可以参考相关实验
配置Private VLAN实验
划分VLAN的问题
可分配的VLAN编号是1-4094,需要划分更多的VLAN怎么办
每一个VLAN都划分一个子网,当划分多个VL AN时,导致地址的浪费
Private VLAN
Private VLAN (私有VLAN,PVLAN) 是能够为相同VLAN内不同端口提供隔离的VLAN。
Pravite VLAN的组成
PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLAN组成: Primary VLAN (主VLAN)和SecondaryVLAN (辅助VLAN组成)。
- 主VLAN:主VLAN是PVLAN的高级VLAN,每个PVLAN中只有一个主VLAN。
- 辅助VLAN:辅助VLAN是PVLAN中 的子VLAN,并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。
- 隔离VLAN (Isolated VLAN) :同一个隔离VLAN中的端口互相不能进行二层通信,一个私有VLAN域中只有一个隔离VLAN。
- 团体VLAN (Community VLAN) :同一个团体VLAN中的端口可以进行二层通信,但是不能与其他团体VLAN中的端口进行二层通信,一个私有VLAN中可以有多个团体VLAN。
Pravite VLAN的端口类型
- 混杂端口(Promiscuous Port) :混杂端口为主VLAN中的端口,可以与任意端口通信,包括同一个PVLAN中的隔离端口和团体端口。
- 隔离端口(Isolated Port) :隔离端口为隔离VLAN中的端口,隔离端口只能与混杂端口进行通信。
- 团体端口(Community Port) ;团体端口为团体VLAN中的端口,同一个团体VLAN中的团体端口之间可以互相通信,并且团体端口可以与混杂端口通信,但是不能与其他团体VLAN的端口进行通信。
Pravite VLAN的实现
- 主VLAN中的混杂端口用于连接到网关设备,可以和本VLAN中所有端口通信
- 隔离VLAN中的各端口均为隔离端口,互相不可通信,也不可与其他隔离VL AN或团体VLAN通信
- 团体VLAN中的端口均为团体端口,可与本团体端口通信,不可与其他团体端口或隔离端口通信。
配置Pravite VLAN主要包括以下几个步骤
- 配置主VL AN与辅助VLAN
- 关联辅助VLAN到主VLAN
- 将辅助VLAN映射到主VLAN的3层接口
- 配置主机端口
- 配置混杂端口
配置Private VL AN注意事项
- 一个Private VL AN处于Active状态必须满足下列条件:
- 具有主VLAN
- 具有辅助VLAN
- 辅助VLAN和主VLAN进行关联
- 主VLAN内有混杂端口