Private VLAN配置
PVLAN即私有VLAN(Private VLAN),也称“专用虚拟局域网”。PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。
pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
-
PVLANs允许在同一个VLAN内,将流量限制在某些端口之间
-
PVLAN实现在1个VLAN内的端口隔离。
PVLAN端口类型
- 杂合端口(Promiscuous):
属于主VLAN,要被映射到子VLAN中,被映射的子VLAN中的所有端口都能和它通信。一般用于连接网关和服务器
- 孤立端口(Isolated): 与同一个主VLAN中的其他端口隔离,隔离VLAN端口之间不能相互通信只能与杂合端口进行通信。
- 团体端口(Community): 同一团体VLAN中的团体端口之间可以进行通信,也可和杂合端口通信。不同团体VLAN中的端口不能通信。
配置命令
vlan 10
private-vlan primary #配置VLAN100作为主VLAN
vlan 11
private-vlan community #配置VLAN10作为团体VLAN
vlan 12
private-vlan isolated #配置VLAN 20作为隔离VLAN
Vlan 10
private-vlan association 11,12 #关联Secondary VLAN和Primary VLAN
interface range gi0/5-8
switchport mode private-vlan host
switchport private-vlan host-association 10 11 #配置与PC1相连的二层接口作为团体VLAN11的主机端口
interface range gi0/9-12
switchport mode private-vlan host
switchport private-vlan host-association 10 12 #配置与PC3相连的二层接口作为团体VLAN12的主机端口
#配置与网关相连的二层接口gi0/24作为主VLAN10的混杂端口
interface gi 0/24
switchport mode private-vlan promiscuous
switchport private-vlan mapping 10 11,12
#显示private VLAN配置
