二層交換機間處於同一VLAN的端口可以通信(處於不同VLAN的端口肯定不能在二層間通信,要通信只能走三層)。但某些情形下想讓處於相同VLAN的端口間也不能通信,就可以用PVLAN(私有VLAN),可以讓同一VLAN間的某些端口不能通信。
比如局域網內部希望所有端口都能和網關通信,因此都劃入同一個VLAN中。但某些端口間不希望能相互通信,可以將某些端口配置成PVLAN,以實現相同VLAN間端口隔離。再比如小區用戶接入寬帶,你肯定不希望你電腦發出的數據被你鄰居收到。技術上可以爲每個小區用戶劃分一個VLAN以實現端口隔離,但這不現實,沒法分配這麼多VLAN,即使可以分配這麼多VLAN,每個VLAN相關的STP拓撲都要管理,開銷很大。因此就需要用到PVLAN,小區所有用戶處於同一個VLAN,通過PVLAN保證用戶間無法通信。
PVLAN分2種:Primary VLAN和Secondary VLAN。
Primary VLAN:主VLAN,即普通的VLAN。Primary VLAN可以和Secondary VLAN裏任何端口通信。
Secondary VLAN:輔助VLAN。從屬於Primary VLAN,因此配置好Secondary VLAN後一定要將其關聯到某Primary VLAN上才能生效。分爲2種:Isolated VLAN和Community VLAN
Isolated VLAN:孤立VLAN。配置成Isolated VLAN的端口不能和該Secondary VLAN裏的任何端口通信。
Community VLAN:團隊VLAN。配置成Community VLAN的端口能和該Secondary VLAN裏的同屬於一個團體內的端口通信。
舉個例子下圖中DNS的兩臺服務器和WWW和SMTP的服務器同屬於一個VLAN,但不想讓它們在二層能相互通信
可以在交換機上將連接DNS的f0/1 – 2口配成Community VLAN。連接WWW和SMTP口配成Isolated VLAN。連接網關的f0/24口屬於主VLAN,因此所有口和f0/24口都能通信:
SW1(config)#vtp transparent //VTP暫時不支持PVLAN,因此先關閉VTP
SW1(config)#vlan 201
SW1(config-vlan)#private-vlan isolated //將VLAN 201設爲Isolated VLAN
SW1(config)#vlan 202
SW1(config-vlan)#private-vlan community //將VLAN 202設爲Community VLAN
SW1(config)#vlan 100
SW1(config-vlan)#private-vlan primary //VLAN 100爲Primary VLAN
SW1(config-vlan)#private-vlan association add 201,202 //關聯上面兩個Secondary VLAN
SW1(config)#inter f0/24
SW1(config-if)#switchport mode private-vlan promiscuous //連接網關的端口配置成Primary VLAN,端口改爲混雜模式
SW1(config-if)#switchport private-vlan mapping 100 201,202
SW1(config)#inter range f0/1 - 2
SW1(config-if)#switchport mode private-vlan host //連接DNS的端口配置成Community VLAN,端口爲主機模式
SW1(config-if)#switchport private-vlan host-association 100 202
SW1(config)#inter range f0/3 - 4
SW1(config-if)#switchport mode private-vlan host //連接WWW和SMTP的端口配置成Isolated VLAN,端口爲主機模式
SW1(config-if)#switchport private-vlan host-association 100 201 上面連接網關的端口配置成混雜模式promiscuous,而其他端口配置成主機模式host。host表示該端口只能爲某個Secondary VLAN(即Isolated VLAN或Community VLAN)服務。而promiscuous表示該端口可以爲所有Secondary VLAN服務。將Primary VLAN的端口設爲promiscuous混雜模式,就可以讓其和Secondary VLAN裏任何端口通信。
PS1:有些注意點:
1.不能在VLAN1,VLAN1002 - 1005上配置PVLAN2.不能在PVLAN中配置EtherChannel
3.VTP模式不支持PVLAN,需要將VTP設爲Transparent
PS2:以前還有一種技術也可以讓同一VLAN間不能通信,即保護端口。保護端口只能和非保護端口通信,保護端口間不能通信。但保護端口只能用於一臺交換機上,多臺交換機間就不能生效了。因此現在通常用PVLAN技術。PVLAN上,如SW1過來VLAN100的幀,Trunk上打上標記100,SW2收到幀發現VLAN100是主VLAN,能轉發給VLAN100(包括關聯的Secondary VLAN)的端口。如SW1過來Isolated VLAN201的幀,Trunk上打上標記201,SW2收到幀發現201是Isolated VLAN,不轉發給任何端口。如SW1過來Community VLAN202的幀,Trunk上打上標記202,SW2收到幀發現202是Community VLAN,能轉發給VLAN202的端口。所以用PVLAN比用保護端口更多。