思科PVLAN配置詳解

PVLAN的2種VLAN：

主要VLAN(Primary VLAN)：把流量從混雜端口傳送到隔離、團體和同一個VLAN内部的其它主要混雜端口。

輔助VLAN(Secondary VLAN)：輔助VLAN包含兩種VLAN類型：

  隔離VLAN(Isolated VLAN)：把流量從隔離端口傳送到一個混雜端口。隔離VLAN中的端口，使其不能與PVLAN(另一個團體VLAN端口或相同隔離VLAN内的端口)内部的任何其它端口進行第2層通信。若要與其它端口通信，則必須穿越混雜端口。

  團體VLAN(Community VLAN)：在相同團體VLAN内部的團體端口之間傳送流量并傳送到混雜端口，團體VLAN内的端口可以在第2層彼此通信(隻是在相同團體VLAN内部)，但是不能與其它團體或隔離VLAN的端口進行通信。若要與其它端口進行通信，則必須穿越混雜端口。

PVLAN的2種端口類型：

混雜端口(Promiscuous Port)：隸屬于“Primary VLAN”，一個混雜端口可以與所有接口通信，包括PVLAN内的隔離和團體端口；混雜端口的功能是在團體和隔離的VLAN端口之間傳遞流量。

主機端口(Host Port)：隸屬于“Secondary VLAN”，由于“Secondary VLAN”具有兩種屬性，那麼主機端口依“Secondary VLAN”屬性的不同也有兩種分類：

  隔離端口(Isolated Port)：它與PVLAN内的所有其它端口相分離，除混雜端口外；來源于隔離端口的流量僅僅傳送給混雜端口。

  團體端口(Community Port)：它在邏輯上把相同區域内部的各個端口和混雜端口結合到一起，流量可以在它們之間傳送。

PVLAN的使用規則：

1.一個“Primary PVLAN”當中隻能有1個“PromiscuousPort”；

2.一個“Primary PVLAN”當中至少有1個“SecondaryPVLAN”，但是沒有上限；

3.一個“Primary PVLAN”當中隻能有1個“IsolatedPVLAN”，可以有多個“CommunityPVLAN”；

4.不同“Primary PVLAN”之間的任何端口都不能互相通信(這裡“互相通信”是指二層連通性)；

5.“Isolated Port”隻能與“Promiscuous Port”通信，除此之外不能與任何其他端口通信；

6.“Community Port”可以和“Promiscuous Port”通信，也可以和同一“Community PVLAN”中的其它實體端

  口進行通信，除此之外不能和其他端口通信。

7.建立PVLAN前，需要配置VTP模式為Transparent，在配置PVLAN後，将不能再把模式轉變為Server和Client；

8.在配置PVLAN中，不使用VLAN1，VLAN1002 - 1005；

9.三層的VLAN接口隻能配置設定給主VLAN；

10.不能在PVLAN中配置EtherChannel；

11.假如交換機上一個端口作為SPAN的目的端口，這個端口會在配置PVLAN的後失效；

12.PVLAN的端口可以做SPAN的源端口；

13.假如在PVLAN中删除了一個VLAN，那麼屬于該VLAN的端口将失效。

機關最近更新了一台cisco3560交換機，為了隔絕廣播風暴，劃了幾個vlan,使用pvlan方式劃分，1--28口為子vlan501,其中的口可互相通訊,29-38口為vlan502,其中的口互相隔離,39-46為主vlan50的共用出口。

hostname Switch

!

enable password cisco

no aaa new-model

system mtu routing 1500

vtp mode transparent

ip subnet-zero

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

vlan internal allocation policy ascending

vlan 50

private-vlan primary    //将VLAN 50定義為主要VLAN

private-vlan association 501-502   //将流量傳輸到vlan501和502

vlan 501

private-vlan community  //将VLAN501定義為團體VLAN，團體VLAN下的端口之間可以通信

vlan 502

private-vlan isolated    //将VLAN502定義為隔離VLAN，隔離VLAN下的端口之間不能通信

interface FastEthernet0/1

switchport private-vlan host-association 50 501

switchport mode private-vlan host

interface FastEthernet0/2

interface FastEthernet0/3

interface FastEthernet0/4

interface FastEthernet0/5

interface FastEthernet0/6

interface FastEthernet0/7

interface FastEthernet0/8

interface FastEthernet0/9

interface FastEthernet0/10

interface FastEthernet0/11

interface FastEthernet0/12

interface FastEthernet0/13

interface FastEthernet0/14

interface FastEthernet0/15

interface FastEthernet0/16

interface FastEthernet0/17

interface FastEthernet0/18

interface FastEthernet0/19

interface FastEthernet0/20

interface FastEthernet0/21

interface FastEthernet0/22

interface FastEthernet0/23

interface FastEthernet0/24

interface FastEthernet0/25

interface FastEthernet0/26

interface FastEthernet0/27

interface FastEthernet0/28

interface FastEthernet0/29

switchport private-vlan host-association 50 502

interface FastEthernet0/30

interface FastEthernet0/31

interface FastEthernet0/32

interface FastEthernet0/33

interface FastEthernet0/34

interface FastEthernet0/35

interface FastEthernet0/36

interface FastEthernet0/37

interface FastEthernet0/38

interface FastEthernet0/39

switchport private-vlan mapping 50 501-502

switchport mode private-vlan promiscuous

interface FastEthernet0/40

interface FastEthernet0/41

interface FastEthernet0/42

interface FastEthernet0/43

interface FastEthernet0/44

interface FastEthernet0/45

interface FastEthernet0/46

interface FastEthernet0/47

interface FastEthernet0/48

interface GigabitEthernet0/1

interface GigabitEthernet0/2

interface GigabitEthernet0/3

interface GigabitEthernet0/4

interface Vlan1

no ip address

interface Vlan50

ip address 10.180.16.254 255.255.255.0

ip classless

ip http server

control-plane

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line vty 0 4

line vty 5 15

end

本文轉自 qq8658868 51CTO部落格，原文連結：http://blog.51cto.com/hujizhou/1671348，如需轉載請自行聯系原作者