博达路由器常见功能教学5

【推荐】PVLAN功能的实现

    何谓PVLAN，就是Private私有VLAN的意思，实际上就是说：在一个以太网环境中，存在多个用户，每个用户都相互隔离，但是它们都可以通过共同的uplink端口（Trunk）与外部互通。

    该功能常见于运营商宽带网络的最低层接入中，如：以家庭为单位，每个家庭一个VLAN，各家之间是相互不通的，但每家都能正常上网！

实现方式1： 二层交换机＋三层路由器组合 这种模式下： ★每个用户都处于不同的Access Vlan中，相互之间完全隔离； ★交换机的uplink口和路由器的端口都处于Trunk模式中，且包含所有的VLAN中。   简要配置： 交换机： vlan 10-33        //建立vlan数据库 ! interface FastEthernet0/1        //各个用户VLAN  switchport pvid 10 ! interface FastEthernet0/2   switchport pvid 11 ! interface FastEthernet0/3  switchport pvid 12 ! interface FastEthernet0/4  ...... ! interface FastEthernet0/24        //UPlink端口   switchport mode trunk  switchport trunk vlan-allow all   路由器（稍微有点复杂）： interface FastEthernet 0/0  no ip address ! interface FastEthernet 0/0.1      //建立子接口，并封装802.1Q VLAN协议  encapsulation dot1q 10  ip address 10.0.0.1 255.255.255.0 ! interface FastEthernet 0/0.2  encapsulation dot1q 11  ip address 10.1.0.1 255.255.255.0 ! interface FastEthernet 0/0.3  encapsulation dot1q 12  ip address 10.2.0.1 255.255.255.0 ! interface FastEthernet 0/0.4  ...... ! interface FastEthernet 0/0.34  encapsulation dot1q 33  ip address 10.23.0.1 255.255.255.0 !   注意点： ★每个vlan中的用户主机都配置不同的IP网段，他们都可以跟路由器上的一个字接口互通； ★由于路由器可以实现三层转发，会导致跨VLAN的网络也能通信，所以通常要在路由器上配合ACL进行控制   图片:

实现方式2： 一台纯以太网交换机   简要思路： 通过交换机自身802.1Q协议的控制，在交换机内部就可以实现PVLAN功能   参考配置信息： vlan 1-13,50        //建立vlan数据库 ! interface FastEthernet0/1        //各个用户VLAN  switchport mode trunk  switchport pvid 1  switchport trunk vlan-allow 1,50  switchport trunk vlan-untag 1,50 ! interface FastEthernet0/2  switchport mode trunk  switchport pvid 2  switchport trunk vlan-allow 2,50  switchport trunk vlan-untag 2,50 ! interface FastEthernet0/3  switchport mode trunk  switchport pvid 3  switchport trunk vlan-allow 3,50  switchport trunk vlan-untag 3,50 ! interface FastEthernet0/4  ...... ! interface FastEthernet0/24        //UPlink端口   switchport mode trunk  switchport pvid 50  switchport trunk vlan-allow all  switchport trunk vlan-untag all   注意点： ★这种情况下，不需要外部设备配合，在二层交换上就可以实现PVLAN功能 ★请尝试根据你了解的VLAN基础只是，分析数据帧的转发流程（可能比较复杂） ★这种情况下，我们一般建议将vlan MAC地址的shared-learning功能打开   实现方式3： 使用端口保护功能即可   实现思路： BDCOM交换机上面有一种端口保护功能，可以用来实现PVLAN应用；其实现的原理为“只有同时被保护的两个端口之间不能通讯”“不被保护的端口之间，以及保护和未被保护的端口之间，可以通讯”   参考配置： interface FastEthernet0/1        //普通用户端口  switchport protected ! interface FastEthernet0/2  switchport protected ! interface FastEthernet0/3  switchport protected ! interface FastEthernet0/4  ...... ! interface FastEthernet0/24        //UPlink上行端口 !   注意点： ★这种情况下完全没有802.1Qtag的出现，也就是说与802.1Q协议无关；通过交换机芯片实现 ★配置简单，使用方便 ★缺点是，该功能在单台交换机上实施；不能通过多台交换机组建大型的交换网络 源地址： http://bbs.bdcom.com.cn/read.php?tid=23

转载于:https://blog.51cto.com/mmfrancis/256114