1_项目一 PVLAN技术与应用

项目一PVlan技术与应用

通过前面的学习，我们知道划分Vlan可以隔离广播域，一个交换机内最多可以划分4094个Vlan，如果需要更多的广播域，就会受到限制。另一方面，每一个Vlan需要一个子网地址，导致地址浪费。如何来解决这个问题呢？使用PVlan技术可以解决。

通过本章学习能够对交换机PVlan有所了解，掌握交换机PVlan配置技能。

知识点、技能点

1.了解PVlan概念；

2.掌握PVlan特性及其配置技能；

3.掌握小型网络一般调试技能及故障排除方法。

1.1 问题提出

为了在二层网络上隔离用户或者隔离广播，我们可以将一组设备加入到一个VLAN中，但是VLAN的最大个数只有4094，所以当我们需要隔离大量的广播域时将可能受到VLAN 个数的限制。通常，在服务提供商（SP）网络中，为了隔离不同客户之间的通信而将一个客户作为一个VLAN，但是如果客户的数量增大到VLAN的最大个数（4094）时，服务提供商提供的服务将会受到限制。而且，对于一个客户作为一个VLAN的解决方案，服务提供商需要为一个客户分配一个子网地址，这种情况导致了IP地址的浪费。对于这些问题我们可以使用Private VLAN技术来解决。

1.2相关知识

1.2.1 PVlan概念

PVlan是Private VLAN的缩写，即私有VLAN。PVLAN是能够为相同VLAN内不同端口提供隔离的VLAN。通过PVLAN技术可以隔离相同VLAN中的网络设备之间的流量，并且位于相同子网的所有设备都只能与网关或其他网络进行通信，实现网络内部的隔离。

PVLAN可以将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：Primary VLAN（主VLAN）和Secondary VLAN（辅助VLAN组成）。在整个PVLAN 域中，只有一个主VLAN，每个子域有不同的辅助VLAN，通过辅助VLAN实现二层网络的隔离。

（1）主VLAN：主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。

（2）辅助VLAN：辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。

辅助Vlan包含以下两种类型：

（1）隔离VLAN（Isolated VLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。

（2）团体VLAN（Community VLAN）：同一个团体VLAN中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN中可以有多个团体VLAN。

PVLAN中的端口有如下几种类型：

（1）混杂端口（Promiscuous Port）：混杂端口为主VLAN中的端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和团体端口。

（2）隔离端口（Isolated Port）：隔离端口为隔离VLAN中的端口，隔离端口只能与混杂端口进行通信。

（3）团体端口（Community Port）：团体端口为团体VLAN中的端口，同一个团体VLAN 中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体VLAN的端口进行通信。

PVlan中主Vlan与辅助Vlan间关系，各类辅助Vlan特性，各类端口特性如图1.1所示。

图1.1 PVlan功能特性及应用

在PVlan网络中，通过PVLAN技术针对不同的部门配置不同的VLAN类型，从而实现部门间的隔离或部门内部主机的隔离。

图1.2 PVLAN应用实例

如图1.2所示的网络中，在主VLAN中有三个部门，其中行政部属于团体VLAN10，商务部属于团体VLAN20，财务部属于团体VLAN30。由于三个部门属于同一个主VLAN，因此三个部门中主机的IP都属于同一个子网，但是行政部里的各设备能互相通信，商务部里的各设备也能互相通信，但是财务部门的设备由于属于隔离VLAN，因此互相之间不能互相通信。但是三个部门的各设备都能与主VLAN中的混杂端口通信从而实现对其他网络的访问。

1.2.2配置PVlan

缺省情况下，交换机没有Private VLAN的配置。若配置Private VLAN需要以下几个步骤：

（1）创建主VLAN（primary Vlan）与辅助VLAN（Secondary VLAN）；

（2）关联辅助VLAN到主VLAN；

（3）将辅助VLAN映射到主VLAN的三层端口；

（4）配置主机端口（Host Port）；

（5）配置混杂端口（Promiscuous Port）。

1．创建主VLAN与辅助VLAN

我们知道交换机默认情况下，只有一个Vlan1，交换机的全部端口都属于Vlan1内的端口。为了实现PVlan的功能，必须先创建Vlan，然后设置Vlan类型是primary Vlan、community Vlan 及isolated Vlan。

设置vlan类型的命令如下：

Ruijie(config-vlan)#private-vlan {community | isolated | primary}

其中：

community ：配置为community VLAN

isolated ：配置为isolated VLAN

primary ：配置为primary VLAN

在802.1q VLAN中，有成员端口的VLAN不能配置为私有VLAN。VLAN 1不能配置为私有VLAN。

例如：创建VLAN 99 为Primary VLAN，创建VLAN 100 为Community VLAN，创建VLAN 101为Isolated VLAN。

Ruijie#configure terminal

Ruijie(config)#vlan 99

Ruijie(config-vlan)#private-vlan primary

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 100

Ruijie(config-vlan)#private-vlan community

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 101

Ruijie(config-vlan)#private-vlan isolated

Ruijie(config-vlan)#exit

Ruijie(config)#

2．关联Secondary VLAN到Primary VLAN

设置PVlan类型后，还需要进入进入Primary VLAN 配置模式下，将辅助vlan （Secondary VLAN）关联到主vlan（Primary VLAN）。实现此关联任务的命令如下：Ruijie(config-vlan)#private-vlan association {svlist | add svlist | remove svlist} 其中：

svlist ：为secondary VLAN list。

例如：将Secondary VLAN中的Community VLAN类型的Vlan100、Isolated VLAN 类型的Vlan101关联到作为Primary VLAN的Vlan99中。

Ruijie(config)#vlan 99

Ruijie(config-vlan)#private-vlan association 100,101

Ruijie(config-vlan)#exit

Ruijie(config)#

3．将Secondary VLAN映射到Primary VLAN的三层接口

为了使PVLAN中的流量可以进行三层交换，需要为Primary VLAN配置SVI，并且将Secondary VLAN映射到主VLAN的SVI。为了将Secondary VLAN映射到Primary VLAN 的三层接口，必须先进入Primary VLAN接口。然后在Primary VLAN接口下使用如下命令完成该映射任务：

Ruijie(config-if)#private-vlan mapping {svlist | add svlist | remove svlist}

其中：

svlist ：为secondary VLAN list。

例如：Vlan99为Primary VLAN 且SVI 的IP地址为192.168.1.1，Vlan100为Community VLAN，Vlan101为Isolated VLAN。现将Secondary VLAN（vlan100、Vlan101）映射到Primary VLAN 的三层接口上。

Ruijie(config)#interface vlan 99

Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0

Ruijie(config-if)#private-vlan mapping 100-101

Ruijie(config-if)#exit

Ruijie(config)#