端口,此端口可是隔离或团体模式,具体视它加入的vlan模式而定
switchport private-vlan host -association 202 440 定义它属于的主vlan 202中的隔离vlan440
int vlan 202
private-vlan mapping add 440 定义三层的虚拟端口vlan202 为私有vlan 440对外的通信端口
第五步:校验命令
show interfaces private_vlan mapping 查看私有vlan的配置信息
show vlan private-vlan type 显示私有vlan的配置信息
pVLAN当中使用的一些规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里所将的“互相通信”是指二层连通性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
PVLAN(private VLAN)私有VLAN
作用:能够为VLAN内不同端口之间提供隔离的VLAN,能够在一个VLAN之中实现端口之间的隔离。
注意:配置时,VTP必须为透明模式
组成:
每个PVLAN包括两种VLAN:
1、主VLAN
2、辅助VLAN 又分为两种:隔离VLAN、联盟VLAN
辅助VLAN是属于主VLAN的,一个主VLAN可以包含多个辅助VLAN。
在一个主VLAN中只能有一个隔离VLAN,可以有多个联盟VLAN
三种端口类型:
host隔离端口---属于隔离VLAN
host联盟端口---属于联盟VLAN
promiscuous混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口。
规则:
在一个主VLAN中只能有一个隔离VLAN,可以有多个联盟VLAN
隔离VLAN中的主机相互间不能访问,也不能和其它子VLAN访问,也不能和外部VLAN访问,只能与混杂端口访问
联盟VLAN中的主机可以相互访问,可以和混杂端口访问,但不能和其它子VLAN访问,也不能和外部VLAN访问
1、设置主VLAN
SW1(config)#vlan 200
private-vlan primary
2、设置二级子VLAN
SW1(config)#vlan 201
private-vlan isolated 设置为隔离VLAN
SW1(config)#vlan 202
private-vlan community 设置为联盟VLAN
3、将子VLAN划入主VLAN中,建立一个联系
SW1(config)#vlan 200
private-vlan association 201-202
SW1(config)#vlan 200
private-vlan association add 203 加入一个子VLAN
private-vlan association remove 203 移除一个子VLAN
4、将端口设定一个模式,并划入相应的VLAN中
int e0
switchport mode private-vlan host 设置端口的模式,根据子VLAN的类型成为相应的端口
switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201
int e0
switchport mode private-vlan promiscuous 设置混杂端口
switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLAN
show vlan private-vlan
5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。
int vlan 200
private-valn mapping 201-202 设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。
show interfaces private-vlan mapping
PVLAN原理
PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN(Secondary VLAN)。
辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
①混杂端口(Promiscuous Port)
②主机端口(Host Port)
其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
pVLAN通信范围:
primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
community VLAN:可以同那些处于相同community VLAN内的community port通信,也可以与pVLAN中的promiscuous端口通信。 (每个pVLAN可以有多个community VLAN)
isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。 (每个pVLAN中只能有一个isolated VLAN)
pVLAN当中使用的一些规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
pvlan的解释
对于pvlan看了许多之后有些摸不到头脑,在网上看了此篇文章后有些明了。转过来供大家参考
pVLAN基本概念:
1.规则VLAN域
一个常规的VLAN实际上就可以看作是一个规则的VLAN域。比如VLAN100,我们可以将它看作是一个“域”,这个“域”的编号,或者说名字是“VLAN100”。
2.子域、Primary VLAN、Secondary VLAN
pVLAN就是把一个规则的VLAN域划分为一个或多个子域。当把一个规则的VLAN域划分子域后,原来的“规则VLAN域”现在就叫做“Primary Vlan”,这个“Primary VLAN”编号,或者说名字就是原来“规则VLAN域”的名字。
划分出来的子域我们把它叫做“Secondary VLAN”,这个VLAN是有两种属性。
3.“Secondary VLAN”的属性、“Isolated VLAN”、“Community VLAN”
“Secondary VLAN”有两种属性:一种是“isolated”,我们把它叫做“Isolated VLAN”;另一种是“community”,我们把它叫做“Community VLAN”。一个“Secondary VLAN”必须、且只能被赋予其中某一种属性。这两种属性的“Secondary VLAN”都有一些规则,下面我们会讲到。
4.pVLAN中的两种接口类型
处在pVLAN中的交换机物理端口,有两种接口类型:
①混杂端口(Promiscuous Port)
②主机端口(Host Port)
其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。 前面我们说过,因为“Secondary VLAN”是具有两种属性的,那么可想而知,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类---“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
下面说一下pVLAN当中使用的一些规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里所将的“互相通信”是指二层连通性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
