Switch工作原理和VLAN（Virtual Local Area Network）虚拟局域网03

原创

zzygzhangchi 2011-11-12 09:56:27 ©著作权

文章标签 CISCO CCNP VLAN VTP 休闲 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者zzygzhangchi的原创作品，请联系作者获取转载授权，否则将追究法律责任

PVLAN(Private VLAN)私有VLAN

VTP透明模式：
有时候可能希望隔离位于交换机同一VLAN中终端设备之间的连接。达到这种目的可以使用不同的IP地址，但同一VLAN不同的IP地址，也是可能通信的(如若不明，请重回NA学习交换机的原理)。而且不同网段的IP编制会浪费IP地址。
私用VLAN可以隔离同一个IP子网内的二层设备，可以使交换机的一些端口流量只能达到某些目的地，从而实现，有些设备虽然属于同一VLAN，但他们之间并不能互相通信。
图例：

PVLAN中的三种端口角色和三种VLAN
三种端口角色：
隔离(isolated)端口：隔离端口完全与同一PVLAN中除混杂端口外的其他端口都不能通信的一端口角色。PVLAN只会放行从混杂端口去往隔离端口的流量，而阻塞其他所有到达隔离端口的流量。
混杂(Promiscuous)端口：混杂端口可以与PVLAN的所有端口通信，每个杂合端口都可以对应一个以上的辅助VLAN。
团体(Community)端口：同一团体VLAN之间的团体端口是可以互相通信的。隔离其他的团体VLAN端口，和隔离VLAN中的隔离端口。
三种VLAN角色：
私用VLAN，实际上是由三种VLAN组合而成的一个集合。
主VLAN：主VLAN可以由多个辅助VLAN组合而成，这些辅助VLAN与主VLAN同属一子网。他可以将混杂端口出来的流量发给任何一个辅助VLAN内的端口。
辅助VLAN：包括两种，主VLAN的马仔而已。
团体VLAN：同一团体VLAN内的所有端口都可以互相无障碍通信，也可与混杂端口通信，但不能与其他团体VLAN的端口和隔离VLAN的端口通信。
隔离VLAN：该VLAN内的所有端口，仅仅可以与混杂端口通信。

配置命令：
定义VLAN角色
Switch(config)#vlan pvlan-id        VLAN-id
Switch(config-vlan)#private-vlan primary 将此VLAN设置为主VLAN ，如果VTP没有设置透明模式，此命令会有问题

Switch(config)#vlan pvlan-id        VLAN-id
Switch(config-vlan)#private-vlan community

Switch(config)#vlan pvlan-id        VLAN-id
Switch(config-vlan)#private-vlan isolated

进入主VLAN关联辅助VLAN
Switch(config)#vlan primary-vlan-id
Switch(config-vlan)#private-vlan association community-ID,isolated-ID

设置混杂端口角色(混杂端口为二层口)：
Switch(config)#interface XXX
Switch(config-if)#switchport mode private-vlan promiscuous

将混杂端口和辅助VLAN去做关联
Switch(config)#interface xx
Switch(config-vlan)#switchport private-vlan mapping AA BB,CC        AA是哪个主VLAN，可以访问BB,CC这些辅助VLAN。

设置辅助VLAN中的端口
Switch(config)#interface XXX
Switch(config-if)#switchport mode private-vlan host

关联辅助端口和自己的辅助VLAN
Switch(config)#interface XXX
Switch(config-vlan)#switchport private-vlan host-association AA BB       AA属于哪个主VLAN，BB次VLAN是多少

私用VLAN扩展：

私用VLAN也可扩展到Trunk链路两端，通信原则和单个交换机配置一样，
需注意：
VTP不支持私用VLAN，所有VLAN必须手工配置，并在所有交换机上设置主VLAN和各辅助VLAN的关联。
只有802.1Q封装才能支持私用VLAN的特性，
在下游交换机不支持私用VLAN的时候，可以使用私用VLAN的隔离端口来承载多个VLAN。
在上游交换机不支持私用VLAN的时候，可以使用私用VLAN的混杂端口来承载多个VLAN。
命令：
switchport private-vlan association trunk 主VLAN-ID 辅助VLAN-ID
如果此端口被配置为杂合端口，使用mapping
switchport private-vlan mapping [trunk] 主VLAN-ID 辅助VLAN-ID
配置此链路上允许的VLAN
switchport private-vlan trunk allow vlan vlan-id
配置私用VLAN中的NATIVE-VLAN
switchport private-vlan trunk native vlan vlan-id

总结：
VLAN是将交换机的端口进行逻辑的分组，无论这些接口连接的设备物理位置怎么样，VLAN是基于数据流模式来进行。通常分为端到端VLAN和本地VLAN，前者会延伸到整个网络，后者则仅限于接入层和分布层子模块的交换机中。
Trunk是二层设备之间的二层点到点链路，承载了多个VLAN的流量。ISL和802.1Q是连接两台交换机的两种Trunk协议。802.1Q是公有的。
VTP作用是在交换网络中做VLAN相关信息的发布和同步，VTP修剪可以防止TRUNK链路上未知流量的泛洪，在多个交换机上配置应确保交换机上配置都是匹配的，且同属一个VTP域。