PVLAN即私有VLAN,(Private VLAN),也称“虚拟局域网”。
PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。
PVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管设备处于不同VLAN中,它们可以使用相同的IP子网。
PVLAN实现在1个VLAN内的端口隔离。
所有端口都可以和混杂端口通信,群体VLAN内端口可以通信,群体VLAN间端口不能通信,隔离VLAN内部不能通信。
Primary VLAN分为三种:Primary VLAN,在Primary VLAN内的端口可以和关联到该Primary VLAN的Isolated VLAN和Community VLAN中的端口进行通信;Isolated VLAN,在Isolated VLAN内的端口之间是隔绝的,它们只可以和其相关联的Primary VLAN内的端口进行通信;Community VLAN,Community VLAN内的端口之间是可以通信的,也可以和其相关联的Primary VLAN内的端口进行通信, Community VLAN之间的端口不能相互通信;在Isolated VLAN内的端口不能和在Community VLAN内的端口进行通信。
只有不包含任何以太网端口的VLAN才能设置为Primary VLAN,只有设置了关联关系的Private VLAN才能Access类型的以太网端口设置为成员端口,普通VLAN若被设置成Primary VLAN,端口将被清空。

举例:


wKioL1NPKLHDAhZeAAHHUmAd620938.png


1-创建私有vlan的各种成员vlan


vlan 10;20;30;40
vlan 10
private-vlan primary
vlan 20
private-vlan community
exit
vlan 30
private-vlan community
exit
vlan 40
private-vlan isolated
exit
2-做VLAN之间的关联
van 20
private-vlan association 20;30;40
exit
验证配置
show vlan private-vlan
3-添加端口
vlan 10
sw in e1/1-5
exit
vlan 20
sw in e1/6-10
exit
vlan 30
sw in e1/11-15
exit
vlan 40
sw in e1/16-24
exit

验证配置:


switch#show vlan private-vlan


验证


在 VLAN10(primary vlan)中PING其余其余各VLAN内端口测试连通性(成功为全通)


在 VLAN20(community vlan)中PING主VLAN(10)是通的,PING隔离VLAN(40)是不通的,PING VLAN内的端口是通的,PING其它团体VLAN是不通的。


在 VLAN30(community vlan)中同VLAN20一致。


在 VLAN40(Isolated vlan)中PING主VLAN是通的,PING其余所有端口均无法PING通。