【推荐】PVLAN功能的实现
何谓PVLAN,就是Private私有VLAN的意思,实际上就是说:在一个以太网环境中,存在多个用户,每个用户都相互隔离,但是它们都可以通过共同的uplink端口(Trunk)与外部互通。
该功能常见于运营商宽带网络的最低层接入中,如:以家庭为单位,每个家庭一个VLAN,各家之间是相互不通的,但每家都能正常上网!
实现方式1:
二层交换机+三层路由器组合 这种模式下: ★每个用户都处于不同的Access Vlan中,相互之间完全隔离; ★交换机的uplink口和路由器的端口都处于Trunk模式中,且包含所有的VLAN中。 简要配置: 交换机: vlan 10-33 //建立vlan数据库 ! interface FastEthernet0/1 //各个用户VLAN switchport pvid 10 ! interface FastEthernet0/2 switchport pvid 11 ! interface FastEthernet0/3 switchport pvid 12 ! interface FastEthernet0/4 ...... ! interface FastEthernet0/24 //UPlink端口 switchport mode trunk switchport trunk vlan-allow all 路由器(稍微有点复杂): interface FastEthernet 0/0 no ip address ! interface FastEthernet 0/0.1 //建立子接口,并封装802.1Q VLAN协议 encapsulation dot1q 10 ip address 10.0.0.1 255.255.255.0 ! interface FastEthernet 0/0.2 encapsulation dot1q 11 ip address 10.1.0.1 255.255.255.0 ! interface FastEthernet 0/0.3 encapsulation dot1q 12 ip address 10.2.0.1 255.255.255.0 ! interface FastEthernet 0/0.4 ...... ! interface FastEthernet 0/0.34 encapsulation dot1q 33 ip address 10.23.0.1 255.255.255.0 ! 注意点: ★每个vlan中的用户主机都配置不同的IP网段,他们都可以跟路由器上的一个字接口互通; ★由于路由器可以实现三层转发,会导致跨VLAN的网络也能通信,所以通常要在路由器上配合ACL进行控制
图片:
|
实现方式2: 一台纯以太网交换机 简要思路: 通过交换机自身802.1Q协议的控制,在交换机内部就可以实现PVLAN功能 参考配置信息: vlan 1-13,50 //建立vlan数据库 ! interface FastEthernet0/1 //各个用户VLAN switchport mode trunk switchport pvid 1 switchport trunk vlan-allow 1,50 switchport trunk vlan-untag 1,50 ! interface FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-allow 2,50 switchport trunk vlan-untag 2,50 ! interface FastEthernet0/3 switchport mode trunk switchport pvid 3 switchport trunk vlan-allow 3,50 switchport trunk vlan-untag 3,50 ! interface FastEthernet0/4 ...... ! interface FastEthernet0/24 //UPlink端口 switchport mode trunk switchport pvid 50 switchport trunk vlan-allow all switchport trunk vlan-untag all 注意点: ★这种情况下,不需要外部设备配合,在二层交换上就可以实现PVLAN功能 ★请尝试根据你了解的VLAN基础只是,分析数据帧的转发流程(可能比较复杂) ★这种情况下,我们一般建议将vlan MAC地址的shared-learning功能打开 实现方式3: 使用端口保护功能即可 实现思路: BDCOM交换机上面有一种端口保护功能,可以用来实现PVLAN应用;其实现的原理为“只有同时被保护的两个端口之间不能通讯”“不被保护的端口之间,以及保护和未被保护的端口之间,可以通讯” 参考配置: interface FastEthernet0/1 //普通用户端口 switchport protected ! interface FastEthernet0/2 switchport protected ! interface FastEthernet0/3 switchport protected ! interface FastEthernet0/4 ...... ! interface FastEthernet0/24 //UPlink上行端口 ! 注意点: ★这种情况下完全没有802.1Qtag的出现,也就是说与802.1Q协议无关;通过交换机芯片实现 ★配置简单,使用方便 ★缺点是,该功能在单台交换机上实施;不能通过多台交换机组建大型的交换网络 源地址: http://bbs.bdcom.com.cn/read.php?tid=23 |
转载于:https://blog.51cto.com/mmfrancis/256114