PVLAN

最新推荐文章于 2025-07-09 11:56:12 发布
原创 最新推荐文章于 2025-07-09 11:56:12 发布 · 1.1w 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#交换机 #VLAN

本文详细介绍了私有VLAN(PVLAN)的概念及配置方法,包括PrimaryVLAN和SecondaryVLAN的区别,以及IsolatedVLAN和CommunityVLAN的具体应用场景。通过实例说明如何在交换机上设置PVLAN来实现端口隔离。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

二层交换机间处于同一VLAN的端口可以通信(处于不同VLAN的端口肯定不能在二层间通信,要通信只能走三层)。但某些情形下想让处于相同VLAN的端口间也不能通信,就可以用PVLAN(私有VLAN),可以让同一VLAN间的某些端口不能通信。

比如局域网内部希望所有端口都能和网关通信,因此都划入同一个VLAN中。但某些端口间不希望能相互通信,可以将某些端口配置成PVLAN,以实现相同VLAN间端口隔离。再比如小区用户接入宽带,你肯定不希望你电脑发出的数据被你邻居收到。技术上可以为每个小区用户划分一个VLAN以实现端口隔离,但这不现实,没法分配这么多VLAN,即使可以分配这么多VLAN,每个VLAN相关的STP拓扑都要管理,开销很大。因此就需要用到PVLAN,小区所有用户处于同一个VLAN,通过PVLAN保证用户间无法通信。

PVLAN分2种:Primary VLAN和Secondary VLAN。

Primary VLAN:主VLAN,即普通的VLAN。Primary VLAN可以和Secondary VLAN里任何端口通信。

Secondary VLAN:辅助VLAN。从属于Primary VLAN,因此配置好Secondary VLAN后一定要将其关联到某Primary VLAN上才能生效。分为2种:Isolated VLAN和Community VLAN

Isolated VLAN:孤立VLAN。配置成Isolated VLAN的端口不能和该Secondary VLAN里的任何端口通信。

Community VLAN:团队VLAN。配置成Community VLAN的端口能和该Secondary VLAN里的同属于一个团体内的端口通信。

举个例子下图中DNS的两台服务器和WWW和SMTP的服务器同属于一个VLAN,但不想让它们在二层能相互通信


可以在交换机上将连接DNS的f0/1 – 2口配成Community VLAN。连接WWW和SMTP口配成Isolated VLAN。连接网关的f0/24口属于主VLAN,因此所有口和f0/24口都能通信:

SW1(config)#vtp transparent	            //VTP暂时不支持PVLAN,因此先关闭VTP
SW1(config)#vlan 201
SW1(config-vlan)#private-vlan isolated	    //将VLAN 201设为Isolated VLAN
SW1(config)#vlan 202
SW1(config-vlan)#private-vlan community	    //将VLAN 202设为Community VLAN
SW1(config)#vlan 100
SW1(config-vlan)#private-vlan primary				//VLAN 100为Primary VLAN
SW1(config-vlan)#private-vlan association add 201,202		//关联上面两个Secondary VLAN
SW1(config)#inter f0/24
SW1(config-if)#switchport mode private-vlan promiscuous	        //连接网关的端口配置成Primary VLAN,端口改为混杂模式
SW1(config-if)#switchport private-vlan mapping 100 201,202
SW1(config)#inter range f0/1 - 2                                
SW1(config-if)#switchport mode private-vlan host                //连接DNS的端口配置成Community VLAN,端口为主机模式
SW1(config-if)#switchport private-vlan host-association 100 202	
SW1(config)#inter range f0/3 - 4                                
SW1(config-if)#switchport mode private-vlan host                //连接WWW和SMTP的端口配置成Isolated VLAN,端口为主机模式
SW1(config-if)#switchport private-vlan host-association 100 201

上面连接网关的端口配置成混杂模式promiscuous,而其他端口配置成主机模式host。host表示该端口只能为某个Secondary VLAN(即Isolated VLAN或Community VLAN)服务。而promiscuous表示该端口可以为所有Secondary VLAN服务。将Primary VLAN的端口设为promiscuous混杂模式,就可以让其和Secondary VLAN里任何端口通信。


PS1:有些注意点:

1.不能在VLAN1,VLAN1002 - 1005上配置PVLAN
2.不能在PVLAN中配置EtherChannel
3.VTP模式不支持PVLAN,需要将VTP设为Transparent

PS2:以前还有一种技术也可以让同一VLAN间不能通信,即保护端口。保护端口只能和非保护端口通信,保护端口间不能通信。但保护端口只能用于一台交换机上,多台交换机间就不能生效了。因此现在通常用PVLAN技术。PVLAN上,如SW1过来VLAN100的帧,Trunk上打上标记100,SW2收到帧发现VLAN100是主VLAN,能转发给VLAN100(包括关联的Secondary VLAN)的端口。如SW1过来Isolated VLAN201的帧,Trunk上打上标记201,SW2收到帧发现201是Isolated VLAN,不转发给任何端口。如SW1过来Community VLAN202的帧,Trunk上打上标记202,SW2收到帧发现202是Community VLAN,能转发给VLAN202的端口。所以用PVLAN比用保护端口更多。

VLANPVLAN的区别
weixin_34268310的博客
11-07 1155
现在介绍下VLANPVLAN的区别: 给大家参考下 虚拟局域网(VLAN)是驻地网必须具备的特性之一。目前普遍应用的802.1q,主要是针对企业应用设置的,起到网段隔离和多址联播的作用。如果用在驻地网上,便可能破坏多址联播特性,引起网络运行效率的降低。例如10个用户同时点播一个视频节目,视频服务器要响应10次请求,在网络骨干层要传输10次,造成大量的带宽消耗。如果用户数...
交换产品PVLAN配置案例
04-18
交换产品PVLAN配置案例
VLAN配置与拓扑设计全攻略:华为、华三H3C、思科网络实战
最新发布
weixin_42583683的博客
07-09 466
虚拟局域网(VLAN)是一种将网络设备分组的技术,即使这些设备位于不同的物理网络段上,也可以被视为同一逻辑网络的一部分。VLAN 的主要目的是为了提高网络的灵活性、安全性以及性能。通过VLAN,网络管理员可以有效地控制广播域,优化带宽利用,同时还可以为网络划分提供更多的逻辑分段,以支持不同部门或不同安全级别的通信需求。H3C是华为技术有限公司旗下的一个品牌,其产品覆盖了交换机、路由器、安全设备等多种网络设备。H3C设备以其稳定的性能、强大的功能和广泛的应用在企业网络建设中得到了广泛的认可和应用。
一张图,一个表说明PVLAN
weixin_34041003的博客
07-16 142
转载于:https://blog.51cto.com/nnjojo/1438933
pVLAN的配置
weixin_34150830的博客
12-04 279
pVLAN(PrivateVLAN,私用VLAN)是能够为相同VLAN内不同端口之间提供隔离的VLAN。通过隔离相同VLAN之中的网络设备之间的流量,Cisco所提出的pVLAH能够提高安全性、降低IP子网数目和降低VLAN利用率。每个PVLAN包括2种VLAN:主VLAN和辅助VLANVLAN:主PVLANPVLAN中的高级VLAN.主VLAN由很多个辅助VLAN组成...
交换机端口安全---PVLAN
weixin_34041003的博客
11-09 189
本人参阅CCNP旧版教材,总结个人工作经验所得。PVLAN的作用:限制同一VLAN中各端口之间的访问原因是默认情况下同一VLAN中各端口之间的访问是没有限制的。一、概念1、VLAN分类:(此处的分类只在PVLAN中具有意义)1)、isolated vlan:隔离VLAN特性:该VLAN中各端口之间不能相互通信,也不能和community vlan中的端口通信,但可以和prim...
pvlan的工作原理和配置的步骤
10-01
PVLAN(Private VLAN)是一种由Cisco公司提出的安全增强型虚拟局域网技术,它通过将VLAN分为主VLAN和辅助VLAN两层结构来实现更细粒度的网络隔离。这种技术的主要目的是提高网络安全性,减少IP子网数量,以及优化VLAN...
Pvlan的简单配置.doc
01-07
在IT网络环境中,Private VLANPvlan)是一种增强局域网安全性的技术,它由Cisco公司提出,华为等其他厂商也有类似实现,如华为的Mux-VLANPvlan的主要目的是防止同一VLAN内的设备之间直接通信,以提高网络安全性...
思科PVLAN边界(Protected Port)理论实验解析.doc
06-04
**思科PVLAN边界的详解** PVLAN(Private VLAN)是一种增强型的VLAN安全特性,主要用于隔离同一VLAN内的不同端口间的数据传输。而PVLAN边界的特性,也称为Protected Port,是PVLAN的一个子功能,它提供了一种在本地...
华三 H3C Pvlan 设置
10-28
华三 H3C Pvlan 设置 可以不用vlan一样达到隔离的效果
思科交换机pvlan配置手册
09-16
思科交换机pvlan配置手册。 PVLAN: 二层VLAN技术。PVLAN主要部署在DMZ区,防止跨站攻击,开发目的就是为了服务器的分段保护。
H3C_Private vlan基础配置案例
04-21
H3C_Private vlan基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
vlan技术(包括svi单臂路由pvlan和supervlan
05-17
VLAN基本配置 使用SVI实现VLAN间通信 使用单臂路由实现VLAN间通信 Private VLAN原理与配置 Super VLAN原理与配置
Vlanpvlan全面解析
weixin_33700350的博客
07-27 508
这篇我将全面分析和讲解vlan知识。大家学习一个新东西或一种新知识之前首先要做的是不要怕,相信自己一定能学好,那么如何去学习新知识呢?首先问自己几个问题:这是什么?有什么用?用在哪里?为什么会产生呢?怎么用?有什么特性?用什么不同的情况吗?今天我们就按照这个思路讲解这项技术。 什么是vlanVlan是指交换机上创建的将能够代表一个大的广播域的物理lan划分成能够代表若...
交换机:配置PVLAN
weixin_33720452的博客
03-30 608
PVLAN(Private VLAN,私有VLAN)是能够为相同VLAN内不同端口之间提供隔离的VLAN。 在配置PVLAN的时候,因为只有VTP透明模式支持PVLAN,所以必须首先将交换机配置为VTP透明模式。 步骤1 在开始配置PVLAN之前,首先将交换机VTP模式配置为透明模式。 DS1(config-vlan)#vtp mode transparent ...
pvlan介绍
06-20
### Private VLAN (PVLAN) 的定义、功能和使用场景 #### 定义 Private VLANPVLAN)是一种网络技术,用于在局域网中实现更精细的访问控制。它通过将一个物理交换机上的端口划分为多个逻辑子网来增强安全性[^1]。PVLAN的核心思想是限制同一VLAN内设备之间的通信,从而实现二层隔离。 #### 功能 1. **节约IP地址**:PVLAN通过共享主VLAN的IP地址,避免了为每个子网分配独立的IP地址段的需求。所有用户可以共享同一个默认网关,减少了IP地址的浪费[^2]。 2. **增强安全性**:PVLAN能够隔离广播风暴、病毒攻击以及不必要的二层互访。它允许管理员对不同类型的流量进行精确控制,确保只有授权的设备之间可以通信[^5]。 3. **灵活的访问控制**:PVLAN支持多种模式,包括隔离模式(Isolated VLAN)、社区模式(Community VLAN)和混杂模式(Promiscuous VLAN)。这些模式可以根据具体需求配置,以满足不同的访问控制要求[^3]。 4. **简化管理**:通过减少子网划分的需求,PVLAN降低了网络复杂性,并使网络管理更加高效[^2]。 #### 配置示例 以下是一个典型的PVLAN配置示例,展示如何在Cisco交换机上设置PVLAN: ```python # 进入接口配置模式 SW(config)# interface f1/1 # 设置端口为混杂模式(Promiscuous Mode) SW(config-if)# switchport mode private-vlan promiscuous # 将辅助VLAN映射到主VLAN SW(config-if)# switchport private-vlan mapping 10 501-502 ``` 此外,在虚拟化环境中,可以通过以下步骤配置PVLAN与虚拟机的连接: ```python # 进入接口配置模式 Device(config)# interface GigabitEthernet5/0/1 # 允许特定的主VLAN和辅助VLAN通过Trunk端口 Device(config-if)# switchport private-vlan trunk allowed vlan 20,30 # 关联主VLAN与辅助VLAN Device(config-if)# switchport private-vlan association trunk 2 201 Device(config-if)# switchport private-vlan association trunk 3 301 # 设置端口为PVLAN Trunk模式 Device(config-if)# switchport mode private-vlan trunk ``` #### 使用场景 1. **宾馆酒店**:每个房间分配一个VLAN,同时共享同一IP地址段,确保房间之间的流量隔离,防止未经授权的访问[^5]。 2. **小区宽带接入**:为每户家庭分配一个VLAN,保证用户之间的二层隔离,同时共享相同的IP地址段,节省IP资源。 3. **校园网**:在高校或企业园区网络中,PVLAN可以用于隔离学生宿舍、教室和办公区域的流量,确保敏感数据的安全性[^5]。 4. **数据中心**:在数据中心环境中,PVLAN可以用于隔离不同租户的流量,同时共享公共资源,如存储和计算服务[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值