PVLAN(Private VLAN),也称为“专用虚拟局域网”,采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。

通常用于企业内部网,用来防止连接到某些接口或接口组中的网络设备相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。

Private VLAN模拟实验_第1张图片
团体VLAN(community vlan):具有相同名称的团体vlan中的设备可以相互通信,不同名称的团体vlan中的设备不能相互通信。

隔离VLAN(isolated vlan):隔离vlan中的设备只能访问公网,不能与任何vlan的中任何设备相互通信。

PVLAN中的一些使用规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。

3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。

4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。

5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

模拟实验配置

Private VLAN模拟实验_第2张图片
配置步骤有如下几步:

  1. 创建primary vlan,并将其设置为primary vlan
  2. 创建community vlan,并设置为community vlan
  3. 创建isolated vlan,并设置为isolated vlan
  4. 在primary vlan的端口下,设置为混杂模式,将primary vlan与isolated vlan、community vlan相关联
  5. 在community vlan和isolated vlan 的主机端口下,设置为主机模式(host),并将primary vlan分别与community vlan 和isolated vlan相关联

GW

GW(config)#interface g0/0
GW(config-if)#ip address 192.168.1.1 255.255.255.0
GW(config-if)#no shutdown 
GW(config-if)#exit

SW-1

W-1(config)#vtp mode off//仅当VTP版本1或2中的VTP处于透明/关闭模式时,以及在VTP版本3中关闭修剪时处于服务器/透明/关闭模式时,才能配置专用VLAN

//创建primary vlan
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan primary 
SW-1(config-vlan)#exit

//创建community vlan
SW-1(config)#vlan 400
SW-1(config-vlan)#private-vlan community 
SW-1(config-vlan)#exit

//创建isolated vlan
SW-1(config)#vlan 401 
SW-1(config-vlan)#private-vlan isolated 
SW-1(config-vlan)#exit

//将community vlan和isolated vlan 相关联
SW-1(config)#vlan 10
SW-1(config-vlan)#private-vlan association 400-401
SW-1(config-vlan)#exit

//设置混杂端口,并将primary vlan与community vlan、isolated vlan相关联
SW-1(config)#interface g1/0
SW-1(config-if)#switchport mode private-vlan promiscuous 
SW-1(config-if)#switchport private-vlan mapping 10 400-401
SW-1(config-if)#exit

//在community vlan和isolated vlan的主机端口下设置主机模式,并分别与primary vlan相关联
SW-1(config)#interface range g0/0-1
SW-1(config-if-range)#switchport mode private-vlan host
SW-1(config-if-range)#switchport private-vlan host-association 10 400 
SW-1(config-if-range)#exit
SW-1(config)#interface range g0/2-3
SW-1(config-if-range)#switchport private-vlan host-association 10 401

//两台交换机的端口进行trunk封装
SW-1(config)#interface g1/1
SW-1(config-if)#switchport trunk encapsulation dot1q 
SW-1(config-if)#switchport mode trunk 
SW-1(config-if)#exit

SW-2

SW-2(config)#vtp mode off
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan primary 
SW-2(config-vlan)#exit
SW-2(config)#vlan 400
SW-2(config-vlan)#private-vlan community 
SW-2(config-vlan)#exit
SW-2(config)#vlan 401
SW-2(config-vlan)#private-vlan isolated 
SW-2(config-vlan)#exit
SW-2(config)#vlan 10
SW-2(config-vlan)#private-vlan association 400-401
SW-2(config-vlan)#exit
SW-2(config)#interface range g0/0-1
SW-2(config-if-range)#switchport mode private-vlan host 
SW-2(config-if-range)#switchport private-vlan host-association 10 400
SW-2(config-if-range)#exit
SW-2(config)#interface g0/2
SW-2(config-if)#switchport mode private-vlan host 
SW-2(config-if)#switchport private-vlan host-association 10 401
SW-2(config-if)#exit
//打trunk,封装接口
SW-2(config)#interface g0/3
SW-2(config-if)#switchport trunk encapsulation dot1q 
SW-2(config-if)#switchport mode trunk 
SW-2(config-if)#exit

PC4:192.168.1.4
PC5:192.168.1.5
PC6:192.168.1.6
PC7:192.168.1.7
PC8:192.168.1.8
PC9:192.168.1.9
PC10:192.168.1.10

经验证,PC 4、PC5、PC8、PC9可以相互通信,与PC6、PC7、PC10不能通信。
PC6、PC7、PC10均只能与网关相互通信,不能与其他任何设备相互通信。