Private Vlan解决了服务提供商在应用VLAN时所面临的问题:如果服务提供商给每一个用户提供一个VLAN,由于每一台设备最多支持4094个VLAN从而限制了服务提供商能支持用户的总数量。
私有VLAN(private vlan)将一个VLAN的二层广播域划分成多个子域,每个子域都由一个私有VLAN对组成:主VLAN(Primary VLAN)和一个或若干个辅助VLAN(Secondary VLAN)。一个私有VLAN域可以有多个私有VLAN对,每一个私有VLAN对代表一个子域。在一个私有VLAN域中只有一个主VLAN,所有的私有VLAN对共享同一个主VLAN。每个子域的辅助VLAN ID不同。
1.1.11.2.1 有一种类型的主VLAN
1、主vlan(Primary VLAN):是一个与混杂端口相关联的VLAN,Private VLAN中只能有一个Primary VLAN,每个在Primary VLAN中的端口都是Primary VLAN的成员。
1.1.21.2.2 有二种类型的辅助VLAN
• 隔离VLAN(Isolated VLAN):同一个隔离VLAN中的端口不能互相进行二层通信。一个私有VLAN域中只有一个隔离VLAN。一个隔离vlan必须与一个Primary VLAN关联。
• 共用VLAN(Community VLAN):同一个共用VLAN中的端口可以互相进行二层通信,但不能与其它共用VLAN中的端口进行二层通信。一个私有VLAN域中可以有多个共用VLAN。一个公共vlan必须与一个Primary VLAN相关联。
1.1.31.2.3 私有VLAN端口是如下类型的端口
• 混杂端口(Promiscuous Port):属于主VLAN中的端口。可以与所有端口通讯,包括同一个私有VLAN域中辅助VLAN的隔离端口和共用端口。
• 隔离端口(Isolated Port):属于隔离VLAN中的主机端口(Host Port)。在同一个私有VLAN域中,除了混杂端口外,隔离端口与其它的所有端口完全二层隔离,从隔离端口收到的流量只能转发到混杂端口。
• 共用端口(Community Port):属于共用VLAN中的主机端口(Host Port)。在一个私有VLAN域中,同一个共用VLAN的共用端口可以互相进行二层通讯,也可以与混杂端口进行二层通讯,不能与其它共用VLAN中的共用端口及隔离VLAN中的隔离端口进行二层通讯。
1.1.41.2.4 私有VLAN对VLAN TAG中的字段的修改特性
此功能支持在VLAN的tag中修改VLAN ID和优先级字段,以及私有VLAN的出端口的报文是否带tag。
• 配置Private VLAN
• 配置 Private VLAN中的私有VLAN域的关联
• 配置Private VLAN中的二层接口为私有VLAN的主机接口
• 配置Private VLAN中的二层接口为私有VLAN的混杂接口
• 配置 Private VLAN出端口报文中的相关字段修改
• Private VLAN配置信息的显示
一个私有VLAN对生效的条件如下:
(1)具有主VLAN。
(2)具有辅助VLAN。
(3)辅助VLAN和主VLAN之间有关联。
(4)主VLAN内有混杂端口。
1.1.51.4.1 配置Private VLAN
使用下面的命令来将VLAN配置成私有VLAN
|
命令 |
目的 |
|
vlan vlan-id |
进入 VLAN 模式进行配置 |
|
private-vlan {primary|community|isolated} |
配置VLAN的私有VLAN属性 |
|
no private-vlan {primary|community|isolated} |
清除VLAN的私有VLAN属性 |
|
show vlan private-vlan |
显示私有VLAN的配置信息 |
|
exit |
退出VLAN的配置模式 |
1.1.61.4.2 配置Private VLAN中的私有VLAN域的关联
使用下面的命令来关联私有VLAN中的主VLAN和辅助VLAN
|
命令 |
目的 |
|
vlan vlan-id |
进入主VLAN配置模式进行配置 |
|
private-vlan association {svlist | add svlist | remove svlist} |
配置要关联的Secondary VLAN |
|
no private-vlan association |
清除当前Primary VLAN与所有Secondary VLAN的关联 |
|
exit |
退出VLAN配置模式 |
1.1.71.4.3 配置Private VLAN中的二层接口为私有VLAN的主机接口
使用下面的命令来配置Private VLAN中的二层接口为私有VLAN的主机接口
|
命令 |
目的 |
|
Interface interface-type interface-name |
进入接口配置模式 |
|
switchport mode private-vlan host |
配置二层接口为主机端口模式 |
|
no switchport mode |
清除二层接口的私有VLAN模式配置 |
|
switchport private-vlan host-association p_vid s_vid |
关联二层主机接口与私有VLAN的关联 |
|
no switchport private-vlan host-association |
清除二层主机接口与私有VLAN的关联 |
|
exit |
退出接口的配置模式 |
1.1.81.4.4 配置Private VLAN中的二层接口为私有VLAN的混杂接口
使用下面的命令来配置Private VLAN中的二层接口为私有VLAN的混杂接口
|
命令 |
目的 |
|
Interface interface-type interface-name |
进入接口配置模式 |
|
switchport mode private-vlan promiscuous |
配置二层接口为混杂端口模式 |
|
no switchport mode |
清除二层接口的私有VLAN模式配置 |
|
switchport private-vlan mapping p_vid{svlist | add svlist | remove svlist} |
关联二层混杂接口与私有VLAN的关联 |
|
no switchport private-vlan mapping |
清除二层混杂接口与私有VLAN的关联 |
|
exit |
退出接口的配置模式 |
1.1.91.4.5 配置private vlan出端口报文中的相关字段修改
使用下面的命令来配置Private VLAN中出端口报文中的相关字段修改
|
命令 |
目的 |
|
Interface interface-type interface-name |
进入接口配置模式 |
|
switchport private-vlan tag-pvid vlan-id |
配置出端口报文tag中的vlan id字段 |
|
switchport private-vlan tag-pri pri |
配置出端口报文tag中的priority字段 |
|
[no] switchport private-vlan untagged |
配置出端口报文是否带tag |
|
exit |
退出端口的配置模式 |
1.1.101.4.6 private vlan配置信息的显示
使用下面的命令来显示Private VLAN中的私有VLAN和二层接口的私有VLAN配置信息,配置的模式为全局配置模式,接口配置模式和VLAN配置模式
|
命令 |
目的 |
|
show vlan private-vlan |
显示私有VLAN的配置信息 |
|
show vlan private-vlan interface interface-type interface-name |
显示私有VLAN中的二层接口的VLAN配置信息 |
图1 Private VLAN的典型配置图
通过一个典型的组网方式来说明Private VLAN的应用
如图1所示G1/1为Primary VLAN 2下混杂端口,G1/2-G1/6为主机端口,其中G1/2、G1/3为Community VLAN 3下的主机端口(公用端口),G1/4为Community VLAN 4下的主机端口(公用端口), G1/5、G1/6 为Isolated VLAN 5下的的主机端口(隔离端口)。
根据Private VLAN的概念,混杂端口G1/1可以与该私有VLAN中的所有子VLAN域中的主机接口互相进行二层通信,公用VLAN 3下的主机端口G1/2、G1/3可以互相二层通信,但不能与其他辅助VLAN中的主机端口进行二层通信,包括不同组的公用VLAN 4,隔离VLAN 5下的隔离端口G1/5、G1/6互相不能进行二层通信,它们只能与整个私有VLAN中的混杂端口G1/1进行二层通信。
具体在交换机下的命令配置如下:
Switch_config#interface GigaEthernet1/1
Switch_config_g1/1#switchport mode private-vlan promiscuous
Switch_config_g1/1#switchport private-vlan mapping 2 3-5
Switch_config_g1/1#switchport pvid 2
Switch_config#interface GigaEthernet1/2
Switch_config_g1/2#switchport mode private-vlan host
Switch_config_g1/2#switchport private-vlan host-association 2 3
Switch_config_g1/2#switchport pvid 3
Switch_config#interface GigaEthernet1/3
Switch_config_g1/3#switchport mode private-vlan host
Switch_config_g1/3#switchport private-vlan host-association 2 3
Switch_config_g1/3#switchport pvid 3
Switch_config#interface GigaEthernet1/4
Switch_config_g1/4#switchport mode private-vlan host
Switch_config_g1/4#switchport private-vlan host-association 2 4
Switch_config_g1/4# switchport pvid 4
Switch_config#interface GigaEthernet1/5
Switch_config_g1/5#switchport mode private-vlan host
Switch_config_g1/5#switchport private-vlan host-association 2 5
Switch_config_g1/5#switchport pvid 5
Switch_config#interface GigaEthernet1/6
Switch_config_g1/5#switchport mode private-vlan host
Switch_config_g1/5#switchport private-vlan host-association 2 5
Switch_config_g1/5#switchport pvid 5
Switch_config#vlan 2
Switch_config_vlan2#private-vlan primary
Switch_config_vlan2#private-vlan association 3-5
Switch_config#vlan 3
Switch_config_vlan3#private-vlan community
Switch_config#vlan 4
Switch_config_vlan4#private-vlan community
Switch_config#vlan 5
Switch_config_vlan5#private-vlan isolated
Switch_config#show vlan private-vlan
Primary Secondary Type Ports
----------- --------------- -------------------- ------------------------------------------
2 3 community g1/1, g1/2, g1/3
2 4 community g1/1, g1/4
2 5 isolated g1/1, g1/5, g1/6