私有VLAN

Private VLAN 技术原理及典型配置一、应用背景服务提供商如果给每个用户一个 VLAN ，则由于一台设备支持的VLAN 数最大只有4096 而限制了服务提供商能支持的用户数；在三层设备上，每个VLAN 被分配一个子网地址或一系列地址，这种情况导致IP 地址的浪费，一种解决方法就是应用Private VLAN 技术。

私有VLAN(Private VLAN)将一个VLAN 的二层广播域划分成多个子域，每个子域都由一个私有VLAN 对组成：主VLAN(Primary VLAN)和辅助VLAN(SecondaryVLAN)。

二、PVLAN 角色一个私有VLAN 域可以有多个私有VLAN 对，每一个私有VLAN 对代表一个子域。

在一个私有VLAN 域中所有的私有VLAN 对共享同一个主VLAN 。

每个子域的辅助VLAN ID 不同。

一个私有VLAN 域中只有一个主VLAN （Primary VLAN ），辅助VLAN 实现同一个私有VLAN 域中的二层隔离，有两种类型的辅助VLAN ：◆ 隔离VLAN(Isolated VLAN)：同一个隔离VLAN 中的端口不能互相进行二层通信。

一个私有VLAN 域中只有一个隔离VLAN 。

◆ 群体VLAN(Community VLAN)：同一个群体VLAN 中的端口可以互相进行二层通信，但不能与其它群体VLAN 中的端口进行二层通信。

一个私有VLAN 域中可以有多个群体VLAN 。

三、端口角色混杂端口（Promiscuous Port ），属于主VLAN 中的端口，可以与任意端口通讯，包括同一个私有VLAN 域中辅助VLAN 的隔离端口和群体端口。

隔离端口(Isolated Port)，隔离VLAN 中的端口，只能与混杂口通讯。

群体端口(Community port)，属于群体VLAN 中的端口，同一个群体VLAN 的群体端口可以互相通讯，也可以与混杂通讯。

不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。

华为3COM交换机PVLAN配置使用PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN 通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

网络协议知识：MPLS协议和VLAN协议的联系与区别MPLS协议和VLAN协议是两种常见的网络协议，在现代网络技术中都扮演着重要的角色。

本文将从MPLS协议和VLAN协议的定义、特点、联系和区别等方面进行分析和探讨，以帮助读者更好地理解和应用这两种协议。

一、MPLS协议的定义和特点MPLS（Multiprotocol Label Switching）协议是一种基于标签的分组转发技术，可以高效地处理大量数据流量和优先级服务。

MPLS协议的主要特点是通过对数据包进行标记，实现了基于标签的快速数据转发，提高了网络性能和吞吐量。

同时，MPLS协议还具有以下特点：1.灵活性高：MPLS协议可以支持不同类型的网络流量和服务，满足各种不同网络需求。

2.控制平面和转发平面分离：为网络管理和维护提供了便利。

3.支持质量服务（QoS）：MPLS协议可以根据不同的标签来实现网络流量的优先级，提高网络性能和用户体验。

4.支持虚拟专线（VPLS）和虚拟私有网络（VPN）等功能，实现了更加安全的数据传输和隔离。

二、VLAN协议的定义和特点VLAN（Virtual LAN）协议是一种基于逻辑分区的局域网技术，通过在物理网络上建立逻辑网络实现不同用户或设备之间的隔离和通信。

VLAN协议的主要特点是将网络分区，实现隔离和控制，同时VLAN还具有以下特点：1.灵活性高：VLAN协议可以根据不同的需求创建不同的虚拟网段，实现更好的网络资源利用。

2.安全性高：VLAN协议可以通过隔离和控制不同用户或设备之间的通信，提高网络的安全性。

3.管理简单：VLAN协议可以通过软件管理，实现网络资源的自动分配和控制，减少运维成本。

三、MPLS协议和VLAN协议的联系和区别MPLS协议和VLAN协议都是一种基于标识的分组转发技术，但两者在应用场景、网络结构和功能特点等方面存在一些区别。

1.应用场景不同MPLS协议主要应用于公网，适合于大规模数据传输和优质服务的实现；而VLAN协议主要应用于企业内部网络，适合于实现不同部门之间的隔离和通信。

VLAN的主要作用有两点，一是提高网络安全性，阻止未经授权的VLAN访问，二是提高网络传输效率，将广播隔离在子网之内。

因此，VLAN划分是网管交换机最基本的配置之一。

VLAN配置策略在配置VLAN时，应当遵循以下策略方针：∙在VTP客户端、服务器和透明模式中，交换机支持1005个vlan∙标准序列VLAN的ID号为1~1001。

vlan号为1002~1005是Token Ring 和 FDDI VLAN。

∙V LAN 1~1005通常被保存在VLAN数据库中。

如果VTP模式时透明的，VTP和VLAN配置也保存在交换机运行配置文件中∙在VTP透明模式（VTP禁用）中，交换机也支持VLAN id 1006~4094。

该扩展序列VLAN和配置选项被限制。

扩展序列VLAN不能被保存在VLAN数据库。

∙在创建vlan之前，交换机必须处于VTP服务器模式或VTP透明模式。

如果交换机是VTP服务器，必须定义VTP域或VTP将失去作用。

∙交换机支持128个生成树场合。

如果交换机有太多的活动VLAN，超过所支持的扩展树，扩展树将在128个vlan启用，并且禁用其得vlanVLAN默认配置属性默认范围VLAN ID11-4094扩展范围VLAN(ID6-4094)不能被保存在VLAN数据库VLAN名称VLANxxxx，其中xxxx表示为与VLAN ID相同的数字，包括0开头的VLAN ID没有范围IEEE 802.10 SAID100 001(100 000加VLAN ID)1-4294967294MTU大小15001500-18190vlan状态活动，挂起远程span2-1001，1006-4094私有vlan配置VLAN创建VLAN共需要两个步骤，先是创建VLAN,然后，再将相关接口指定至该VLAN。

∙创建VLAN∙switch#configure terminal∙switch(config)# vlan vlan_id：以太网vlan—id的取值范围为1-1001。

VLAN标签VLAN标签用来指示VLAN的成员，它封装在能够穿越局域网的帧里。

这些标签在数据包进入VLAN的某一个交换机端口的时候被加上，在从VLAN 的另一个端口出去的时候被去除。

根据VLAN 的端口类型会决定是给帧加入还是去除标签。

VLAN 中的两类接口类型是指接入端口和骨干端口。

接入端口接入端口用在帧接入或者离开VLAN时。

当接入端口收到一个帧的时候，帧并没有包含一个VLAN标签。

一旦帧进入接入端口，会给帧加入VLAN标签。

当帧在交换机里面的时候，附着进入接入端口时被附上的VLAN标签。

当帧通过目的接入端口离开交换机的时候，VLAN标签就被去除了。

传输设备和接收设备并不知道收到的帧曾经被加过VLAN标签。

骨干端口网络中包含多于一个交换机的时候，必须把VLAN标签的帧从一个交换机传到另一个交换机。

骨干端口和接入端口的区别是骨干端口在传出帧之前，不会去除VLAN的标签。

保留了VLAN标签，接收交换机就能知道传输帧属于哪一个VLAN。

帧就可以传送到接收交换机的合适端口。

VLAN标签技术每一个VLAN标记帧包含指明自身所属VLAN的字段。

有两种种主要的VLAN标签格式，思科公司的Inter-Swith Link（ISL）格式和标准的802.1Q 格式。

思科ISLInter-SwithLink（ISL）格式是思科私有VLAN标签格式。

在使用的时候，VLAN标签在每个帧的头部增加26 字节信息，在帧尾部附加4 字节CRC。

标签的格式如下：基于802.1Q标准的标签ISL是思科公司的私有格式，而802.1Q是IEEE的标准格式。

802.1Q 标准允许VLAN 标记帧可以在不同厂家的交换机之间传递。

802.1Q 标签比ISL 标签包含更少的域，是插入帧而不是放入帧头。

PVLAN(private VLAN)私有VLAN作用：能够为VLAN内不同端口之间提供隔离的VLAN，能够在一个VLAN之中实现端口之间的隔离。

注意：配置时，VTP必须为透明模式组成：每个PVLAN包括两种VLAN：1、主VLAN2、辅助VLAN 又分为两种：隔离VLAN、联盟VLAN辅助VLAN是属于主VLAN的，一个主VLAN可以包含多个辅助VLAN。

在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN三种端口类型：host隔离端口---属于隔离VLANhost联盟端口---属于联盟VLANpromiscuous混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口。

规则：在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN隔离VLAN中的主机相互间不能访问，也不能和其它子VLAN访问，也不能和外部VLAN 访问，只能与混杂端口访问联盟VLAN中的主机可以相互访问，可以和混杂端口访问，但不能和其它子VLAN访问，也不能和外部VLAN访问1、设置主VLANSW1（config）#vlan 200private-vlan primary2、设置二级子VLANSW1（config）#vlan 201private-vlan isolated 设置为隔离VLANSW1（config）#vlan 202private-vlan community 设置为联盟VLAN3、将子VLAN划入主VLAN中,建立一个联系SW1（config）#vlan 200private-vlan association 201-202SW1（config）#vlan 200private-vlan association add 203 加入一个子VLAN private-vlan association remove 203 移除一个子VLAN4、将端口设定一个模式，并划入相应的VLAN中int e0switchport mode private-vlan host 设置端口的模式，根据子VLAN的类型成为相应的端口switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201int e0switchport mode private-vlan promiscuous 设置混杂端口switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLANswitchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLANshow vlan private-vlan5、将辅助VLAN映射到主VLAN的第3层SVI接口，从而允许PVALN入口流量的第3层交换。

ISP 的客户通常需要多台服务器拥有Internet 接入但要求每一个客户的通信流隔离客户自己的服务器之间要求能够互访传统解决方案：给每个客户划分一个VLAN 并分配一个IP 子网，使用一台3层设备来连接这些子网。

传统解决方案存在如下的问题1.为每一个客户提供一个VLAN，ISP的设备必须有大量的接口。

2.随着VLAN数量的增加，生成树将越来越复杂。

3.维护多个VLAN意味着需要维护多个ACL，这增加了网络配置的复杂程度。

采用私有VLAN的解决方案：私有VLAN在同一个私有VLAN中的端口之间提供了2层隔离，从而无需为每个客户提供一个独立的VLAN和IP子网。

可以将同一个IP子网中的地址分配给各个客户。

私有VLAN的这种特性能够提供这样一个安全环境；多台主机或设备甚至多个客户连接到同一个网段，但彼此完全隔离主VLAN和辅助VLANPVLAN采用二层VLAN的结构，包括2种VLAN：主VLAN和辅助VLAN。

一个Primary vlan和多个Secondary vlan对应。

辅助VLAN包含真实的端口。

PVLAN定义使用混杂端口，它能够与PVLAN中的全部设备进行通信。

混杂端口只是主VLAN的一部分。

每个混杂端口可以映射多个辅助VLAN。

混杂端口通常是路由器的端口或VLAN接口。

辅助VLAN包括如下2种类型的VLAN隔离VLAN：如果端口属于隔离VLAN，那么它就只能与混杂端口进行通信。

隔离端口不能与相同隔离VLAN中的其它端口通信团体VLAN：如果端口属于团体VLAN，那么它就不仅能与相同团体VLAN中的其它端口进行通信。

而且还能与PVLAN中的混杂端口通信PVLAN 类型及端口类型私有VLAN 端口类型：混杂（Promiscuous）端口：可以与其它所有端口通信隔离（Isolated）端口：仅允许与混杂端口通信团体（Community）端口：允许与混杂端口以及同一团体中的其它端口通信私有VLAN 类型：主（Primary）VLAN：由混杂端口使用，用于与PVLAN 中的其它所有端口通信隔离（Isolated）VLAN：由隔离端口使用，用于与混杂端口通信团体（Community）VLAN：由团体端口使用来相互通信以及与混杂端口通信。

关于private-vlan功能的描述私有VLAN（Private VLAN）是一种网络技术，它提供了一种有效的方法来隔离和保护网络中的不同设备和用户。

本文将对私有VLAN功能进行详细描述，并探讨其在网络中的应用。

私有VLAN是一种扩展VLAN技术，它通过在一个VLAN中细分出多个子VLAN的方式实现设备之间的隔离。

与传统的VLAN不同，私有VLAN允许将一个VLAN划分为主VLAN和辅助VLAN。

主VLAN是一个普通的VLAN，而辅助VLAN则是在主VLAN内进一步划分的子VLAN。

辅助VLAN之间是相互隔离的，而主VLAN可以与所有辅助VLAN进行通信。

私有VLAN功能主要有以下几个方面的作用：1. 设备隔离：私有VLAN允许将不同的设备隔离在同一个VLAN中，从而提供了一种有效的方法来保护网络中的不同设备。

例如，在一个企业内部网络中，可以将服务器、工作站和打印机等设备分别划分到不同的辅助VLAN中，以防止恶意用户通过攻击一台设备来入侵整个网络。

2. 用户隔离：私有VLAN还可以将同一个VLAN中的用户进行隔离。

在一个公共网络中，可以将不同的用户划分到不同的辅助VLAN中，以保护用户的隐私和安全。

例如，在一个公共Wi-Fi网络中，可以将每个用户划分到一个独立的辅助VLAN中，从而防止用户之间的攻击和干扰。

3. 子网划分：私有VLAN还可以用于划分子网。

在一个大型网络中，可以将不同的子网划分到不同的辅助VLAN中，以提高网络性能和安全性。

例如，在一个数据中心中，可以将不同的服务器划分到不同的辅助VLAN中，以降低广播风暴和网络拥塞的风险。

4. 安全增强：私有VLAN可以提供一种额外的安全层，以保护网络中的数据和通信。

通过限制辅助VLAN之间的通信，私有VLAN可以防止潜在的攻击者通过网络中的其他设备进行攻击和入侵。

此外，私有VLAN还可以通过配置访问控制列表（ACL）和安全策略来限制辅助VLAN之间的通信，从而进一步增强网络的安全性。

VLAN（Virtual Local Area Network）是一种将一个物理局域网划分成多个逻辑子网的技术。

它可以将同一物理网段上的用户划分为不同的广播域，从而限制广播风暴的扩散范围，提高网络的安全性。

VLAN的划分原理是将网络中的设备根据其功能、部门或其他需要进行分组，然后将每个组分配到一个VLAN。

VLAN之间的通信需要通过路由器或三层交换机才能进行。

VLAN的划分有两种主要方式：基于端口和基于MAC地址。

•基于端口的VLAN划分：这种划分方式是将交换机上的端口分配到不同的VLAN。

当一个设备连接到交换机上的某个端口时，它就会自动加入该端口所对应的VLAN。

•基于MAC地址的VLAN划分：这种划分方式是将网络中的设备根据其MAC 地址分配到不同的VLAN。

当一个设备连接到网络时，交换机会根据其MAC 地址将其分配到相应的VLAN。

VLAN的划分可以带来很多好处，包括：•提高网络的安全性：VLAN可以将网络中的设备划分为不同的广播域，从而限制广播风暴的扩散范围。

这可以防止恶意软件或广播攻击在整个网络中传播。

•改善网络性能：VLAN可以减少广播流量，从而提高网络的性能。

这是因为广播流量只会发送到与源设备位于同一个VLAN中的其他设备。

•简化网络管理：VLAN可以使网络管理更加简单。

这是因为网络管理员可以将网络划分为多个更小的子网，然后分别管理每个子网。

VLAN的划分还可以用于实现一些高级网络功能，例如：•多播：VLAN可以用于实现多播。

多播是一种将数据同时发送到多个设备的技术。

VLAN可以将网络中的设备划分为不同的多播组，然后将多播数据只发送到与源设备位于同一个多播组中的其他设备。

•VPN：VLAN可以用于实现VPN（Virtual Private Network）。

VPN是一种在公共网络上建立私有网络的技术。

VLAN可以将网络中的设备划分为不同的VPN组，然后将VPN数据只发送到与源设备位于同一个VPN组中的其他设备。

PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN 全局可见，下层VLAN相互隔离。

每个pVLAN包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN （community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）Catalyst3560，45，65系列支持配置pVLAN的实例：SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan primary!设置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan community!设置团体VLAN 200SwitchA(config)#vlan 300SwitchA(config-vlan)#private-vlan isolated!设置隔离VLAN 300SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association 200,300!将辅助VLAN关联到主VLANSwitchA(config)#interface vlan 100SwitchA(config-if)#private-vlan mapping add 200,300!将辅助VLAN映射到主VLAN接口，允许三层交换SwitchA(config)# interface fastethernet 0/2SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200!2号口划入团体VLAN 200SwitchA(config)# interface fastethernet 0/3SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 300!3号口划入隔离VLAN 300SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchport private-vlan mapping 100 add 200-300!1号口杂合模式CatOS的配置set vlan 100 pvlan-type primaryset vlan 200 pvlan-type communityset vlan 300 pvlan-type isolatedset pvlan 100 200 5/1set pvlan 100 300 5/2set pvlan mapping 100,200 15/1set pvlan mapping 100,300 15/1 //指定混杂模式的接口参考资料：关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedCatalyst 29 35系列支持网关及共享口不敲protected 即可通信pVLAN(Private VLAN，私用VLAN)是能够为相同VLAN内不同端口之间提供隔离的VLAN。

IEEE802.1Q与ISL汇聚方式在交换机的汇聚链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。

附加VLAN信息的方法，最具有代表性的有：l IEEE802.1Ql ISL更多资料尽在网络之路空间;【把学习当做生活，每天都在进步！】 /KUCqX2现在就让我们看看这两种协议分别如何对数据帧附加VLAN信息。

IEEE802.1QIEEE802.1Q，俗称“Dot One Q”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。

在此，请大家先回忆一下以太网数据帧的标准格式。

IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（Type Field）”之间。

具体内容为2字节的TPID和2字节的TCI，共计4字节。

在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。

这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。

技术博客 /1914756383/而当数据帧离开汇聚链路时，TPID和TCI会被去除，这时还会进行一次CRC的重新计算。

TPID的值，固定为0x8100。

交换机通过TPID，来确定数据帧内附加了基于IEEE802.1Q的VLAN信息。

而实质上的VLAN ID，是TCI中的12位元。

由于总共有12位，因此最多可供识别4096个VLAN。

基于IEEE802.1Q附加的VLAN信息，就像在传递物品时附加的标签。

因此，它也被称作“标签型VLAN（Tagging VLAN）”。

ISL（Inter Switch Link）ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。

使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。

私有 VLAN（Private VLAN）是一种在局域网中实现网络隔离和安全控制的技术，它可以帮助管理员更好地管理网络流量和提高网络的安全性。

本文将介绍private vlan的基本原理，包括private vlan的概念、工作原理和应用场景。

一、private vlan的概念私有VLAN（Private VLAN）是一种VLAN扩展技术，它通过将一个普通的VLAN划分成多个子VLAN，从而在同一个VLAN中实现更细粒度的隔离和安全控制。

与普通VLAN不同的是，private vlan中存在两种端口：普通端口和边缘端口。

普通端口只能与边缘端口通信，而边缘端口可以与普通端口通信，但不能与其他边缘端口通信。

这种特殊的结构使得private vlan能够灵活地实现不同层次的网络隔离和安全控制。

二、private vlan的工作原理private vlan的工作原理主要包括VLAN划分、VLAN隔离和VLAN 通信三个步骤。

1. VLAN划分管理员需要在交换机上创建private vlan，并将其划分成主VLAN和子VLAN。

主VLAN是private vlan的根VLAN，子VLAN是主VLAN下的二级VLAN。

每个子VLAN都有自己的VLAN ID和VLAN 类型，可以独立配置。

2. VLAN隔离在private vlan中，边缘端口和普通端口的通信是受限的。

边缘端口之间无法直接通信，只能通过与其相连的普通端口进行通信。

这一特性实现了在同一个VLAN中的不同隔离级别。

管理员还可以通过配置VLAN隔离功能，限制边缘端口之间的通信。

3. VLAN通信虽然private vlan中存在边缘端口和普通端口这两种不同类型的端口，但它们在通信的时候并不受影响。

边缘端口可以与普通端口通信，而且不同子VLAN之间的通信也是允许的。

在实际应用中，用户之间的通信可以通过private vlan进行细粒度的控制。

三、private vlan的应用场景private vlan可以在各种网络环境中进行应用，尤其适合对网络隔离和安全性要求较高的场景。

Private Vlan一、理论支持Private vlan可以在多交换机的环境下，实现类似端口保护的行为，即某些同一vlan内的设备也不可以通信。

Private VLAN分为主vlan和辅助vlan，主vlan可以来映射辅助vlan，辅助vlan分为community vlan和isolated vlan。

端口角色：混杂端口（promiscuous，会有主vlan 映射辅助vlan）可以和辅助vlan的端口通信；community vlan中的设备可以和本community vlan中的设备通信（其他community vlan不可以），也可以和混杂端口中的设备通信；Isolated vlan中的设备只可以和混杂端口中的设备通信；混杂端口可以和任何辅助vlan中的端口通信Private仅仅能在3560及更高级设备上使用，3550不可以二、拓扑描述由于设备有限，本实验只有一台3560和两台路由器模拟主机。

路由器上已经分别配置了10.1.1.1/24和10.1.1.2/24的地址三、实验步骤步骤一、设置VTP的模式对Private VLAN来说，VTP的模式必须是Transprant模式，否则会提示修改VTP的模式Sw1(config)#vtp mode transparent这一步是必须的，否则不能配置验证：Sw1#sh vtp statusVTP Version capable : 1 to 3VTP version running : 1VTP Domain Name : EnderVTP Pruning Mode : DisabledVTP Traps Generation : DisabledDevice ID : 9caf.ca47.8c00Configuration last modified by 0.0.0.0 at 3-1-93 02:04:09Feature VLAN:--------------VTP Operating Mode : TransparentMaximum VLANs supported locally : 1005Number of existing VLANs : 12Configuration Revision : 0MD5 digest : 0x08 0x42 0xBC 0x15 0xB6 0xC7 0xAA 0x350x46 0x21 0x07 0xB9 0xBD 0xB4 0xBE 0x19步骤二、创建主vlan和辅助vlan，并把辅助vlan关联到主vlan在本实验中定义了vlan100为主vlan，vlan201（isolated vlan）和vlan202（communty vlan）为辅助vlan配置如下：Sw1(config)#vlan 100Sw1(config-vlan)#private-vlan primary ---定义主vlan，暂时没有关联辅助vlanSw1(config)#vlan 201Sw1(config-vlan)#private-vlan isolated---定义辅助vlan的isolated vlan为201Sw1(config-vlan)#vlan 202Sw1(config-vlan)#private-vlan community ---定义辅助vlan的community vlan为202Sw1(config)#vlan 100Sw1(config-vlan)#private-vlan association 201-202---关联辅助vlan到主vlan 100验证：Sw1#sh vlan private-vlanPrimary Secondary Type Ports------- --------- ----------------- ------------------------------------------100 201 isolated100 202 community此时还没有任何接口和vlan有联系，所以接口的位置为空步骤三、把接口关联到vlan，即端口角色现在有了混杂端口以及其他两种主机类型由于本实验只有一台3560，所以我们只能多次修改端口角色来满足效果①f0/9口是混杂端口，f0/10划入community vlan （202），此时连接9口和10口的设备可以通信Sw1(config)#int f0/9Sw1(config-if)#switchport mode private-vlan promiscuous ---把接口定义为混杂端口，则它可以和任意辅助vlan的端口通信，但此时还没有映射辅助vlan，所以接口会down*Mar 1 00:18:38.998: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/9, changed state to downSw1(config-if)#switchport private-vlan mapping 100 201-202---此命令意为把接口划入vlan100（主），可以和辅助vlan201-202的接口通信Sw1(config-if)#*Mar 1 00:19:22.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/9, changed state to up再来配置10口：Sw1(config)#int f0/10Sw1(config-if)#switchport mode private-vlan host ---端口角色为辅助vlan中的主机，接口会down，直至和vlan映射*Mar 1 00:21:43.488: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/10, changed state to downSw1(config-if)#switchport private-vlan host-association 100 202----把该接口划入辅助vlan202 Sw1(config-if)#end*Mar 1 00:22:32.646: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/10, changed state to up我们做验证：Sw1# sh vlan private-vlanPrimary Secondary Type Ports------- --------- ----------------- ------------------------------------------100 201 isolated Fa0/9100 202 community Fa0/9, Fa0/10现在有了端口角色，我们发现9和10口都属于community和主vlan 100Sw1#sh int f0/9 switchportName: Fa0/9Switchport: EnabledAdministrative Mode: private-vlan promiscuousOperational Mode: private-vlan promiscuous----混杂端口Administrative Trunking Encapsulation: negotiateOperational Trunking Encapsulation: nativeNegotiation of Trunking: OffAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabledVoice VLAN: noneAdministrative private-vlan host-association: noneAdministrative private-vlan mapping: 100 (VLAN0100) 201 (VLAN0201) 202 (VLAN0202) ---映射了vlan 202和201的辅助vlanAdministrative private-vlan trunk native VLAN: noneAdministrative private-vlan trunk Native VLAN tagging: enabledAdministrative private-vlan trunk encapsulation: dot1qAdministrative private-vlan trunk normal VLANs: noneAdministrative private-vlan trunk associations: noneAdministrative private-vlan trunk mappings: noneOperational private-vlan:100 (VLAN0100) 201 (VLAN0201) 202 (VLAN0202)验证10口的情况：Sw1#sh int f0/10 switchportName: Fa0/10Switchport: EnabledAdministrative Mode: private-vlan hostOperational Mode: private-vlan hostAdministrative Trunking Encapsulation: negotiateOperational Trunking Encapsulation: nativeNegotiation of Trunking: OffAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabledVoice VLAN: noneAdministrative private-vlan host-association: 100 (VLAN0100) 202 (VLAN0202) Administrative private-vlan mapping: noneAdministrative private-vlan trunk native VLAN: noneAdministrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1qAdministrative private-vlan trunk normal VLANs: noneAdministrative private-vlan trunk associations: noneAdministrative private-vlan trunk mappings: noneOperational private-vlan:100 (VLAN0100) 202 (VLAN0202)Trunking VLANs Enabled: ALLPruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALL我们到路由器上pingR2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms②9口还是混杂端口，10口划入isolated vlan201Sw1(config)#int f0/10Sw1(config-if)#switchport private-vlan host-association 100 201Sw1#sh vlan private-vlanPrimary Secondary Type Ports------- --------- ----------------- ------------------------------------------100 201 isolated Fa0/9, Fa0/10---对比之前的情况，现在10口划入了isolated vlan 201100 202 community Fa0/9Sw1#sh int f0/10 switchportName: Fa0/10Switchport: EnabledAdministrative Mode: private-vlan hostOperational Mode: private-vlan hostAdministrative Trunking Encapsulation: negotiateOperational Trunking Encapsulation: nativeNegotiation of Trunking: OffAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabledVoice VLAN: noneAdministrative private-vlan host-association: 100 (VLAN0100) 201 (VLAN0201) Administrative private-vlan mapping: noneAdministrative private-vlan trunk native VLAN: noneAdministrative private-vlan trunk Native VLAN tagging: enabledAdministrative private-vlan trunk encapsulation: dot1qAdministrative private-vlan trunk normal VLANs: noneAdministrative private-vlan trunk associations: noneAdministrative private-vlan trunk mappings: noneOperational private-vlan:100 (VLAN0100) 201 (VLAN0201)验证：R2#R2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms此时由于还是混杂端口的设备和isolated vlan的设备通信所以没有问题但是如果还有更多的设备，Isolated vlan中的设备将只能和混杂端口的设备通信（同一辅助vlan的也不可以），community vlan的设备将只能和本community vlan和混杂端口中的设备通信，不可以和isolated vlan以及其他community vlan中的设备通信实验完成欢迎大家继续关注Ender的文档以及更多视频：//ender/。

private vlan基本原理Private VLAN（私有VLAN）是一种网络技术，用于提供更细粒度的网络分割和隔离。

它允许在单个VLAN中创建子区域，以控制通信流量的流向和访问权限。

这个特性在大型网络环境中很有用，比如数据中心、酒店、办公楼等需要物理隔离的环境。

在传统的VLAN中，所有成员设备在同一个广播域中，它们可以彼此直接通信。

然而，在特定的场景下，我们希望进一步隔离设备之间的通信，以提供更高的安全性和性能。

这就是私有VLAN的用武之地。

私有VLAN的基本原理是通过将端口分为主端口（Primary Ports）、从端口（Secondary Ports）和孤立端口（Isolated Ports）的方式，将一个VLAN划分为多个子区域。

每个子区域都有不同的安全策略，控制成员设备之间的通信流量。

主端口是连接普通设备的端口，它们可以相互直接通信，也可以与从端口通信。

从端口也可以与主端口通信，但不能通过从端口进行直接通信。

孤立端口是最受限制的，它们只能与主端口通信，不能与其他孤立端口或从端口通信。

所有成员设备都可以与网关设备通信，它负责子区域之间的连接。

网关设备将通信流量从一个子区域路由到另一个子区域。

每个子区域都有一个独立的网关设备作为默认网关。

私有VLAN可以提供以下几个主要优势：1.安全性增强：通过限制设备之间的直接通信以及细粒度的访问控制，私有VLAN可以降低安全风险。

例如，在一个办公楼中，不同的用户组可以被隔离在不同的子区域中，防止潜在的安全漏洞通过网络传播。

2.资源隔离：私有VLAN可以将网络流量在不同的子区域之间进行隔离。

这可以提高网络性能，并防止某个子区域中的流量干扰其他子区域的设备。

3. IP地址管理：私有VLAN使得IP地址管理更加简化。

每个子区域只需要一个IP网关，而不需要为每个设备分配独立的IP地址。

总结起来，私有VLAN通过将VLAN划分为多个子区域，以及对通信流量和访问权限的细粒度控制，可以提供更高的安全性和性能。

iSpirit 3026交换机快速配置指南(软件版本：iSpirit3026 1V12.img)（Version 1.0）联想网络行业方案处2004年12月目录一．基于PORT（端口）的VLAN配置 (4)二. 基于802.1Q的VLAN配置 (7)三．私有VLAN配置 (10)四．VLAN内端口隔离配置 (15)五．STP（生成树）配置 (16)六．TRUNK 端口聚合配置 (18)七. MIRROR （端口镜像）配置 (20)八．CONFIGURATION文件备份 (21)九．IMAGE软件升级 (22)十．SNMP配置 (24)十一．MAC 绑定配置 (26)十二．IP绑定配置 (27)十三. ACL访问控制列表配置 (29)十四. 802.1X认证 (36)十五. 子网配置 (38)十六. 二层静态组播 (40)十七. 密码恢复 (41)十八. 交换机映像文件损坏的处理方法 (42)附件：配置超级终端 (46)一．基于PORT（端口）的VLAN配置1. 网络需求有两个用户，用户1和用户2，两个用户由于所使用的网络功能和环境不同，需要分别处于不同的VLAN中。

用户1在VLAN2，连接端口2；用户2在VLAN3，连接端口3。

2. 配置步骤Switch# vlan 2 // 创建vlan 2Vlan 2 addedSwitch(vlan-2)#exitSwitch# vlan 3 // 创建vlan 3Vlan 3 addedSwitch(vlan-3)# vlan 2 // 在创建vlan 2 之后，就可在配置模式下 输入vlan 2 ，进入vlan 2的配置模式Switch(vlan-2)# untag 2 // 将端口2 加入vlan 2，如果还有其它端口要加入vlan 2，那么在 vlan 2 模式下，untag x （x为其它端口号）Switch(vlan-2)# vlan 3 //进入vlan 3 配置模式Switch(vlan-3)# untag 3 //将端口3 加入vlan 3，如果还有其它端口要加入vlan 3，那么在 vlan 3 模式下，untag x （x为其它端口号）3.排错如果配置后，发现不同VLAN之间的PC机不能通信，那是正常现象，因为不同VLAN之间要进行通信，必须要经过三层的路由转发。

私有VLan配置
目录
1 私有VLan配置............................................................................ - 1 -
1.1 概述.................................................................................... - 1 -
1.2 pvlan配置 .......................................................................... - 1 -
1 私有VLan配置
1.1 概述
PVLAN（Private VLAN 私有VLAN）采用两层隔离技术实现复杂端口业务隔离功能，可以实现网络安全，广播与隔离功能。

在一个私有的VLAN，PVLANs提供在同一个广播域2层端口之间的隔离。

隔离端口配置作为PVLAN的一部分，它们之间不能互相通信。

一个PVLAN成员端口可以互相通信。

VLAN ID和私有VLAN ID可以是相同的。

1.2 pvlan配置
使用下面的命令可以配置：
注：彼此隔离的端口不通信。

隔离的端口和没隔离的端口可以通信。

配置完后，用户可以使用命令show pvlan 查看相应的配置。

配置举例
(config-if)# pvlan 3
(config-if)# pvlan isolation
- 1 -。

简介PVLAN(Private VLAN 私有VLAN)通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的PVLAN中，它们可以使用相同的IP子网。

在PVLAN中，交换机端口有3种类型：Isolated Port(隔离端口)、Community Port(团体端口)和Promiscuous Port(混杂端口)；它们分别对应不同的VLAN类型：Isolated Port属于Isolated PVLAN，Community Port属于Community PVLAN，而代表一个Private VLAN整体的是Primary PVLAN(主私有VLAN)，前面两类VLAN也称为Secondary PVLAN(辅助私有VLAN)，它们需要和Primary PVLAN绑定在一起，Promiscuous Port属于Primary PVLAN。

传统VLAN的局限性：随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。

这些局限主要有下述几方面：1.VLAN的限制：交换机固有的VLAN数目的限制；2.复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；3.IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；4.路由的限制：每个子网都需要相应的默认网关的配置。

PVLAN简介PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN 内的其它用户没有任何访问。