私有VLAN学习笔记

私有VLAN作用，在一个VLAN内实现隔离的效果，即同一个VLAN内的端口之间亦无法访问通信。

私有vlan含主vlan和辅助vlan，辅助vlan需要与主vlan进行关联通信

辅助vlan的类型，隔离（Isolated）和共用体（Community）

    隔离的特性，隔离vlan只能与主vlan关联通信，不能与其他任何辅助vlan通信，同一个隔离vlan内的端口之间不能互相访问

    公用体特性，共用体vlan也只能与主vlan关联通信，不能与其他辅助vlan通信，但同一个共用体vlan内的端口之间可以互相访问

私有vlan的特性

    1.所有的辅助vlan必须与一个主vlan进行关联

    2.VTP不会通告私有vlan的配置信息

    3.私有vlan在交换机上只具有本地意义

交换机端口在辅助vlan中的模式，混合（promiscuous）和主机（host）

混合，该类型端口不遵循私有vlan的规则，与私有vlan中的主vlan相关联

主机，该类型端口连接的网络设备，可以与混合端口连接的设备通信，也可以与同一个共用体vlan内的其他设备通信，与私有vlan中的辅助vlan（子vlan）向关联

cisco早期的3560，一个主vlan只能关联一个isolated vlan和最多8个community vlan。

高端的4500,6500系列交换机，一个主vlan可以关联若干个isolated和community。

只有3560以及以上的交换机才支持私有vlan的技术

私有vlan的配置

sw(config)#vlan 10

sw(config-vlan)#private-vlan isolated     //定义隔离vlan

sw(config-vlan)#exit

sw(config)#vlan 20

sw(config-vlan)#private-vlan community    //定义共用体vlan

sw(config)#vlan 100

sw(config-vlan)#private-vlan primary      //定义主vlan

sw(config-vlan)#peivata-vlan associate 10,20    //将辅助vlan与主vlan进行关联

sw(config)#interface f0/1

sw(config-if)#switchport mode private-vlan host

sw(config-if)#switchport private-vlan host-associate 100,10,20

sw(config)#interface f0/2

sw(config-if)#switchport mode private-vlan promiscuous

sw(config-if)#switchport private-vlan mapping 100,10,20

将交换机的SVI借口与辅助vlan进行关联

sw(config)#interface vlan 100

sw(config-if)#private-vlan mapping 10,20