1.  PVLAN的引入
  
 


  在实际应用中有这样一个需求,组网图如上图所示。
  
  3026下面级联了2016,要求2016下的各个端口互相隔离,即给每个端口划分一个VLAN,与此同时,由于上层设备(3026)的VLAN数有限,不允许下层设备(2016)将VLAN透传上来,即2016的上行端口要设为access方式。但是在2016上一个access端口是不能属于多个VLAN的,我们如何才能让带有不同VLAN ID的数据报文发送到同一个access 端口呢?
  
  这时候,我们就需要使用2016PVLAN功能。通过使用PVLAN功能,我们就能够实现将2016下的各个端口划在不同的VLAN内,同时又都能通过上行的Access 端口发送出去。
  
  目前,华为3Com公司开发的2008/2016/3026都支持PVLAN功能。
  
  2.  PVLAN配置步骤
  配置PVLAN的步骤如下:
  
  1、创建VLAN
  
  命令如下:
  
  [2016]vlan vlan-id
  
  2、设置VLAN类型为primary
  
  命令如下:
  
  [2016-vlan100] isolate-user-vlan enable
  
  3、向VLAN中添加端口(无论是primary vlan还是secondary vlan都一样)
  
  命令如下:
  
  [2016-vlan100]port ethernet port-list
  
  4、设置primary vlansecondary vlan之间的映射关系
  
  命令如下:
  
  [2016]isolate-user-vlan primary_vlan_num secondary secondary_vlan_list
  
  3.  PVLAN配置举例
  1、组网需求
  
  Quidway S3526以太网交换机通过端口Ethernet 0/7和端口Ethernet 0/8下接两台Quidway S2008以太网交换机。S2008 AVLAN5primary VLAN,包含上行端口Ethernet 0/9和两个secondary VLANVLAN1VLAN2VLAN1包含端口Ethernet 0/1VLAN2包含端口Ethernet 0/2S2008 BVLAN6primary VLAN,包含上行端口Ethernet 0/9和两个secondary VLANVLAN3VLAN4VLAN3包含端口Ethernet 0/3VLAN4包含端口Ethernet 0/4。从S3526看,下接的两个S2008都只有一个VLANS2008 AVLAN5S2008 BVLAN6
  
  2、组网图
  


  PVLAN配置组网图
  
  3、配置步骤
  
  下面只列出S2008的配置过程。
  
  配置S2008 A
  
  !配置primary vlan
  
  [S2008A] vlan 5
  
  [S2008A-vlan5] isolate-user-vlan enable
  
  [S2008A-vlan5]port ethernet0/9
  
  !配置secondary VLAN
  
  [S2008A] vlan 1
  
  [S2008A-vlan1]port ethernet0/1
  
  [S2008A]vlan 2
  
  [S2008A-vlan2]port ethernet0/2
  
  !配置primary VLANsecondary VLAN间的映射关系
  
  [S2008A] isolate-user-vlan primary 5 secondary 1-2
  
  配置S2008 B
  
  !配置primary vlan
  
  [S2008B]vlan 6
  
  [S2008B -vlan6] isolate-user-vlan enable
  
  [S2008B -vlan6]port ethernet0/9
  
  !配置secondary VLAN
  
  [S2008B]vlan 3
  
  [S2008B -vlan3]port ethernet0/3
  
  [S2008B] vlan 4
  
  [S2008B -vlan4]switchport ethernet0/4
  
  !配置primary VLANsecondary VLAN间的映射关系
  
  [S2008B] isolate-user-vlan primary 6 secondary 3-4
  
  4.  PVLAN使用注意事项
  1、目前华为3Com公司的发货版本中:S3026V100R002B01D009 2403FV200R003B01D003S2008/S2016)等版本支持一台以太网交换机只能有一个primary vlan,可以为primary vlan指定多个端口,一个secondry VLAN只能包括一个端口;S3026V100R002B01D0132403FV200R003B01D006S2008/S2016)等版本支持一台交换机可以有多个primary vlan,一个secondry VLAN也可以包括多个端口。
  
  2、执行primary vlansecondary vlan建立映射关系命令前,primary vlansecondary vlan中必须已经包含了端口,执行该命令会完成primary VLANsecondary VLAN之间的映射关系,具体操作包括:将primary VLAN中的上行端口加入到每个secondary VLAN中,同时把secondary VLAN中的端口加入到primary VLAN中。
  
  3、建立映射关系前:在设置PVLANprimary VLANsecondary VLAN的映射关系时,指定的VLAN不可以是不包含任何端口的VLAN。建立映射关系后,不可以向primary VLANsecondary VLAN执行添加和删除端口的操作,也不可以执行删除vlan的操作。只有在解除了映射关系后才可以执行。
  
  4primary vlan中的所有端口都不是802.1Qtrunk端口,包括与其它交换机相连的uplink口。每个 portPVID就是它所属secondary vlanIDuplink端口的PVIDprimary vlanID