发布时间:2013-10-09
点击量:8365
功能简介
私有VLAN(Private VLAN)将一个VLAN 的二层广播域划分成多个子域,每个子域都由一个私有VLAN 对组成:主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN)。
一个私有VLAN 域可以有多个私有VLAN 对,每一个私有VLAN 对代表一个子域。在一个私有VLAN 域中所有的私有VLAN 对共享同一个主VLAN。每个子域的辅助VLAN ID 不同。
一个私有VLAN 域中只有一个主VLAN,辅助VLAN 实现同一个私有VLAN 域中的二层隔离,有两种类型的辅助VLAN:
隔离VLAN(Isolated VLAN):同一个隔离VLAN 中的端口不能互相进行二层通信。一个私有VLAN 域中只有一个隔离VLAN。
群体VLAN(Community VLAN):同一个群体VLAN 中的端口可以互相进行二层通信,但不能与其它群体VLAN 中的端口进行二层通信。一个私有VLAN 域中可以有多个群体VLAN。
混杂端口(Promiscuous Port),属于主VLAN 中的端口,可以与任意端口通讯,包括同一个私有VLAN 域中辅助VLAN 的隔离端口和群体端口。
隔离端口(Isolated Port),隔离VLAN 中的端口,只能与混杂口通讯。
群体端口(Community port),属于群体VLAN 中的端口,同一个群体VLAN 的群体端口可以互相通讯,也可以与混杂通讯。不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。私有VLAN 中,只有主VLAN 可以创建SVI 接口,辅助VLAN 不可以创建SVI。
一、组网需求
客户内网同一个网段,想实现客户机区域A和区域B之间实现隔离,但各自区域内部都能互相访问,并且能共同访问内网的服务器。
客户机A和B、服务器都能访问外网。
二、组网拓扑
三、配置要点
划分vlan,配置vlan 的属性
相应的接口划分要相应的vlan
上联接口必须配置为混杂端口
客户机A模拟客户机区域A,客户机B模拟客户机 B
四、配置步骤:
注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置百兆接口为例。
配置vlan,修改各个vlan的属性
Ruijie(config)#vlan 10
Ruijie(config-vlan)#private-vlan primary ------>指定vlan 10为主vlan
Ruijie(config-vlan)#vlan 20
Ruijie(config-vlan)#private-vlan community ------>指定vlan20 为团体vlan
Ruijie(config-vlan)#vlan 30
Ruijie(config-vlan)#private-vlan community ------>指定vlan30为团体vlan
Ruijie(config-vlan)#vlan 10
Ruijie(config-vlan)#private-vlan association add 20,30 ------>关联主vlan和辅助vlan
2)接口1划分与客户机A
Ruijie(config)#interface FastEthernet 0/1 ------>进入交换机的第一个百兆接口
Ruijie(config-if-FastEthernet 0/1)#switchport mode private-vlan host ------>指定接口是Pvlan 的用户接口
Ruijie(config-if-FastEthernet 0/1)#switchport private-vlan host-association 10 20 ------>接口属于辅助vlan20,其主vlan是10
3)接口2划分与客户机B
Ruijie(config)#interface FastEthernet 0/2 ------>进入交换机的第二个百兆接口
Ruijie(config-if-FastEthernet 0/2)#switchport mode private-vlan host ------>指定接口是Pvlan 的用户接口
Ruijie(config-if-FastEthernet 0/2)#switchport private-vlan host-association 10 30 ------>接口属于辅助vlan30,其主vlan是10
4)接口20划分与服务器
Ruijie(config)#interface FastEthernet 0/20 ------>进入接服务器的端口,交换机的第二十个接口
Ruijie(config-if-FastEthernet 0/20)#switchport mode hybrid ------>把接口属性改为hybrid
Ruijie(config-if-FastEthernet 0/20)#switchport hybrid native vlan 10 ------>指定接口的hybrid的native vlan
Ruijie(config-if-FastEthernet 0/20)#switchport hybrid allowed vlan add untagged 20,30 ------>允许接口在传输vlan20和vlan30 不打vlan标签
5)接口24为上联路由器接口
Ruijie(config)#interface FastEthernet 0/24 ------>进入上联接口,交换机的第二十四接口
Ruijie(config-if-FastEthernet 0/24)#switchport mode private-vlan promiscuous ------>把接口属性改为Pvlan 混杂模式
Ruijie(config-if-FastEthernet 0/24)#switchport private-vlan mapping 10 add 20,30 ------>指明该接口的Pvlan属性:主vlan 是vlan 10,辅助vlan 是vlan 20和30
6)保存配置
Ruijie(config-if-FastEthernet 0/24)#end
Ruijie#write ------>确认配置正确,保存配置
五、验证命令:
Ruijie#show vlan private-vlan
VLAN Type Status Routed Ports Associated VLANs
----- ---------- -------- - ------- - ----------------------------- ------------------
10 primary active Enabled Fa0/20, Fa0/24 20,30 ------>vlan 是主vlan,辅助vlan 是vlan 10和vlan 20
20 community active Disabled Fa0/1, Fa0/20 10
30 community active Disabled Fa0/2, Fa0/20 10
