現在有了一種新的VLAN機制,所有伺服器在同一個子網中,但伺服器隻能與自己的預設網關通信。這一新的VLAN特性就是專用VLAN(Private VLAN)。
在Private VLAN的概念中,交換機端口有三種類型:Isolated port,Community port, Promisc-uous port;它們分别對應不同的VLAN類型:Isolated port屬于Isolated PVLAN,Community port屬于Community PVLAN,而代表一個Private VLAN整體的是Primary VLAN,前面兩類VLAN需要和它綁定在一起,同時它還包括Promiscuous port。
在Isolated PVLAN中,Isolated port隻能和Promiscuous port通信,彼此不能交換流量;在Community PVLAN中,Community port不僅可以和Promiscuous port通信,而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機接口相連,它收到的流量可以發往Isolated port和Community port。
PVLAN的應用對于保證接入網絡的資料通信的安全性是非常有效的,使用者隻需與自己的預設網關連接配接,一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層資料通信安全性的連接配接,所有的使用者都接入PVLAN,進而實作了所有使用者與預設網關的連接配接,而與PVLAN内的其他使用者沒有任何通路。PVLAN功能可以保證同一個VLAN中的各個端口互相之間不能通信,但可以穿過Trunk端口。這樣即使同一VLAN中的使用者,互相之間也不會受到廣播的影響。
小編推薦:CCNP課程大綱全面更新【詳情】
1、設定主VLAN
SW1(config)#vlan 100
private-vlan primary
2、設定二級子VLAN
SW1(config)#vlan 101
private-vlan isolated 設定為隔離VLAN
SW1(config)#vlan 102
private-vlan community 設定為聯盟VLAN
3、将子VLAN劃入主VLAN中,建立一個聯系
private-vlan association 101-102
4、将端口設定一個模式,并劃入相應的VLAN中
int e0
switchport mode private-vlan host 設定端口的模式,根據子VLAN的類型成為相應的端口
switchport private-vlan host-association 100 101-----将端口劃入VLAN200中的子VLAN201
switchport mode private-vlan promiscuous 設定混雜端口
switchport private-vlan mapping 100 101-102 設定混雜端口所能管理的子VLAN
show vlan private-vlan
5、将輔助VLAN映射到主VLAN的第3層SVI接口,進而允許PVALN入口流量的第3層交換。
int vlan 100
private-valn mapping 101-102 設定給予哪幾個子VLAN特權,允許這幾個子VLAN下的端口通路外部的網段。
show interfaces private-vlan mapping
---本文檔由聯科教育(http://www.iLync.cn)提供,如有問題請咨詢我們的專家團隊!---
![Exchange Server 的高可用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)