Cisco PVLAN 详解.doc

Cisco PVLAN 详解PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。混杂端口（Promiscuous Port）主机端口（Host Port）Catalyst3560， 45， 65系列支持配置pVLAN的实例： SwitchA(config)#vlan 100 SwitchA(config-vlan)#private-vlan primary !设置主VLAN 100 SwitchA(config)#vlan 200 SwitchA(config-vlan)#private-vlan community !设置团体VLAN 200 SwitchA(config)#vlan 300 SwitchA(config-vlan)#private-vlan isolated !设置隔离VLAN 300 SwitchA(config)#vlan 100 SwitchA(config-vlan)#private-vlan association 200,300 !将辅助VLAN关联到主VLAN SwitchA(config)#interface vlan 100 SwitchA(config-if)#private-vlan mapping add 200,300 !将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换 SwitchA(config)# interface fastethernet 0/2 SwitchA(config-if)#switchport mode private-vlan host SwitchA(config-if)#switchport private-vlan host-association 100 200 !2号口划入团体VLAN 200 SwitchA(config)# interface fastethernet 0/3 SwitchA(config-if)#switchport mode private-vlan host SwitchA(config-if)#switchport private-vlan host-association 100 300 !3号口划入隔离VLAN 300 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode private-vlan promiscuous SwitchA(config-if)#switchport private-vlan mapping 100 add 200-300 !1号口杂合模式关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedPVLAN通常用于企业内部网，用来防止连接到某些接 口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。 尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 pVLAN 的3种port： isolated，community ，promiscuous。 pVLAN 的3种子VLAN.pVLAN通常用于企业内部网，用来防止连接到某些接 口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。pVLAN 的3种port：isolated，community ，promiscuous。pVLAN 的3种子VLAN ：primary VLAN ， isolated VLAN(second vlan)， community VLAN(second vlan)。pVLAN通 信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信.community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。 （每个pVLAN中只能有 一个isolated VLAN）pVLAN限 制：pVLAN要求使用VTPv1或VTPv2。pVLAN必须工作于Transparent模式。禁止将第 3层VLAN接口配置为辅助VLAN。EtherChannel或SPAN目标端口不支持pVLAN。配置命令：/建 立primary VLANvlan 10 private-vlan primary/建 立isolated VLANvlan 11 private-vlan isolated/建 立community VLANvlan 12 private-vlan community/关 联primary VLAN与Second VLANsvlan 10 private-vlan association 11，12/配 置promiscuousinterface G0/0switchportswitchport mode private-vlan promiscuousswitchport private-vlan mapping 10 11,12注:这里promiscuous port可以属于多个secondary VLAN，但只可以属于一个primary VLAN，就好像普通的access port只能属于一个vlan是一样的。/配 置isolated portinterface G0/1switchportswitchport mode private-vlan hostswitchport private-vlan host-association 10 11/配置community portinterface G0/2switchportswitchport mode private-vlan hostswitchport private-vlan host-association 10 12注 意:1在private vlan里 switchport access vlan xxx 这一句已经不起作用了。起作用的是 switchport private-vlan host-association 10 11这一句，这一句把端口放入primary vlan 10和secondary vlan 11。2在配置vlan的3层地址 的时候，只可以配置在primary VLAN上，从这里也可以看出，primary VLAN在某些地方是和普通vlan一样工作的，secondary VLAN则更特殊一些。pVLAN使 用方案：1. 把需要2层隔离的主机放到同一个isolated VLAN，或者不同的community VLAN。 2. 把需要2层通信的主机放到同一个community VLAN。 3. 公 共的服务器或者上联端口放到primary VLAN，和本primaryVLAN和所有secondaryVLAN里的主机是2层连通的。4. 在primary VLAN上来看，所有的主机在同一个primary VLAN里，在secondary VLAN里的主机互相访问的时候，才和private VLAN的配置有关。 5. 网关可以是 primary VLAN上配一个3层地址或者在primary VLAN上连一个路由器。所有主机在3层都是在pr