百度文库 - 让每个人平等地提升自我
PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN(Secondary VLAN)。辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。 ①混杂端口(Promiscuous Port) ②主机端口(Host Port)
Catalyst3560, 45, 65系列支持 配置pVLAN的实例: SwitchA(config)#vlan 100
SwitchA(config-vlan)#private-vlan primary !设置主VLAN 100
SwitchA(config)#vlan 200
SwitchA(config-vlan)#private-vlan community !设置团体VLAN 200 SwitchA(config)#vlan 300
SwitchA(config-vlan)#private-vlan isolated !设置隔离VLAN 300
SwitchA(config)#vlan 100
SwitchA(config-vlan)#private-vlan association 200,300
6
百度文库 - 让每个人平等地提升自我
!将辅助VLAN关联到主VLAN
SwitchA(config)#interface vlan 100
SwitchA(config-if)#private-vlan mapping add 200,300 !将辅助VLAN映射到主VLAN接口,允许三层交换
SwitchA(config)# interface fastethernet 0/2
SwitchA(config-if)#switchport mode private-vlan host
SwitchA(config-if)#switchport private-vlan host-association 100 200 !2号口划入团体VLAN 200
SwitchA(config)# interface fastethernet 0/3
SwitchA(config-if)#switchport mode private-vlan host
SwitchA(config-if)#switchport private-vlan host-association 100 300 !3号口划入隔离VLAN 300
SwitchA(config)# interface fastethernet 0/1
SwitchA(config-if)#switchport mode private-vlan promiscuous SwitchA(config-if)#switchport private-vlan mapping 100 add 200-300 !1号口杂合模式 CatOS的配置
set vlan 100 pvlan-type primary set vlan 200 pvlan-type community
6
百度文库 - 让每个人平等地提升自我
set vlan 300 pvlan-type isolated set pvlan 100 200 5/1 set pvlan 100 300 5/2
set pvlan mapping 100,200 15/1
set pvlan mapping 100,300 15/1 //指定混杂模式的接口 参考资料:
关于端口隔离
Switch(config)# interface gigabitethernet1/0/2 Switch(config-if)# switchport protected Catalyst 29 35系列支持
网关 及共享口 不敲protected 即可通信
6
百度文库 - 让每个人平等地提升自我
pVLAN(Private VLAN,私用VLAN)是能够为相同VLAN内不同端口之间提供隔离的VLAN。通过隔离相同VLAN之中的网络设备之间的流量,Cisco所提出的pVLAH能够提高安全性、降低IP子网数目和降低VLAN利用率。
每个PVLAN包括2种VLAN:主VLAN和辅助VLAN
主VLAN:主PVLAN是PVLAN中的高级VLAN.主VLAN由很多个辅助VLAN组成,且辅助VLAN属于主VLAN的相同子网.
辅助VLAN:辅助VLAN是主VLAN的子代,并且映射到一个主VLAN。每台设备连接到辅助PVLAN
Promiscuous端口PVLAN中的全部设备进行通信.混杂端口只是主VLAN的一部分。每个混杂端口可以映射到多个辅助VLAN。混杂端口通常是路由器端口,备分服务器或者VLAN接口.
辅助VLAN 包括如下两种类型:
团体VLAN-如果端口属于团体VLAN,那么它就不仅能够与相同团体VLAN中的其他端口进行
通信,而且还能够与PVLAN的混杂端口进行通信。
6
百度文库 - 让每个人平等地提升自我
隔离VLAN-如果端口属于隔离VLAN,那么它只能与混杂端口进行通信.隔离VLAN端口不能与相同隔离VLAn中的其他端口进行通信.
PVLAN、
在配置PVALN的时候,因为只有VTP透明模式支持PVLAN,所以必须首先将交换机配置为VTP透明模式.
步骤1:在开始配置PVLAN之前,首先将交换机VTP模式为透明模式. AS1(config-vlan)#vtp mode transparent
步骤2:在交换机AS1,创建主Pvlan 100,团体Pvlan 101 和隔离Pvlan 102。此外,建立辅助Pvlan和主pvlan 的关联. AS1(config-vlan)#vlan 100
AS1(config-vlan)#private-vlan primary //将VLAN100配置为主pVLAN AS1(config-vlan)#private-vlan association 101-102 //建立辅助pVLAN与主pVLAN的关联
AS1(config-vlan)#vlan 101
6
ciscopvlan配置
