PVLAN (Private VLAN)

PVLAN即私有VLAN，(Private VLAN)，也稱“虛拟區域網路”。

PVLAN采用兩層VLAN隔離技術，隻有上層VLAN全局可見，下層VLAN互相隔離。如果将交換機或IP DSLAM裝置的每個端口劃為一個（下層）VLAN，則實作了所有端口的隔離。

PVLAN通常用于企業内部網，用來防止連接配接到某些接口或接口組的網絡裝置之間的互相通信，但卻允許與預設網關進行通信。盡管裝置處于不同VLAN中，它們可以使用相同的IP子網。

PVLAN實作在1個VLAN内的端口隔離。

所有端口都可以和混雜端口通信，群體VLAN内端口可以通信，群體VLAN間端口不能通信，隔離VLAN内部不能通信。

Primary VLAN分為三種：Primary VLAN，在Primary VLAN内的端口可以和關聯到該Primary VLAN的Isolated VLAN和Community VLAN中的端口進行通信；Isolated VLAN，在Isolated VLAN内的端口之間是隔絕的，它們隻可以和其相關聯的Primary VLAN内的端口進行通信；Community VLAN，Community VLAN内的端口之間是可以通信的，也可以和其相關聯的Primary VLAN内的端口進行通信， Community VLAN之間的端口不能互相通信；在Isolated VLAN内的端口不能和在Community VLAN内的端口進行通信。

隻有不包含任何以太網端口的VLAN才能設定為Primary VLAN，隻有設定了關聯關系的Private VLAN才能Access類型的以太網端口設定為成員端口，普通VLAN若被設定成Primary VLAN，端口将被清空。

舉例：

1-建立私有vlan的各種成員vlan

vlan 10;20;30;40

vlan 10

private-vlan primary

vlan 20

private-vlan community

exit

vlan 30

vlan 40

private-vlan isolated

2-做VLAN之間的關聯

van 20

private-vlan association 20;30;40

驗證配置

show vlan private-vlan

3-添加端口

sw in e1/1-5

sw in e1/6-10

sw in e1/11-15

sw in e1/16-24

驗證配置：

switch#show vlan private-vlan

驗證

在 VLAN10(primary vlan)中PING其餘其餘各VLAN内端口測試連通性（成功為全通）

在 VLAN20(community vlan)中PING主VLAN（10）是通的，PING隔離VLAN（40）是不通的，PING VLAN内的端口是通的，PING其它團體VLAN是不通的。

在 VLAN30(community vlan)中同VLAN20一緻。