配置私有VLAN(PVLAN)

vlan的配置流程
1. 进入特权模式
首先需要进入路由器或交换机的特权模式,输入命令"enable"并输入密码。

2. 创建VLAN
使用命令"vlan vlan-id"创建一个新的VLAN,其中vlan-id是VLAN 的编号(1-4094)。

3. 为VLAN指定名称(可选)
可以使用命令"name vlan-name"为VLAN指定一个名称,以便于识别。

4. 配置VLAN接口
使用命令"interface vlan vlan-id"进入VLAN接口配置模式。

在此模式下,可以为VLAN配置IP地址等参数。

5. 将端口分配到VLAN
使用命令"switchport mode access"将端口设置为非干线模式,再使用"switchport access vlan vlan-id"将端口分配到指定的VLAN。

6. 保存配置
最后,使用命令"copy running-config startup-config"将配置保存到启动配置文件中,以防重启后配置丢失。

VLAN的配置过程包括创建VLAN、配置VLAN接口、将端口分配到VLAN等步骤。

正确配置VLAN有助于网络的合理划分和安全管理。

PVALN配置Pvlan主要用于对同于广播域中的主机，进行隔离，提供网络安全性。

每个PVLAN包括2中VLAN：主VLAN（primary）和辅助VALN（secondary）Secondary VLAN分为：隔离VLAN（isolated）和团体VLAN（community）PVLAN中有2中接口类型：主机端口（host port），和混杂端口（promiscuous port）如下图：如图配置后，主机1,2,3,4都可以访问外网，主机3,4可以互访，而主机1,2，不能访问局域网的主机，只能访问外网。

配置步骤如下：1. 使交换机处于VTP transparent模式，CD-C3750E-02(config)#vtp mode transparent2. 如图创建VLAN 100,200,201。

关联VALNSwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan primary 配置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan isolated配置隔离VLAN 200SwitchA(config)#vlan 201SwitchA(config-vlan)#private-vlan community配置团体VLAN 201 SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association add 200,201 使主VLAN关联辅助VLAN3. 把配置接口SwitchA(config)# interface range gig1/0/40 -41SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200 把G1/0/40和G1/0/41 划入主机接口，且关联到isolated VLAN 200SwitchA(config)# interface range gig1/0/42 - 43SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 201 把G1/0/42和G1/0/41划入主机接口，且关联到community VLAN 201 SwitchA(config)# interface range gig1/0/44SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchportpricate-vlan mapping 100 200,201配置G1/0/44 划入为混杂接口，切映射到VLAN 100 200 2014. 查看SwitchA#shvlan private-vlanPrimary Secondary Type Ports------- --------- ----------------- ------------------------------------------100 200 isolated Gi1/0/40, Gi1/0/41, Gi1/0/44100 201 community Gi1/0/42, Gi1/0/43, Gi1/0/44 5.测试。

Private VLAN 技术原理及典型配置一、应用背景服务提供商如果给每个用户一个 VLAN ，则由于一台设备支持的VLAN 数最大只有4096 而限制了服务提供商能支持的用户数；在三层设备上，每个VLAN 被分配一个子网地址或一系列地址，这种情况导致IP 地址的浪费，一种解决方法就是应用Private VLAN 技术。

私有VLAN(Private VLAN)将一个VLAN 的二层广播域划分成多个子域，每个子域都由一个私有VLAN 对组成：主VLAN(Primary VLAN)和辅助VLAN(SecondaryVLAN)。

二、PVLAN 角色一个私有VLAN 域可以有多个私有VLAN 对，每一个私有VLAN 对代表一个子域。

在一个私有VLAN 域中所有的私有VLAN 对共享同一个主VLAN 。

每个子域的辅助VLAN ID 不同。

一个私有VLAN 域中只有一个主VLAN （Primary VLAN ），辅助VLAN 实现同一个私有VLAN 域中的二层隔离，有两种类型的辅助VLAN ：◆ 隔离VLAN(Isolated VLAN)：同一个隔离VLAN 中的端口不能互相进行二层通信。

一个私有VLAN 域中只有一个隔离VLAN 。

◆ 群体VLAN(Community VLAN)：同一个群体VLAN 中的端口可以互相进行二层通信，但不能与其它群体VLAN 中的端口进行二层通信。

一个私有VLAN 域中可以有多个群体VLAN 。

三、端口角色混杂端口（Promiscuous Port ），属于主VLAN 中的端口，可以与任意端口通讯，包括同一个私有VLAN 域中辅助VLAN 的隔离端口和群体端口。

隔离端口(Isolated Port)，隔离VLAN 中的端口，只能与混杂口通讯。

群体端口(Community port)，属于群体VLAN 中的端口，同一个群体VLAN 的群体端口可以互相通讯，也可以与混杂通讯。

不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。

Cisco PVLAN 详解PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

每个pVLAN包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）Catalyst3560， 45、65系列支持配置pVLAN的实例：SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlanprimary!设置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan community!设置团体VLAN 200SwitchA(config)#vlan 300SwitchA(config-vlan)#private-vlan isolated!设置隔离VLAN 300SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association 200,300!将辅助VLAN关联到主VLANSwitchA(config)#interface vlan 100SwitchA(config-if)#private-vlan mapping add200,300!将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换SwitchA(config)# interface fastethernet 0/2SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200!2号口划入团体VLAN 200SwitchA(config)# interface fastethernet 0/3SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 300!3号口划入隔离VLAN 300SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchport private-vlan mapping 100 add200-300!1号口杂合模式关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedPVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

Cisco PVLAN的配置∙2010/05/09∙网络技术∙1,890 views∙没有评论PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）Catalyst3560， 45， 65系列支持配置pVLAN的实例：SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlanprimary!设置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan community!设置团体VLAN 200SwitchA(config)#vlan 300SwitchA(config-vlan)#private-vlan isolated!设置隔离VLAN 300SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association 200,300!将辅助VLAN关联到主VLANSwitchA(config)#interface vlan 100SwitchA(config-if)#private-vlan mapping add200,300!将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换SwitchA(config)# interface fastethernet 0/2SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200!2号口划入团体VLAN 200SwitchA(config)# interface fastethernet 0/3SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 300!3号口划入隔离VLAN 300SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchport private-vlan mapping 100 add200-300!1号口杂合模式CatOS的配置set vlan 100 pvlan-type primaryset vlan 200 pvlan-type communityset vlan 300 pvlan-type isolatedset pvlan 100 200 5/1set pvlan 100 300 5/2set pvlan mapping 100,200 15/1set pvlan mapping 100,300 15/1 //指定混杂模式的接口参考资料：/n6630/blog/item/c6e6974cb3d362fdd62afc64.html /133058/56824/coghost/blog/item/4f4dfb22e3bdd5a24723e83e.html /view/1065646.htm关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedCatalyst 29 35系列支持网关及共享口不敲protected 即可通信。

PVLAN注意事项：PVLAN 只能在VTP transparent模式配置PVLAN 在一个primary vlan下可以有多个secondary vlansecondary vlan 下：可以有island port 、community port 、promiscuous port。

island port 仅可以和promiscuous port 相互通信。

community port 可以和communi ty port 、promiscuous port 相互通信。

Unicast Reverse Path Forwarding (uRPF) does not work well with PVLAN host ports, so uRPF must not beused in combination with PVLAN.（uRPF 端口不可以用在PVLAN host port上，不能与PVLAN结合使用）。

可通信的端口主VLAN端口公共VLAN端口孤立VLAN端口与主VLAN通信是是是与同一从VLAN通信N/A 是否与其他从VLAN通信N/A 否否配制命令：第一步：定义主vlanswitch（config）# vlan （vlan-id）switch（config－vlan）# private-vlan primaryswitch（config－vlan）# exit第二步：设置辅助vlan，将主/辅助vlan 帮定在一起switch（config）# vlan （primary-vlan-id）switch（config-vlan）# private-vlan association ｛add|remove｝（aue-vlan）第三步：switch（config）# interface vlan （primary-vlan-id）switch（config－if）# privst-vlan mapping （辅助vlan－id）第四步：Switch config-vlan # private-vlan [primary | isolated | community] 定义vl an类型Config-if# switchport mode private-vlan {host | promiscuous}配置从vlan的接口模式host表示团体模式或隔离模式promiscuous是混杂模式Config-if# switchport private-vlan host-association primary_vlan_id second ary_vlan_id把团体端口和隔离端口划分到私有vlan中例如：Vlan 202Private-vlan primaryPrivate-vlan association 440Vtp mode transpoarent 必须设置成透明模式Vlan 440Private-vlan isolatedint fast 5/2switchport mode private-vlan promiscuous 设置混杂模式switchport private-vlan mapping 202 440 把这个端口放到主vlan中，可以和从vlan 440的端口通信int fast 5/1switchport mode private-vlan host 定义为host端口，此端口可是隔离或团体模式，具体视它加入的vlan模式而定switchport private-vlan host –association 202 440 定义它属于的主vlan 202中的隔离vlan440int vlan 202private-vlan mapping add 440 定义三层的虚拟端口vlan202 为私有vlan 440对外的通信端口第五步：校验命令show interfaces private_vlan mapping 查看私有vlan的配置信息show vlan private-vlan type 显示私有vlan的配置信息。

拓扑图：隔离VLAN(Isolated VLAN)：同一个隔离VLAN 中的端口不能互相进行二层通信，一个私有VLAN 域中只有一个隔离VLAN。

群体VLAN(Community VLAN)：同一个群体VLAN 中的端口可以互相进行二层通信，但不能与其它群体VLAN 中的端口进行二层通信。

一个Private VLAN域中可以有多个群体VLAN。

注意：在配置PVLAN之前必须在全局模式下将VTP关闭或者将VTP模式更改为Transparent，这一步是必须的，否则不能配置PVLAN且会出现如下日志信息：%Private VLANs can only be configured when VTP is in transparent/off modes in VTP version 1 or 2 and in server/transparent/off modes in VTP version 3 when pruning is turned off关闭VTP：vtp mode off更改为Transparent模式：vtp mode transparent配置命令（基于全局配置模式）：SW1:vlan 10int vlan 10ip add 192.168.10.254 255.255.255.0no shuint e0/0sw mo acsw ac vlan 10exitip dhcp pool vlan10network 192.168.10.0 255.255.255.0default-router 192.168.10.254SW2：vtp mode off //关闭VTPvlan 10name primary_vlanprivate-vlan primary //定义主vlanprivate-vlan association 20,30 //关联辅助vlanvlan 20name community_vlanprivate-vlan community //定义辅助vlan的communityvlan 30name isolated_vlanprivate-vlan isolated //定义辅助vlan的isolated（隔离vlan）exitint range e0/0-1switchport mode private-vlan hostswitchport private-vlan host-association 10 20 //将接口划分进辅助vlan20 int e0/2switchport mode private-vlan hostswitchport private-vlan host-association 10 30 //将接口划分进辅助vlan30 interface Ethernet1/0switchport mode private-vlan promiscuous //更改该端口为混杂端口switchport private-vlan mapping 10 20,30 //映射vlanint e0/3sw tr en dosw mo trSW3:vtp mode offvlan 10name primary_vlanprivate-vlan primaryprivate-vlan association 20,30vlan 20name community_vlanprivate-vlan communityvlan 30name isolated_vlanprivate-vlan isolatedint e0/0switchport mode private-vlan hostswitchport private-vlan host-association 10 20int e0/1switchport mode private-vlan hostswitchport private-vlan host-association 10 30int e0/2sw tr en dosw mo tr验证：由于我们将SW1作为DHCPserver，现在来验证主机地址获取情况：验证可以看出，主机获取的地址主机位均和自己的编号一致：VPC1的地址为：192.168.10.1VPC2的地址为：192.168.10.2VPC3的地址为：192.168.10.3VPC4的地址为：192.168.10.4VPC5的地址为：192.168.10.5vlan及接口划分验证：VTP模式验证：所有主机均能Ping通网关地VPC1 ping VPC2:由于VPC1、VPC2属于同一群体vlan（community vlan），因此是互通的VPC4 ping VPC1:VPC1 ping VPC3:不同的群体vlan不能通信VPC3 ping VPC5:同一个隔离VLAN 中的端口不能互相进行二层通信。

关于PVLAN和Super VLANPVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

VLAN原理和配置VLAN（Virtual Local Area Network）是一种通过逻辑方式将局域网划分为多个虚拟局域网的技术。

VLAN的出现可以使得我们可以更加灵活地管理网络，提高网络性能和安全性。

下面将详细介绍VLAN的原理和配置方法。

1.VLAN原理：VLAN的优点：(1)安全性：不同的VLAN之间需要通过路由器通信，可以有效隔离网络，提高安全性。

(2)节省网络带宽：可以根据需要将不同的设备划分到不同的VLAN，减少冗余数据的传输，从而提高网络带宽利用率。

(3)管理灵活性：可以根据需要创建和删除VLAN，方便管理和维护。

2.VLAN的配置：VLAN的配置包括创建VLAN和将端口划分到VLAN两个步骤。

具体操作如下：(1)创建VLAN：a.进入交换机的命令行界面。

b. 输入“vlan database”命令进入VLAN数据库模式。

c. 输入“vlan VLAN_ID name VLAN_NAME”命令创建一个新的VLAN，其中VLAN_ID是VLAN的ID号，VLAN_NAME是VLAN的名称。

d. 输入“exit”命令退出VLAN数据库模式。

(2)将端口划分到VLAN：a.进入交换机的命令行界面。

b. 输入“interface INTERFACE_NAME”命令，其中INTERFACE_NAME 是需要配置的端口名称。

c. 输入“switchport access vlan VLAN_ID”命令，将端口划分到指定的VLAN。

d. 输入“exit”命令退出端口配置模式。

需要注意的是，不同品牌和型号的交换机可能存在些许差异，所以在具体操作时还需参考对应设备的操作手册。

3.VLAN的管理：在配置VLAN过程中，也需要对VLAN进行管理。

主要包括VLAN的命名和VLAN接口的配置。

具体操作如下：(1)VLAN命名：a.进入交换机的命令行界面。

b. 输入“show vlan”命令查看当前的VLAN列表。

简介PVLAN(Private VLAN 私有VLAN)通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的PVLAN中，它们可以使用相同的IP子网。

在PVLAN中，交换机端口有3种类型：Isolated Port(隔离端口)、Community Port(团体端口)和Promiscuous Port(混杂端口)；它们分别对应不同的VLAN类型：Isolated Port属于Isolated PVLAN，Community Port属于Community PVLAN，而代表一个Private VLAN整体的是Primary PVLAN(主私有VLAN)，前面两类VLAN也称为Secondary PVLAN(辅助私有VLAN)，它们需要和Primary PVLAN绑定在一起，Promiscuous Port属于Primary PVLAN。

传统VLAN的局限性：随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。

这些局限主要有下述几方面：1.VLAN的限制：交换机固有的VLAN数目的限制；2.复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；3.IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；4.路由的限制：每个子网都需要相应的默认网关的配置。

PVLAN简介PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN 内的其它用户没有任何访问。

私有 VLAN（Private VLAN）是一种在局域网中实现网络隔离和安全控制的技术，它可以帮助管理员更好地管理网络流量和提高网络的安全性。

本文将介绍private vlan的基本原理，包括private vlan的概念、工作原理和应用场景。

一、private vlan的概念私有VLAN（Private VLAN）是一种VLAN扩展技术，它通过将一个普通的VLAN划分成多个子VLAN，从而在同一个VLAN中实现更细粒度的隔离和安全控制。

与普通VLAN不同的是，private vlan中存在两种端口：普通端口和边缘端口。

普通端口只能与边缘端口通信，而边缘端口可以与普通端口通信，但不能与其他边缘端口通信。

这种特殊的结构使得private vlan能够灵活地实现不同层次的网络隔离和安全控制。

二、private vlan的工作原理private vlan的工作原理主要包括VLAN划分、VLAN隔离和VLAN 通信三个步骤。

1. VLAN划分管理员需要在交换机上创建private vlan，并将其划分成主VLAN和子VLAN。

主VLAN是private vlan的根VLAN，子VLAN是主VLAN下的二级VLAN。

每个子VLAN都有自己的VLAN ID和VLAN 类型，可以独立配置。

2. VLAN隔离在private vlan中，边缘端口和普通端口的通信是受限的。

边缘端口之间无法直接通信，只能通过与其相连的普通端口进行通信。

这一特性实现了在同一个VLAN中的不同隔离级别。

管理员还可以通过配置VLAN隔离功能，限制边缘端口之间的通信。

3. VLAN通信虽然private vlan中存在边缘端口和普通端口这两种不同类型的端口，但它们在通信的时候并不受影响。

边缘端口可以与普通端口通信，而且不同子VLAN之间的通信也是允许的。

在实际应用中，用户之间的通信可以通过private vlan进行细粒度的控制。

三、private vlan的应用场景private vlan可以在各种网络环境中进行应用，尤其适合对网络隔离和安全性要求较高的场景。

PVLAN私有VLAN（PrivateVLAN）PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN （isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

私有VLan配置
目录
1 私有VLan配置............................................................................ - 1 -
1.1 概述.................................................................................... - 1 -
1.2 pvlan配置 .......................................................................... - 1 -
1 私有VLan配置
1.1 概述
PVLAN（Private VLAN 私有VLAN）采用两层隔离技术实现复杂端口业务隔离功能，可以实现网络安全，广播与隔离功能。

在一个私有的VLAN，PVLANs提供在同一个广播域2层端口之间的隔离。

隔离端口配置作为PVLAN的一部分，它们之间不能互相通信。

一个PVLAN成员端口可以互相通信。

VLAN ID和私有VLAN ID可以是相同的。

1.2 pvlan配置
使用下面的命令可以配置：
注：彼此隔离的端口不通信。

隔离的端口和没隔离的端口可以通信。

配置完后，用户可以使用命令show pvlan 查看相应的配置。

配置举例
(config-if)# pvlan 3
(config-if)# pvlan isolation
- 1 -。

第54章Private VLAN配置本章主要讲述了迈普系列交换机支持的Private VLAN功能以及详细的配置信息，该功能仅适用于MyPower S3400、MyPower S4100、MyPower S6800A以及MyPower S8900交换机。

本章主要内容：●Private VLAN简介●配置●应用实例54.1Private VLAN简介PVLAN（Private VLAN）是一种用于解决运营商网络中VLAN资源有效分配、利用需求的技术，该技术的基本原理是将VLAN赋予两种不同的属性，分别是Primary VLAN和Secondary VLAN，其中Primary VLAN面向运营商网络，而Secondary VLAN面向用户接入网络，Secondary VLAN根据L2转发隔离规则不同，分为Isolated VLAN和Community VLAN两类。

Secondary VLAN中包含的端口称作是host端口，根据Secondary VLAN的两种类型又分为Isolated Port和Community Port。

Primary VLAN中面向运营商网络的端口称作是promiscuous端口。

Primary VLAN和Secondary VLAN组成一个PVLAN域。

一个PVLAN域必须包含一个和最多一个Primary VLAN（因此我们以Primary VLAN代表PVLAN域），可以包含多个Community VLAN和最多一个Isolated VLAN。

promiscuous端口属于PVLAN域所对应的所有PVLAN，而host端口只能属于自身的Secondary VLAN和Primary VLAN。

在PVLAN域中，Isolated VLAN的host端口只能与primary VLAN的promiscuous端口通信，而其自身Isolated VLAN内的host端口之间不能通信。