交換機是網絡的核心設備之一，其技術發展非常迅速，從10Mbit/s以太網、100Mbit/s快速以太網，進而發展到吉比特和10吉比特以太網。交換機在通信領域和企業中的應用向縱深發展，網絡管理人員對掌握專用虛拟局域網Pvlan技術的需求也越來越迫切。

本文通過實踐經驗對這方面的應用進行總結。

随着網絡的迅速發展，用戶對于網絡數據通信的安全性提出了更高的要求，諸如防範黑客攻擊、控制病毒傳 播等，都要求保證網絡用戶通信的相對安全性；傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第2層隔離 開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限。這些局限 主要有下述幾方面。

（1）VLAN的限制：交換機固有的VLAN數目的限制；（2）複雜的STP：對于每個VLAN，每個相關的Spanning Tree的拓撲都需要管理；（3）IP地址的緊缺：IP子網的劃分勢必造成一些IP地址的浪費；（4）路由的限制：每個子網都需要相應的默認網關的配置。

PVLAN技術現在有了一種新的VLAN機制，所有服務器在同一個子網中，但服務器隻能與自己的默認網關通信。這一新的VLAN特性就是專用 VLAN（Private VLAN）。在Private VLAN的概念中，交換機端口有三種類型：Isolated port，Community port， Promisc-uous port；它們分别對應不同的VLAN類型：Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個Private VLAN整體的是Primary VLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuous port.在Isolated PVLAN中，Isolated port隻能和Promiscuous port通信，彼此不能交換流量；在Community PVLAN中，Community port不僅可以和Promiscuous port通信，而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機接口相連，它收到的流量可以發往Isolated port和Community port.PVLAN的應用對于保證接入網絡的數據通信的安全性是非常有效的，用戶隻需與自己的默認網關連接，一個PVLAN不需要多個VLAN和IP子 網就提供了具備第2層數據通信安全性的連接，所有的用戶都接入PVLAN，從而實現了所有用戶與默認網關的連接，而與PVLAN内的其他用戶沒有任何訪 問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到 廣播的影響。

PVLAN(Private VLAN,私有VLAN）是指一個VLAN中，各成員雖然處于同一個子網中，但是各自隻能與自己的默認網關通信，相互之間不能通信，相當于一個VLAN内部實現了VLAN本身所具有的隔離特性。PVLAN的應用對于保證接入網絡的數據通信的安全性是很有效的，所有的用戶都接入PVLAN,從而實現了所有用戶與默認網關的連接，而與PVLAN内的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中各個端口之間不能通信，但可以穿透Trunk端口，這樣即使同一個VLAN的用戶，相互之間也不會受到廣播的影響。

混雜端口（Promiscuous Port）:一個混雜類型的端口助于主VLAN,可以與所有的接口通信，包括與主VLAN關聯的從VLAN中的共有和隔離VLAN中的端口。

隔離端口（Isolated Port):一個隔離端口是一個屬于隔離VLAN中的主機端口。這個端口與一個PVLAN域中的其他端口完全的二層隔離，除了混雜端口外，但是PVLAN會阻止所有從混雜端口到達隔離端口的通信，從隔離端口接收到的通信僅可以轉發到混雜端口上。

共有端口(Community Port)：一個共有端口是一個屬于公共VLAN的主機端口。共有端口可以與同一個公共VLAN中的其他端口通信。這些端口與所有其他公共VLAN上的端口，以及同一個PVLAN中的其他隔離端口之間都是二層隔離的。注：因為中繼可以支持VLAN在隔離、共有和混雜端口承載通信，所以隔離和共有端口通信可能通過中繼端口進入或者流出交換機。

與三類端口對應，PLAN也有三種不同類型的VLAN：主VLAN（Primary VLAN）、隔離VLAN（Isolated VLAN）和公共VLAN(Community VLAN) ，後兩種都屬于從VLAN(Secondary VLAn).

主vlan和從vlan具有以下特征：主vlan：主VLAN承載從混在端口到隔離和共有主機端口的以及到其他混雜端口的單向通信

隔離VLAN：一個PVLAN域中僅有一個隔離VLAN。一個隔離VLAN是一個承載從主機到混在端口和網關之間單向通信的從VLAN。

公共VLAN： 一個公共VLAN是一個承載從共有端口到混在端口、網關和其他在一個公共VLAN中的主機端口之間單向通信的從VLAN。

一個混雜端口僅可以服務于一個主VLAN、一個隔離VLAN和多個公共VLAN之中。三層網關是典型的通過混雜端口與交換機直接連接的情形。一個混雜端口可以連接大範圍内的設備作為PVLAN的訪問點。

Cisco-SW(config)#vlan 100Cisco-SW(config-vlan)#private-vlan primary!設置主VLAN 100

Cisco-SW(config)#vlan 200Cisco-SW(config-vlan)#private-vlan community

!設置團體VLAN 200Cisco-SW(config)#vlan 300Cisco-SW(config-vlan)#private-vlan isolated

!設置隔離VLAN 300Cisco-SW(config)#vlan 100Cisco-SW(config-vlan)#private-vlan association 200,300!将輔助VLAN關聯到主VLAN

Cisco-SW(config)#interface vlan 100Cisco-SW(config-if)#private-vlan mapping add 200,300!将輔助VLAN映射到主VLAN接口，允許pVLAN入口流量的三層交換

Cisco-SW(config)# interface fastethernet 0/2Cisco-SW(config-if)#switchport mode private-vlan hostCisco-SW(config-if)#switchport private-vlan host-association 100 200

!2号口劃入團體VLAN 200Cisco-SW(config)# interface fastethernet 0/3Cisco-SW(config-if)#switchport mode private-vlan hostCisco-SW(config-if)#switchport private-vlan host-association 100 300

!3号口劃入隔離VLAN 300Cisco-SW(config)# interface fastethernet 0/1Cisco-SW(config-if)#switchport mode private-vlan promiscuousCisco-SW(config-if)#switchport private-vlan mapping 100 add 200-300

!1号口雜合模式

Cisco-SW(config)# interface gigabitethernet1/0/2Cisco-SW(config-if)# switchport protectedPVLAN通常用于企業内部網，用來防止連接到某些接 口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。 盡管各設備處于不同的pVLAN中，它們可以使用相同的IP子網。 pVLAN 的3種port： isolated，community ，promiscuous。 PVLAN 的3種子VLAN.

PVLAN 的3種port：isolated，community ，promiscuous。

PVLAN 的3種子VLAN ：primary VLAN ， isolated VLAN(second vlan)， community VLAN(second vlan)。

PVLAN通 信範圍：primary VLAN:可以和所有他所關聯的isolated VLAN，community VLAN通信.

community VLAN：可以同那些處于相同community VLAN内的community port通信，也可以與PVLAN中的promiscuous端口通信。 （每個PVLAN可以有多個community VLAN）

isolated VLAN：不可以和處于相同isolated VLAN内的其它isolated port通信，隻可以與promisuous端口通信。 （每個PVLAN中隻能有 一個isolated VLAN）

PVLAN要求使用VTPv1或VTPv2。PVLAN必須工作于Transparent模式。禁止将第 3層VLAN接口配置為輔助VLAN。EtherChannel或SPAN目标端口不支持pVLAN。

1.把需要2層隔離的主機放到同一個isolated VLAN，或者不同的community VLAN。2.把需要2層通信的主機放到同一個community VLAN。3.公 共的服務器或者上聯端口放到primary VLAN，和本primaryVLAN和所有secondaryVLAN裡的主機是2層連通的。4.在primary VLAN上來看，所有的主機在同一個primary VLAN裡，在secondary VLAN裡的主機互相訪問的時候，才和private VLAN的配置有關。5.網關可以是 primary VLAN上配一個3層地址或者在primary VLAN上連一個路由器。所有主機在3層都是在primary VLAN的這個網段裡,所以還是可以通信的,隻是2層隔離了,因為3層接口不轉發廣播,廣播也就被隔離了,網上鄰居之類基于廣播的應用就互相看不到了.6.上聯的端口也可以是trunk,primary VLAN和secondary VLAN都可以trunk過去。vtp一 定要transparent,SPAN和vlan acl等等特性可能會有限制

IOS系統從VLAN到主VLAN的三層VLAN接口鏡像

在你鏡像從VLAN到一個主VLAN三層接口時，需要注意以下事項：“private-vlan mapping”接口配置命令僅影響PVLAN三層交換接口上的流入通信。從VLAN列表參數中不能包含空格，但可以包含多個以逗号分隔的條目。每個條目可以是一個單獨的PVLAN ID，或者以連接符表示的VLAN ID範圍。鍵入從VLAN列表或者使用帶有add關鍵字的從VLAN列表可使從VLAN鏡像到主VLAN。使用帶有remove關鍵字的從VLAN列表可清除從VLAN與主VLAN的鏡像關系。以下示例顯示了如何允許從PVLAN 303~307、309和440号VLAN流入到從VLAN的通信進行路由，并校驗配置。

配置二層接口為PVLAN主機端口在PVLAN中，隔離和公共VLAN上的端口都是用于與主機連接的端口，也就是主機端口。

示例顯示了如何配置接口fastEthernet 5/1為主VLAN ID為202，從VLAN ID為303的PVLAN主機端口，并校驗配置。

配置二層接口作為PVLAN混雜端口

配置一個二層接口作為PVLAN混雜端口時，需要注意以下事項：從VLAN列表參數中不能包含空格，但可以包含多個以逗号分隔的條目。每個條目可以是一個單獨的PVLAN ID，或者以連接符表示的VLAN ID範圍。如果VLAN啟用了鎖定功能，則在從VLAN列表中用VLAN名稱來替代VLAN ID，你必須在VLAN名之間，以及連接符兩端留有空格。鍵入從VLAN列表或者使用帶有add關鍵字的從VLAN列表可使從VLAN鏡像到PVLAN混雜端口上。示例顯示如何配置二層接口fastEthernet 5/2作為一個PVLAN混雜端口，并鏡像它到一個主VLAN ID為202，從VLAN ID為303、440的PVLAN中:

以下示例顯示了上述示例的校驗過程。

上一篇回顧

VLAN應用系列（7）華為 H3C交換機VLAN聚合功能

下一篇學習

VLAN應用系列（9）華為交換機 MUX-VLAN功能

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!