• Cisco PVLAN


    私有VLAN(PVLAN):
    为相同VLAN内不同端口提供隔离的VLAN
     PVLAN 只能在VTP transparent模式配置
    两种:
    主VLAN(PrimaryVlan)
    辅助VLAN(SecondaryVlans)

    一个主VLAN 包含多个辅助VLAN。
    好处:减少VLAN 数量、减少了IP 子网的数量。


    secondary vlan 下:可以有island port 、community port 、 promiscuous port。
    Promiscuous(混杂):能够与pVLAN中全部设备进行通信。是主VLAN的一部分/每个混杂端口可以映射多个辅助VLAN
    Isolated(隔离):可以使隔离端口和混杂模式进行通讯。
    Community(团体):可以和同一团体的端口通讯,也可以和混杂模式的端口通讯。

    可通信的端口          主VLAN端口   团体VLAN端口 隔离VLAN端口
    与主VLAN通信            是                  是                是
    与同一从VLAN通信     N/A                 是                否
    与其他从VLAN通信     N/A                  否               否

    配置命令:
    配置PVLAN 时VTP 必须使用透明模式
     第一步:定义主vlan
          switch(config)# vlan (vlan-id) 
          switch(config-vlan)# private-vlan primary
          switch(config-vlan)# exit

     第二步:设置辅助vlan,将主/辅助vlan 帮定在一起
          switch(config)# vlan (primary-vlan-id)
          switch(config-vlan)# private-vlan association {add|remove}(aue-vlan)
     第三步:
          switch(config)# interface vlan (primary-vlan-id)
          switch(config-if)# privst-vlan mapping (辅助vlan-id)
     第四步:
          Switch config-vlan # private-vlan [primary | isolated | community]   定义vlan类型
          Config-if# switchport mode private-vlan {host | promiscuous}
          配置从vlan的接口模式
          host表示团体模式或隔离模式
          promiscuous是混杂模式  
          Config-if# switchport private-vlan host-association primary_vlan_id secondary_vlan_id
          把团体端口和隔离端口划分到私有vlan中
      例如:
    Vtp mode transpoarent       必须设置成透明模式
    Vlan 202
      Private-vlan primary
      Private-vlan association 440
    Vlan 440
      Private-vlan isolated
    int fast 5/2
      switchport mode private-vlan promiscuous 设置混杂模式
      switchport private-vlan mapping 202 440  把这个端口放到主vlan中,可以和从vlan 440的端口通信
    int fast 5/1
      switchport mode private-vlan host   定义为host端口,此端口可是隔离或团体模式,具体视它加入的vlan模式而定
      switchport private-vlan host -association 202 440   定义它属于的主vlan 202中的隔离vlan440
    int vlan 202
      private-vlan mapping add 440   定义三层的虚拟端口vlan202 为私有vlan 440对外的通信端口
     第五步:校验命令
          show interfaces private_vlan mapping    查看私有vlan的配置信息
          show vlan private-vlan type             显示私有vlan的配置信息


    pVLAN当中使用的一些规则:
    1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
    2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
    3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里所将的“互相通信”是指二层连通性)。
    4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
    5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
     

    PVLAN(private VLAN)私有VLAN
    作用:能够为VLAN内不同端口之间提供隔离的VLAN,能够在一个VLAN之中实现端口之间的隔离。
    注意:配置时,VTP必须为透明模式
     
    组成:
    每个PVLAN包括两种VLAN:
    1、主VLAN
    2、辅助VLAN  又分为两种:隔离VLAN、联盟VLAN
    辅助VLAN是属于主VLAN的,一个主VLAN可以包含多个辅助VLAN。
    在一个主VLAN中只能有一个隔离VLAN,可以有多个联盟VLAN
     
    三种端口类型:
    host隔离端口---属于隔离VLAN
    host联盟端口---属于联盟VLAN
    promiscuous混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口。
     
    规则:
    在一个主VLAN中只能有一个隔离VLAN,可以有多个联盟VLAN
    隔离VLAN中的主机相互间不能访问,也不能和其它子VLAN访问,也不能和外部VLAN访问,只能与混杂端口访问
    联盟VLAN中的主机可以相互访问,可以和混杂端口访问,但不能和其它子VLAN访问,也不能和外部VLAN访问
     
    1、设置主VLAN
    SW1(config)#vlan 200
      private-vlan primary 
    2、设置二级子VLAN
    SW1(config)#vlan 201
      private-vlan isolated    设置为隔离VLAN
    SW1(config)#vlan 202
      private-vlan community   设置为联盟VLAN
    3、将子VLAN划入主VLAN中,建立一个联系
    SW1(config)#vlan 200
      private-vlan association 201-202
    SW1(config)#vlan 200
      private-vlan association add 203   加入一个子VLAN
      private-vlan association remove 203  移除一个子VLAN
    4、将端口设定一个模式,并划入相应的VLAN中
    int e0
      switchport mode private-vlan host  设置端口的模式,根据子VLAN的类型成为相应的端口
      switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201

    int e0
      switchport mode private-vlan promiscuous   设置混杂端口
      switchport private-vlan mapping 200 201-202    设定混杂端口所能管理的子VLAN
      switchport private-vlan mapping 200 add/remove 203    增加或移除一个可管理的子VLAN

    show vlan private-vlan
     
    5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。
    int vlan 200
      private-valn mapping 201-202    设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。
    show interfaces private-vlan mapping

    PVLAN原理
    PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。 
      pVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中,它们可以使用相同的IP子网。
      每个pVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN(Secondary VLAN)。
      辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
      pVLAN中的两种接口类型:处在pVLAN中的交换机物理端口,有两种接口类型。
      ①混杂端口(Promiscuous Port)
      ②主机端口(Host Port)
      其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的,那么,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类——“isolated端口”和“community端口”。
      处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。
      pVLAN通信范围:
      primary VLAN:可以和所有他所关联的isolated VLAN,community VLAN通信。
      community VLAN:可以同那些处于相同community VLAN内的community port通信,也可以与pVLAN中的promiscuous端口通信。 (每个pVLAN可以有多个community VLAN)
      isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信,只可以与promisuous端口通信。 (每个pVLAN中只能有一个isolated VLAN)
      pVLAN当中使用的一些规则:
      1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
      2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
      3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。
      4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
      5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

    pvlan的解释
    对于pvlan看了许多之后有些摸不到头脑,在网上看了此篇文章后有些明了。转过来供大家参考
    pVLAN基本概念:
    1.规则VLAN域
         一个常规的VLAN实际上就可以看作是一个规则的VLAN域。比如VLAN100,我们可以将它看作是一个“域”,这个“域”的编号,或者说名字是“VLAN100”。

    2.子域、Primary VLAN、Secondary VLAN
         pVLAN就是把一个规则的VLAN域划分为一个或多个子域。当把一个规则的VLAN域划分子域后,原来的“规则VLAN域”现在就叫做“Primary Vlan”,这个“Primary VLAN”编号,或者说名字就是原来“规则VLAN域”的名字。
         划分出来的子域我们把它叫做“Secondary VLAN”,这个VLAN是有两种属性。

    3.“Secondary VLAN”的属性、“Isolated VLAN”、“Community VLAN”
         “Secondary VLAN”有两种属性:一种是“isolated”,我们把它叫做“Isolated VLAN”;另一种是“community”,我们把它叫做“Community VLAN”。一个“Secondary VLAN”必须、且只能被赋予其中某一种属性。这两种属性的“Secondary VLAN”都有一些规则,下面我们会讲到。

    4.pVLAN中的两种接口类型
         处在pVLAN中的交换机物理端口,有两种接口类型:
    ①混杂端口(Promiscuous Port)
    ②主机端口(Host Port)
         其中“混杂端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的。     前面我们说过,因为“Secondary VLAN”是具有两种属性的,那么可想而知,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类---“isolated端口”和“community端口”。
         处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口,要么就是“community”端口。

    下面说一下pVLAN当中使用的一些规则:
    1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
    2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
    3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里所将的“互相通信”是指二层连通性)。
    4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
    5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

  • 相关阅读:
    Python 模块chardet安装 setup.py
    Windows下Python安装lxml
    intellij idea 如何更改比编辑器文本字体和大小
    [转]C#设计模式(8)-Builder Pattern
    [转]C#设计模式(4)-Simple Factory Pattern
    [转]C#委托的异步调用
    [转]浅谈C#中常见的委托
    C# 线程池
    [转]C#中的委托和事件(续)
    C#(.net)中的DllImport
  • 原文地址:https://www.cnblogs.com/cyrusxx/p/12824333.html
Copyright © 2020-2023  润新知