PVLAN(Private VLAN),也稱爲“專用虛擬局域網”,採用兩層VLAN隔離技術,只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化爲一個(下層)VLAN,則實現了所有端口的隔離。
通常用於企業內部網,用來防止連接到某些接口或接口組中的網絡設備相互通信,但卻允許與默認網關進行通信。儘管各設備處於不同的pVLAN中,它們可以使用相同的IP子網。
團體VLAN(community vlan):具有相同名稱的團體vlan中的設備可以相互通信,不同名稱的團體vlan中的設備不能相互通信。
隔離VLAN(isolated vlan):隔離vlan中的設備只能訪問外網,不能與任何vlan的中任何設備相互通信。
PVLAN中的一些使用規則:
1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”,沒有上限。
2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”,可以有多個“Community VLAN”。
3.不同“Primary VLAN”之間的任何端口都不能互相通信(這裏“互相通信”是指二層連通性)。
4.“Isolated端口”只能與“混雜端口”通信,除此之外不能與任何其他端口通信。
5.“Community端口”可以和“混雜端口”通信,也可以和同一“Community VLAN”當中的其它物理端口進行通信,除此之外不能和其他端口通信。
模擬實驗配置
配置步驟有如下幾步:
- 創建primary vlan,並將其設置爲primary vlan
- 創建community vlan,並設置爲community vlan
- 創建isolated vlan,並設置爲isolated vlan
- 在primary vlan的端口下,設置爲混雜模式,將primary vlan與isolated vlan、community vlan相關聯
- 在community vlan和isolated vlan 的主機端口下,設置爲主機模式(host),並將primary vlan分別與community vlan 和isolated vlan相關聯
GW
GW(config)#interface g0/0
GW(config-if)#ip address 192.168.1.1 255.255.255.0
GW(config-if)#no shutdown
GW(config-if)#exit
SW-1
W-1(config)#vtp mode off//僅當VTP版本1或2中的VTP處於透明/關閉模式時,以及在VTP版本3中關閉修剪時處於服務器/透明/關閉模式時,才能配置專用VLAN
//創建primary vlan
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan primary
SW-1(config-vlan)#exit
//創建community vlan
SW-1(config)#vlan 400
SW-1(config-vlan)#private-vlan community
SW-1(config-vlan)#exit
//創建isolated vlan
SW-1(config)#vlan 401
SW-1(config-vlan)#private-vlan isolated
SW-1(config-vlan)#exit
//將community vlan和isolated vlan 相關聯
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan association 400-401
SW-1(config-vlan)#exit
//設置混雜端口,並將primary vlan與community vlan、isolated vlan相關聯
SW-1(config)#interface g1/0
SW-1(config-if)#switchport mode private-vlan promiscuous
SW-1(config-if)#switchport private-vlan mapping 10 400-401
SW-1(config-if)#exit
//在community vlan和isolated vlan的主機端口下設置主機模式,並分別與primary vlan相關聯
SW-1(config)#interface range g0/0-1
SW-1(config-if-range)#switchport mode private-vlan host
SW-1(config-if-range)#switchport private-vlan host-association 10 400
SW-1(config-if-range)#exit
SW-1(config)#interface range g0/2-3
SW-1(config-if-range)#switchport private-vlan host-association 10 401
//兩臺交換機的端口進行trunk封裝
SW-1(config)#interface g1/1
SW-1(config-if)#switchport trunk encapsulation dot1q
SW-1(config-if)#switchport mode trunk
SW-1(config-if)#exit
SW-2
SW-2(config)#vtp mode off
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan primary
SW-2(config-vlan)#exit
SW-2(config)#vlan 400
SW-2(config-vlan)#private-vlan community
SW-2(config-vlan)#exit
SW-2(config)#vlan 401
SW-2(config-vlan)#private-vlan isolated
SW-2(config-vlan)#exit
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan association 400-401
SW-2(config-vlan)#exit
SW-2(config)#interface range g0/0-1
SW-2(config-if-range)#switchport mode private-vlan host
SW-2(config-if-range)#switchport private-vlan host-association 10 400
SW-2(config-if-range)#exit
SW-2(config)#interface g0/2
SW-2(config-if)#switchport mode private-vlan host
SW-2(config-if)#switchport private-vlan host-association 10 401
SW-2(config-if)#exit
//打trunk,封裝接口
SW-2(config)#interface g0/3
SW-2(config-if)#switchport trunk encapsulation dot1q
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#exit
PC4:192.168.1.4
PC5:192.168.1.5
PC6:192.168.1.6
PC7:192.168.1.7
PC8:192.168.1.8
PC9:192.168.1.9
PC10:192.168.1.10
經驗證,PC 4、PC5、PC8、PC9可以相互通信,與PC6、PC7、PC10不能通信。
PC6、PC7、PC10均只能與網關相互通信,不能與其他任何設備相互通信。