pVLAN技术与配置.doc

1 pVLAN技术描述pVLAN即私有VLAN（Private VLAN），pVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。 pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。混杂端口（Promiscuous Port）主机端口（Host Port） 其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知，“主机端口”也分为两类“isolated端口”和“community端口”。处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。 （每个pVLAN中只能有一个isolated VLAN）pVLAN当中使用的一些规则：1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN”当中的其它物理端口进行通信，除此之外不能和其他端口通信。2 pVLAN配置步骤1:在开始配置PVLAN之前，首先将交换机VTP模式为透明模式。AS1(config-vlan)#vtp mode transparent步骤2:在交换机AS1，创建主Pvlan 100，团体Pvlan 101 和隔离Pvlan 102。此外，建立辅助Pvlan和主pvlan 的关联。AS1(config-vlan)#vlan 100AS1(config-vlan)#private-vlan primary /将VLAN100配置为主pVLANAS1(config-vlan)#private-vlan association 101-102 /建立辅助pVLAN与主pVLAN的关联AS1(config-vlan)#vlan 101AS1(config-vlan)#private-vlan community /将VLAN101配置为团体pVLANAS1(config-vlan)#vlan 102AS1(config-vlan)#private-vlan isolated /将VLAN102配置为隔离pVLAN步骤3:将VLAN100配置为主PVLAN，并且将其映射到辅助PVLAN101 和102.AS1(config)#interface vlan 100AS1(config-if)#no shutAS1(config-if)#private-vlan mapping 101,102 /将辅助pVLAN映射到第3层VLAN接口以实现路由功能步骤4:在交换机AS1上，将主机A的接口配置为Pvlan 101的成员，将主机B的接口配置为Pvlan 102的成员.AS1(config)#interface fastEtherne t 2/3AS1(config-if)#description Host_AAS1(config-if)#swithportAS1(config-if)#swithport mode private-vlan host /将端口配置为主机端口AS1(config-if)#swithport private-vlan host-association 100 101 /建立第2层接口与pVLAN的关联AS1(config-if)#no shutdownAS1(config-if)#interface fastethernet 2/4AS1(config-if)#description Host_BAS1(config-if)#swithportAS1(config-if)#swithport mode private-vlan host /将端口配置为主机端口AS1(config-if)#swithp