在有些情況下,管理員希望隔離位於交換機同一VLAN中終端設備間的通信,同時還不希望將這些設備劃分進不同的IP子網中,因為劃分多個IP子網會使IP位址遭到浪費。私用VLAN技術可以隔離同一個IP子網內的二層設備。管理員可使交換機一些連線埠的流量只能達到某些與默認網關或備份伺服器相連的連線埠。在執行了這種設定之後,雖然有些設備屬於同一個VLAN,但他們之間卻不能相互通信。私用VLAN主要部署在ISP環境中。
基本介紹
- 中文名:私用VLAN
- 連線埠類型:孤立連線埠(Isolated)
- VLAN配置:將VTP模式設定為透明模式
- VLAN分類:主Pvlan
連線埠類型,VLAN分類,VLAN配置,Cisco配置,
連線埠類型
私用VLAN中的連線埠屬於以下3種類型之一。
孤立連線埠(Isolated):孤立連線埠完全與同一個Pvlan中的其他連線埠相隔離,唯一的例外是它能與雜合連線埠進行通信。私用VLAN會阻塞所有去往孤立連線埠的流量,只有從雜合連線埠發來的流量才會得到放行。而孤立連線埠收到的流量也只會傳送給雜合連線埠。
雜合連線埠(Promiscuous):雜合連線埠可以與所有VLAN中的連線埠進行通信,包括團體連線埠和孤立連線埠。雜合連線埠只是主VLAN的一部分,但是每個雜合連線埠都可以對應一個以上的輔助VLAN。雜合連線埠一般是路由器連線埠、備份或共享的伺服器連線埠、或者VLAN接口。
團體連線埠(Community):團體連線埠之間可以進行通信,它們也可以和雜合連線埠進行通信。這些接口和其他團體的接口是從二層隔離的,它們和其所在私用VLAN中的孤立連線埠也是隔離的。
VLAN分類
私用VLAN連線埠和多個支持它的VLAN相互互聯,它們構成了私用VLAN的架構。私用VLAN會用以下方式使用VLAN。
主Pvlan:這是Pvlan種的高級VLAN。主VLAN可以由多個輔助私用VLAN組成,而這些輔助VLAN與主VLAN屬於同一子網。它會將雜合連線埠發來的流量傳送給同一個主VLAN中的孤立連線埠、團體連線埠以及其他雜合連線埠。
輔助私用VLAN:每個輔助VLAN都是主VLAN的附庸VLAN,它們會被映射給主VLAN。而每台設備都會與輔助VLAN相連。
下面是兩種輔助VLAN的類型:
團體VLAN:如果某個連線埠屬於團體VLAN,那么它就不僅能夠與相同團體VLAN中的其他連線埠進行通信,而且還能夠與pVLAN的雜合連線埠進行通信。
孤立VLAN:如果某個連線埠屬於孤立VLAN,那么它就只能與雜合連線埠進行通信。孤立連線埠不能與同一個孤立VLAN中的其他連線埠進行通信。
VLAN配置
如何配置私用VLAN,管理員應該遵循以下步驟。
步驟1將VTP模式設定為透明模式。
步驟2創建輔助VLAN。
步驟3創建主VLAN。
步驟4將輔助VLAN和主VLAN進行關聯。其中,主VLAN中只能關聯一個孤立VLAN,但是可以關聯多個團體VLAN。
步驟5將一個接口配置為孤立連線埠或團體連線埠。
步驟6將這個孤立連線埠或團體連線埠關聯給主-輔助Pvlan對。
步驟7將一個接口配置為雜合連線埠。
步驟8將這個雜合連線埠映射給主-輔助Pvlan對。
Cisco配置
步驟1進入VLAN全局配置模式來配置Pvlan。
Switch(config)#vlanpvlan-id
步驟2將VLAN類型配置為pVLAN。
Switch(config-vlan)#private-vlan{community|isolated|primary}
步驟3退出配置模式。
Switch(config-vlan)#exit
步驟4進入VLAN全局配置模式來配置主VLAN。
Switch(config)#vlanprimary-vlan-id
步驟5如果配置主VLAN,要確保有二層輔助VLAN關聯到了主VLAN。
Switch(config-vlan)#private-vlanassociation{secondary-vlan-list|addsecondary-vlan-list|removesecondary-vlan-list}
步驟6選擇主VLAN的接口配置模式。
Switch(config)#interface vlanprimary-vlan-id
步驟7將輔助VLAN映射到主VLAN的三層VLAN接口,使pVLAN入口流量能夠執行三層交換。
Switch(config-if)#private-vlan mapping{secondary-vlan-list |addsecondary-vlan-list|removececondary-vlan-list}
步驟8選擇用來充當pVLAN主機或雜合連線埠的LAN連線埠。
Switch(config)#interfacetype slot|port
步驟9如果交換機連線埠默認工作在三層,那么將LAN連線埠配置為二層連線埠。
Switch(config-if)#switchport
步驟10將二層連線埠配置為pVLAN的主機連線埠或雜合連線埠。
Switch(config-if)#switchport mode private-vlan{host|promiscuous}
步驟11 為了能夠訪問pVLAN的連線埠,需要將團體或孤立死喲過VLAN關聯給pVLAN。
Switch(config-if)#switchport private-vlan host-associationprimary-vlan-id secondary-vlan-id
步驟12將雜合連線埠映射到pVLAN。
Switch(config-if)#switchport private-vlan mappingprimary-vlan-id{sencondary-vlan-list|addsecondary-vlan-list|removesecondary-vlan-list}
步驟13退出接口配置模式
