1.PVLAN
(1)作用
可以节约vlan的使用数量,并且可以控制同一个vlan里面的访问权限,简化IP地址。(不可以通过交换机传输,即不同pvlan不能进行2层通信)
(2)端口角色
①隔离端口:处于隔离端口的用户是无法进行相互访问,只能和混杂端口进行互相通信
②团体端口:处于团体端口的用户是可以进行相互,但是不同vlan的团体端口,是无法进行通信的,可以和混杂端口进行相互通信
③混杂端口:处于混杂端口的用户是可以与隔离端口和团体端口进行通信
(3)vlan角色
①主vlan:处于主vlan的端口可以与团体vlan和隔离vlan进行通信
②辅助vlan:分为团体vlan,隔离vlan
1)团体vlan:处于团体vlan的端口可以与相同团体vlan、主vlan的端口进行通信
2)隔离vlan:处于隔离vlan的端口只能与主vlan进行通信
(4)基本配置
前提:必须把vtp角色设置为透明模式或关闭vtp
sw(config)#vtp mode off ---关闭vtp
①设置vlan的角色:
sw(config)#vlan 100
sw(config-vlan)#private-vlan primary
sw(config)#vlan 10
sw(config-vlan)#private-vlan isolated
sw(config)#vlan 20
sw(config-vlan)#private-vlan community---团体vlan
②vlan之间进行关联
sw(config)#vlan 100
sw(config-vlan)#private-vlan association 10,20
③划分端口角色
sw(config)#int e1/0
sw(config-if)#switchport mode private-vlan promiscuous
sw(config-if)#switchport private-vlan mapping 100 10,20
sw(config)#int range e0/0-1
sw(config-if-range)#switchport mode private-vlan host
sw(config)#int range e0/0-1
sw(config-if-range)#switchport private-vlan host-association 100 10---设置隔离端口
sw(config)#int range e0/2-3
sw(config-if-range)#switchport private-vlan host-association 100 20---设置团体端口2.保护端口
PVLAN边缘
在某些交换机设备不支持PVLAN的情况下,但是有想要实现端口隔离,可以使用保护端口,来实现端口隔离,但是仅在本地有效
Switch(config-if)#switchport protected ---开启保护端口功能
3.MUX VLAN
(1)vlan角色:①主vlan ②辅助vlan
4.华为端口隔离
(1)隔离类型:
①双向隔离:同一个端口组内用户隔离(默认无配置下)
②单向隔离:不同端口组内的用户隔离
(2)隔离模式
①L2:二层隔离三层互通(默认)
②ALL:二层三层都隔离
(3)基本配置
华为默认设置trunk不允许vlan通过
5.华三Private vlan
(1)应用在hybrid接口上
6.ARP代理
前提:
①目标的IP地址与源IP地址必须是不同网段的
②目标网段设备有回程路由
r1(config-if)#ip proxy-arp ---开启arp代理
r1(config-if)#no ip proxy-arp ---关闭arp代理
7.华三super vlan
(1)super vlan(仅在内部设备有效)
(2 )sub vlan
