1_项目一 PVLAN技术及应用.docVIP

项目一 PVlan技术与应用 通过前面的学习，我们知道划分Vlan可以隔离广播域，一个交换机内最多可以划分4094个Vlan，如果需要更多的广播域，就会受到限制。另一方面，每一个Vlan需要一个子网地址，导致地址浪费。如何来解决这个问题呢？使用PVlan技术可以解决。 通过本章学习能够对交换机PVlan有所了解，掌握交换机PVlan配置技能。 知识点、技能点 了解PVlan概念； 掌握PVlan特性及其配置技能； 掌握小型网络一般调试技能及故障排除方法。 1.1 问题提出 为了在二层网络上隔离用户或者隔离广播，，但是VLAN的最大个数只有4094，这种情况导致了IP地址的浪费对于这些。 Private VLAN的缩写，即私有VLAN是能够为相同VLAN内不同端口提供隔离的VLAN。通过PVLAN技术可以隔离相同VLAN中的网络设备之间的流量位于相同子网的设备都只能与网关或其他网络进行通信，实现网络内部的隔离。 PVLAN可以将一个VLAN的二层广播划分多个子域，每个子域都由一对VLAN组成：Primary VLAN（主VLAN）和Secondary VLAN（辅助VLAN组成）。在整个PVLAN域中，只有一个主VLAN，每个子域有不同的辅助VLAN，通过辅助VLAN实现二层网络的隔离。主VLAN： 主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。 辅助VLAN： 辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。 两种类型隔离VLAN（Isolated VLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。VLAN（Community VLAN）：同一个VLAN中的端口可以进行二层通信但是不能与其他VLAN中的端口进行二层通信，一个私有VLAN中可以有多个VLAN。PVLAN中的端口有如下：混杂端口（Promiscuous Port）：混杂端口为主VLAN中端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和端口。 隔离端口（Isolated Port）：隔离端口为隔离VLAN中的端口只能与混杂端口进行通信。 端口（Community Port）：端口为VLAN中的端口，同一个VLAN中的端口可以互相通信，可以与混杂端口通信，但是不能与其他体VLAN的端口进行通信。 图1.1 PVlan功能特性及应用 在PVlan网络中，通过PVLAN技术针对不同的部门配置不同的VLAN类型，从而实现部门间的隔离或部门内部主机的隔离。 图 PVLAN应用实例 如图所示的网络中，在主VLAN中有三个部门，其中行政部属于团体VLAN10，商务部属于团体VLAN20，财务部属于团体VLAN30。由于三个部门属于同一个主VLAN，因此三个部门中主机的IP都属于同一个子网，但是行政部里的各设备能互相通信，商务部里的各设备也能互相通信，但是财务部门的设备由于属于隔离VLAN，因此互相之间不能互相通信。但是三个部门的各设备都能与主VLAN中的混杂端口通信从而实现对其他网络的访问。配置Private VLAN以下几个步骤：primary Vlan）与辅助VLAN（Secondary VLAN）； （2）关联辅助VLAN到主VLAN （3）将辅助VLAN映射到主VLAN的层口 （4）配置主机端口 （5）配置混杂端口Promiscuous Port）。 1．创建主VLAN与辅助VLAN 我们知道交换机默认情况下，只有一个Vlan1，交换机的全部端口都属于Vlan1内的端口。为了实现PVlan的功能，必须先创建Vlan，然后设置Vlan类型是primary Vlan、community Vlan 及isolated Vlan。 设置vlan类型的命令如下： Ruijie(config-vlan)#private-vlan {community | isolated | primary} 其中： community ： 配置为 community VLAN isolated ：配置为 isolated VLAN primary ：配置为 primary VLAN 在802.1VLAN中，有成员端口的VLAN不能为私有VLANVLAN 1不能为私有VLAN。 Ruijie#configure terminal Ruijie(config)#vlan 99 Ruijie(config-vlan)#private-vlan primary Ruijie(config-vlan)#exit Ruijie(config)#vlan 100 Ruijie(config-vlan)#private-vlan community