PVLAN

PVLAN（Private VLAN）私有VLAN

PVLAN的角色以及交换机端口

PVLAN角色

• Primary VLAN 主VLAN

• Secondary VLAN 辅助VLAN（子VLAN）

  • community VLAN 团体VLAN
  • isolated VLAN 隔离VLAN

规则一：所有的辅助VLAN都可以和主VLAN互相通信

规则二：每个辅助VLAN彼此之间都是隔离的，不能够相互通信

交换机端口

• 主VLAL的端口都叫做混杂端口
• 团体VLAN的端口都叫做团体端口
• 隔离VLAN的端口都叫做隔离端口

规则一：不管是团体端口还是隔离端口都可以和混杂端口相互通信

规则二：同一个团体VLAN中的团体端口彼此之间可以相互通信，不同团体VLAN中的团体端口彼此之间不互通

规则三：隔离端口只能和混杂端口通信，隔离端口和隔离端口不能通信

注意：在实际工作中，混杂端口一般都是在上行接口上配置

问题引入

要求部门A和部门B不能互通。部门A之间可以互通，部门A和部门B都可以和服务器C互通

此时在这种情况下，使用端口保护是实现不了的，这个时候就需要用到PVLAN技术，在华为设备里面局势Mux VLAN。PVLAN是思科私有的技术

PVLAN就是在一个大的VLAN的情况下，内部套一个小的VLAN。PVLAN用来定义不同VLAN的规则

应用配置

配置案例：实现PC1和PC2不通，PC1和PC2都和PC3通信

注意：交换机配置PVLAN的前提是要求交换机的VTP是透明模式

//SW
en
conf ter

//更改交换机的VTP为透明模式
vtp mode trasparent

//定义VLAN的角色
vlan 100
private-vlan isolated
exit
vlan 200
private-vlan community
exit
vlan 300
private-vlan primary
exit

//主VLAN中添加子VLAN，让主VLAN和子VLAN做一个关联
vlan 300
private-vlan association 100,200
exit

//配置交换机端口类型，并做VLAN映射
int e0/2
switchport mode private-vlan promiscuous //配置端口为混杂端口
switchport private-vlan mapping 300 100,200 //把混杂端口划分到主VLAN300，并且让他能够和子VLAN100，VLAN200通信
exit
int e0/0
switchport mode private-vlan host //用在划分到子VLAN的端口下
switchport private-vlan host-association 300 100 //配置主VLAN为300，并且配置自己所属VLAN100
exit
int e0/1
switchport mode private-vlan host
switchport private-vlan host-association 300 200
end

查看PVLAN配置结果

//SW
show vlan private-vlan

ports下面的端口显示的是能够互通通信的接口，比如说e0/0和e0/2能够进行通信

总而言之，PVLAN可以更加灵活的调配不同VLAN之间的互通问题

当子VLAN接口中的数据从trunk口出去的时候，携带的依然是子VLAN的标签。这也相当于可以跨设备配置PVLAN