私有VLAN作用,在一个VLAN内实现隔离的效果,即同一个VLAN内的端口之间亦无法访问通信。

私有vlan含主vlan和辅助vlan,辅助vlan需要与主vlan进行关联通信

辅助vlan的类型,隔离(Isolated)和共用体(Community)

    隔离的特性,隔离vlan只能与主vlan关联通信,不能与其他任何辅助vlan通信,同一个隔离vlan内的端口之间不能互相访问

    公用体特性,共用体vlan也只能与主vlan关联通信,不能与其他辅助vlan通信,但同一个共用体vlan内的端口之间可以互相访问

私有vlan的特性

    1.所有的辅助vlan必须与一个主vlan进行关联

    2.VTP不会通告私有vlan的配置信息

    3.私有vlan在交换机上只具有本地意义

交换机端口在辅助vlan中的模式,混合(promiscuous)和主机(host)

混合,该类型端口不遵循私有vlan的规则,与私有vlan中的主vlan相关联

主机,该类型端口连接的网络设备,可以与混合端口连接的设备通信,也可以与同一个共用体vlan内的其他设备通信,与私有vlan中的辅助vlan(子vlan)向关联

cisco早期的3560,一个主vlan只能关联一个isolated vlan和最多8个community vlan。

高端的4500,6500系列交换机,一个主vlan可以关联若干个isolated和community。

只有3560以及以上的交换机才支持私有vlan的技术

私有vlan的配置

sw(config)#vlan 10

sw(config-vlan)#private-vlan isolated     //定义隔离vlan

sw(config-vlan)#exit

sw(config)#vlan 20

sw(config-vlan)#private-vlan community    //定义共用体vlan

sw(config)#vlan 100

sw(config-vlan)#private-vlan primary      //定义主vlan

sw(config-vlan)#peivata-vlan associate 10,20    //将辅助vlan与主vlan进行关联

sw(config)#interface f0/1

sw(config-if)#switchport mode private-vlan host

sw(config-if)#switchport private-vlan host-associate 100,10,20

sw(config)#interface f0/2

sw(config-if)#switchport mode private-vlan promiscuous

sw(config-if)#switchport private-vlan mapping 100,10,20

将交换机的SVI借口与辅助vlan进行关联

sw(config)#interface vlan 100

sw(config-if)#private-vlan mapping 10,20