【推荐】PVLAN功能的实现




    何谓PVLAN,就是Private私有VLAN的意思,实际上就是说:在一个以太网环境中,存在多个用户,每个用户都相互隔离,但是它们都可以通过共同的uplink端口(Trunk)与外部互通。



    该功能常见于运营商宽带网络的最低层接入中,如:以家庭为单位,每个家庭一个VLAN,各家之间是相互不通的,但每家都能正常上网!





实现方式1:


二层交换机+三层路由器组合




这种模式下:


★每个用户都处于不同的Access Vlan中,相互之间完全隔离;


★交换机的uplink口和路由器的端口都处于Trunk模式中,且包含所有的VLAN中。


 


简要配置:交换机: 


vlan 10-33        //建立vlan数据库 

! 

interface FastEthernet0/1        //各个用户VLAN 

 switchport pvid 10 

! 

interface FastEthernet0/2 

  switchport pvid 11 

! 

interface FastEthernet0/3 

 switchport pvid 12 

! 

interface FastEthernet0/4 

 ...... 

! 

interface FastEthernet0/24        //UPlink端口  

 switchport mode trunk 

 switchport trunk vlan-allow all



 


路由器(稍微有点复杂): 


interface FastEthernet 0/0 

 no ip address 

! 

interface FastEthernet 0/0.1      //建立子接口,并封装802.1Q VLAN协议 

 encapsulation dot1q 10 

 ip address 10.0.0.1 255.255.255.0 

! 

interface FastEthernet 0/0.2 

 encapsulation dot1q 11 

 ip address 10.1.0.1 255.255.255.0 

! 

interface FastEthernet 0/0.3 

 encapsulation dot1q 12 

 ip address 10.2.0.1 255.255.255.0 

! 

interface FastEthernet 0/0.4 

 ...... 

! 

interface FastEthernet 0/0.34 

 encapsulation dot1q 33 

 ip address 10.23.0.1 255.255.255.0 

!



 


注意点:


★每个vlan中的用户主机都配置不同的IP网段,他们都可以跟路由器上的一个字接口互通;


★由于路由器可以实现三层转发,会导致跨VLAN的网络也能通信,所以通常要在路由器上配合ACL进行控制





图片:


 



 



实现方式2:一台纯以太网交换机
 
简要思路:
通过交换机自身802.1Q协议的控制,在交换机内部就可以实现PVLAN功能
 
参考配置信息:

vlan 1-13,50        //建立vlan数据库           
!           
interface FastEthernet0/1        //各个用户VLAN           
 switchport mode trunk           
 switchport pvid 1           
 switchport trunk vlan-allow 1,50           
 switchport trunk vlan-untag 1,50           
!           
interface FastEthernet0/2           
 switchport mode trunk           
 switchport pvid 2           
 switchport trunk vlan-allow 2,50           
 switchport trunk vlan-untag 2,50           
!           
interface FastEthernet0/3           
 switchport mode trunk           
 switchport pvid 3           
 switchport trunk vlan-allow 3,50           
 switchport trunk vlan-untag 3,50           

!           
interface FastEthernet0/4           
 ......           
!           
interface FastEthernet0/24        //UPlink端口            
 switchport mode trunk           
 switchport pvid 50           
 switchport trunk vlan-allow all           
 switchport trunk vlan-untag all


 
注意点:
★这种情况下,不需要外部设备配合,在二层交换上就可以实现PVLAN功能
★请尝试根据你了解的VLAN基础只是,分析数据帧的转发流程(可能比较复杂)
★这种情况下,我们一般建议将vlan MAC地址的shared-learning功能打开

 
实现方式3:使用端口保护功能即可
 
实现思路:
BDCOM交换机上面有一种端口保护功能,可以用来实现PVLAN应用;其实现的原理为“只有同时被保护的两个端口之间不能通讯”“不被保护的端口之间,以及保护和未被保护的端口之间,可以通讯”
 
参考配置:

interface FastEthernet0/1        //普通用户端口           
 switchport protected           
!           
interface FastEthernet0/2           
 switchport protected           
!           
interface FastEthernet0/3           
 switchport protected           
!           
interface FastEthernet0/4           
 ......           
!           
interface FastEthernet0/24        //UPlink上行端口           
!


 
注意点:
★这种情况下完全没有802.1Qtag的出现,也就是说与802.1Q协议无关;通过交换机芯片实现
★配置简单,使用方便
★缺点是,该功能在单台交换机上实施;不能通过多台交换机组建大型的交换网络


转载于:https://blog.51cto.com/mmfrancis/256114