cisco private vlan 配置.doc

Cisco private-vlan 配置Private-vlan 叫私有VLAN，这种技术通常用在对隔离要求很高的地方。如要求单个PC之间不能互相访问，但是所有PC都可以访问共享资源。这个时候我们就不能用访问控制列表，或VLAN访问控制列表了。每台PC不能相互访问，如果用访问控制列表来做，条目很多，尤其是当PC机比较多的时候，而且修改比较复杂，容易出错，如果使用VLAN间控制来作，那就要划分很多的VLAN，这样做也很难管理，这个时候就要用private-vlan了Private-vlan 由三个成员组成 primary-vlan、isolated-vlan(隔离vlan)、community-vlan（团体vlan）Primary-vlan 是主VLAN；isolated-vlan 和community-vlan 均属于primary-vlanCommunity-vlan内部主机可以互相通讯Isolated-vlan 内部主机不能互相通讯Private-vlan里有3种PORT：promiscuous（混杂端口）：可以和所有类型的端口通信；属于primary vlanisolated隔离端口：只能和混杂端口通信；属于隔离vlancommunity（团体端口）：同一个vlan团体端口之间可以通信，能和混杂端口通信Community-vlan和Isolated-vlan 都可以与primary-vlan中的端口互通（这样的端口叫混杂端口）先建立三个vlan 100 101 102 分别是primary-vlan 、isolated-vlan、 community-vlan3560G(config)#vlan 1003560G(config-vlan)#private-vlan ? association Configure association between private VLANs community Configure the VLAN as a community private VLAN isolated Configure the VLAN as an isolated private VLAN primary Configure the VLAN as a primary private VLAN3560G(config-vlan)#private-vlan primary /设置PVLAN为主VLAN3560G(config-vlan)#vlan 101 3560G(config-vlan)#private-vlan isolated /设置PVLAN为隔离VLAN3560G(config-vlan)#vlan 1023560G(config-vlan)#private-vlan community /设置PVLAN为共同体VLAN然后建立关联3560G(config)#vlan 1003560G(config-vlan)#private-vlan association add 101 /设置和主VLAN关联的次VLAN信息3560G(config-vlan)#private-vlan association add 102接下来，把接口划入到vlan 中G0/1划分到isolated-vlan3560G(config)#int g0/13560G(config-if)#switchport mode private-vlan host /指定g0/1为pvlan里面连接主机的的接口3560G(config-if)#switchport private-vlan host-association 100 101 /主vlan号+isolated vlan号 /设置接口和主VLAN和次VLAN的关联G0/2划分到 community-vlan3560G(config)#int g0/23560G(config-if)#switchport mode private-vlan host3560G(config-if)#switchport private-vlan host-association 100 102 /主vlan号+ community vlan号G0/3划分到primary-vlan3560G(config-if)#int g0/33560G(config-if)#switchport mode private-vlan promiscuous /定义混杂端口3560G(config-if)#switchport private-vlan mapping 100 add 101,102 /设置接口和VLAN的映射关联PVLAN 私有VLAN配置技术PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个（下层）VLAN，则实现了所有端口的隔离。 PVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的PVLAN中，它们可以使用相同的IP子网。 每个PVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。PVLAN中的两种接口类型： 混杂端口（Promiscuous Port）主机端口（Host Port） 其中混杂端口是隶属于Primary VLAN的；主机端口是隶属于Secondary VLAN的。因为Secondary VLAN是具有两种属性的，那么，处于Secondary VLAN当中的主机端口依Secondary VLAN属性的不同而不同，也就是说主机端口会继承Secondary VLAN的属性。那么由此可知，主机端口也分为两类isolated端口和community端口。pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。 （每个pVLAN中只能有一个isolated VLAN）pVLAN当中使用的一些规则：1.一个Primary VLAN当中至少有1个Secondary VLAN，没有上限。2.一个Primary VLAN当中只能有1个Isolated VLAN，可以有多个Community VLAN。3.不同Primary VLAN之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。4.Isolated端口只能与混杂端口通信，除此之外不能与任何其他端口通信。5.Community端口可以和混杂端口通信，也可以和同一Community VLAN当中的其它物理端口进行通信，除此之外不能和其他端口通信。一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。目前很多厂商生产的交换机支持PVLAN技术，PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用PVLAN技术有助于网络的优化，再加上PVLAN在交换机上的配置也相对简单，PVLAN技术越来越得到网络管理人员的青睐。community vlan，其中包含community端口，vlan内的community端口相互之间可以通信，也可以和绑定的promiscuous port通信；只有不包含任何以太网端口的vlan才能被设置为private vlan；gvrp不传播private vlan的信息；只有设置了绑定操作的private vlan才能分配access类型的以太网端口；普通vlan被设置成private vlan后，会自动将所属以太网端口清空。命令：private-vlan association secondary-vlan-list功能：设置private vlan的绑定操作。参数：secondary-vlan-list 指定绑定的secondary vlan列表，secondary vlan包括isolated vlan和community vlan两种只有primary类型的vlan才能设置private vlan绑定操作；被绑定到primary vlan上的secondary vlans内的各个端口可以和被绑定的primary vlan内的各个端口进行通信；在设置private绑定前，三种类型的private vlan都不能被分配以太网端口；存在private vlan绑定关系的primary vlan不能被删除；被解除绑定关系的private vlans会自动将所属以太网端口清空。举例：将vlan50绑定到vlan100上。switch(config-vlan100)#private-vlan association 50PVLAN 只能在VTP transparent模式配置PVLAN 在一个primary vlan下可以有多个secondary vlan,主vlan 可设置成 promiscuous port模式。PVLAN 只有在主vlan 下才可以配置地址（SVI），辅助vlan 是不让配置svi的。并且主vlan 的地址应该在同一网段。secondary vlan 下：可以有isolated port