Private VLAN 介绍及配置
现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN(Private VLAN)。在Private VLAN的概念中,交换机端口有三种类型:Isolated port,Community port, Promisc-uous port;它们分别对应不同的VLAN类型:Isolated port属于Isolated PVLAN,Community port属于Community PVLAN,而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交换流量;在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。1、设置主VLAN
SW1(config)#vlan 100
private-vlan primary2、设置二级子VLAN
SW1(config)#vlan 101
private-vlan isolated 设置为隔离VLANSW1(config)#vlan 102
private-vlan community 设置为联盟VLAN3、将子VLAN划入主VLAN中,建立一个联系
SW1(config)#vlan 100
private-vlan association 101-1024、将端口设定一个模式,并划入相应的VLAN中int e0
switchport mode private-vlan host设置端口的模式,根据子VLAN的类型成为相应的端口
switchport private-vlan host-association 100 101-----将端口划入VLAN200中的子VLAN201int e0
switchport mode private-vlan promiscuous 设置混杂端口switchport private-vlan mapping 100 101-102 设定混杂端口所能管理的子VLAN
show vlan private-vlan5、将辅助VLAN映射到主VLAN的第3层SVI接口,从而允许PVALN入口流量的第3层交换。
int vlan 100
private-valn mapping 101-102 设置给予哪几个子VLAN特权,允许这几个子VLAN下的端口访问外部的网段。show interfaces private-vlan mapping
修养的艺术,其实就是说谎的艺术。 如果跟导师讲不清楚,那么就把他搞胡涂吧! 佛曰,色即是空,空即是色!今晚,偶想空一下 所有刻骨铭心的爱都灵魂游离于床上的瞬间! 如果回帖是一种美德,那我早就成为圣人了! 谢谢楼主,共同发展
页:
[1]