PVLAN的概念
PVLAN即私有VLAN(Private VLAN),也稱“專用虛擬局域網”。PVLAN采用兩層VLAN隔離技術,只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口劃為一個(下層)VLAN,則實現了所有端口的隔離。通過隔離相同VLAN之中的網絡設備之間的流量,Cisco所提出的pVLAH能夠提高安全性、降低IP子網數目和降低VLAN利用率。
每個PVLAN包括2種VLAN:主VLAN和輔助VLAN
主VLAN:主PVLAN是PVLAN中的高級VLAN.主VLAN由很多個輔助VLAN組成,且輔助VLAN屬于主VLAN的相同子網.
輔助VLAN:輔助VLAN是主VLAN的子代,并且映射到一個主VLAN。每臺設備連接到輔助PVLAN
Promiscuous端口PVLAN中的全部設備進行通信.混雜端口只是主VLAN的一部分。每個混雜端口可以映射到多個輔助VLAN。混雜端口通常是路由器端口,備分服務器或者VLAN接口.
輔助VLAN包括如下兩種類型:
團體VLAN-如果端口屬于團體VLAN,那么它就不僅能夠與相同團體VLAN中的其他端口進行
通信,而且還能夠與PVLAN的混雜端口進行通信。
隔離VLAN-如果端口屬于隔離VLAN,那么它只能與混雜端口進行通信.隔離VLAN端口不能與相同隔離VLAn中的其他端口進行通信.
PVLAN
在配置PVALN的時候,因為只有VTP透明模式支持PVLAN,所以必須首先將交換機配置為VTP透明模式.
步驟1:在開始配置PVLAN之前,首先將交換機VTP模式為透明模式.
AS1(config-vlan)#vtp mode transparent
步驟2:在交換機AS1,創建主Pvlan 100,團體Pvlan 101 和隔離Pvlan 102。此外,建立輔助Pvlan和主pvlan 的關聯.
AS1(config-vlan)#vlan 100
AS1(config-vlan)#private-vlan primary//將VLAN100配置為主pVLAN
AS1(config-vlan)#private-vlan association 101-102//建立輔助pVLAN與主pVLAN的關聯
AS1(config-vlan)#vlan 101
AS1(config-vlan)#private-vlan community //將VLAN101配置為團體pVLAN
AS1(config-vlan)#vlan 102
AS1(config-vlan)#private-vlan isolated //將VLAN102配置為隔離pVLAN
步驟3:將VLAN100配置為主PVLAN,并且將其映射到輔助PVLAN101 和102.
AS1(config)#interface vlan 100
AS1(config-if)#no shut
AS1(config-if)#private-vlan mapping 101,102//將輔助pVLAN映射到第3層VLAN接口以實現路由功能
步驟4:在交換機AS1上,將主機A的接口配置為Pvlan 101的成員,將主機B的接口配置為Pvlan 102的成員.
AS1(config)#interface fastEtherne t 2/3
AS1(config-if)#description Host_A
AS1(config-if)#swithport
AS1(config-if)#swithport mode private-vlan host //將端口配置為主機端口
AS1(config-if)#swithport private-vlan host-association 100 101 //建立第2層接口與pVLAN的關聯
AS1(config-if)#no shutdown
AS1(config-if)#interface fastethernet 2/4
AS1(config-if)#description Host_B
AS1(config-if)#swithport
AS1(config-if)#swithport mode private-vlan host //將端口配置為主機端口
AS1(config-if)#swithport private-vlan host-association 100 102 //建立第2層接口與pVLAN的關聯
AS1(config-if)#no shutdown
步驟5:驗證私用VLAN配置,并且確認主機A不能成功ping通主機B
以上就是pvlan的概念、工作原理和配置的步驟,謝謝閱讀,希望能幫到大家,請繼續關注VEVB武林網,我們會努力分享更多優秀的文章。
新聞熱點
疑難解答
