pVLAN的配置

pVLAN(Private VLAN ，私用 VLAN) 是能够为相同 VLAN 内不同端口之间提供隔离的 VLAN 。通过隔离相同 VLAN 之中的网络设备之间的流量， Cisco 所提出的 pVLAH 能够提高安全性、降低 IP 子网数目和降低 VLAN 利用率。

 

每个 PVLAN 包括 2 种 VLAN: 主 VLAN 和辅助 VLAN

主 VLAN: 主 PVLAN 是 PVLAN 中的高级 VLAN. 主 VLAN 由很多个辅助 VLAN 组成，且辅助 VLAN 属于主 VLAN 的相同子网 .

 

辅助 VLAN: 辅助 VLAN 是主 VLAN 的子代，并且映射到一个主 VLAN 。每台设备连接到辅助 PVLAN

 

Promiscuous 端口 PVLAN 中的全部设备进行通信 . 混杂端口只是主 VLAN 的一部分。每个混杂端口可以映射到多个辅助 VLAN 。混杂端口通常是路由器端口，备分服务器或者 VLAN 接口 .

 

辅助 VLAN 包括如下两种类型 :

 

团体 VLAN- 如果端口属于团体 VLAN ，那么它就不仅能够与相同团体 VLAN 中的其他端口进行

通信，而且还能够与 PVLAN 的混杂端口进行通信。

 

隔离 VLAN- 如果端口属于隔离 VLAN ，那么它只能与混杂端口进行通信 . 隔离 VLAN 端口不能与相同隔离 VLAn 中的其他端口进行通信 .

 

PVLAN 、

在配置 PVALN 的时候，因为只有 VTP 透明模式支持 PVLAN, 所以必须首先将交换机配置为 VTP 透明模式 .

 

 

步骤1:在开始配置PVLAN之前，首先将交换机VTP模式为透明模式.
AS1(config-vlan)#vtp mode transparent
步骤2:在交换机AS1，创建主Pvlan 100，团体Pvlan 101 和隔离Pvlan 102。此外，建立辅助Pvlan和主pvlan 的关联.
AS1(config-vlan)#vlan 100
AS1(config-vlan)#private-vlan primary //将VLAN100配置为主pVLAN
AS1(config-vlan)#private-vlan association  101-102 //建立辅助pVLAN与主pVLAN的关联
AS1(config-vlan)#vlan 101
AS1(config-vlan)#private-vlan community  //将VLAN101配置为团体pVLAN
AS1(config-vlan)#vlan 102
AS1(config-vlan)#private-vlan isolated  //将VLAN102配置为隔离pVLAN

步骤3:将VLAN100配置为主PVLAN，并且将其映射到辅助PVLAN101 和102.
AS1(config)#interface vlan 100
AS1(config-if)#no shut
AS1(config-if)#private-vlan mapping 101,102 //将辅助pVLAN映射到第3层VLAN接口以实现路由功能

步骤4:在交换机AS1上，将主机A的接口配置为Pvlan 101的成员，将主机B的接口配置为Pvlan 102的成员.

AS1(config)#interface fastEtherne t 2/3
AS1(config-if)#description Host_A
AS1(config-if)#swithport
AS1(config-if)#swithport mode private-vlan host  //将端口配置为主机端口
AS1(config-if)#swithport private-vlan host-association 100 101  //建立第2层接口与pVLAN的关联
AS1(config-if)#no shutdown
AS1(config-if)#interface fastethernet 2/4
AS1(config-if)#description Host_B
AS1(config-if)#swithport
AS1(config-if)#swithport mode private-vlan host  //将端口配置为主机端口

AS1(config-if)#swithport private-vlan host-association 100 102  //建立第2层接口与pVLAN的关联

AS1(config-if)#no shutdown

步骤5:验证私用VLAN配置,并且确认主机A不能成功ping通主机B