在一個主VLAN中只能有一個隔離VLAN,可以有多個聯盟VLAN
隔離VLAN中的主機相互間不能訪問,也不能和其它子VLAN訪問,也不能和外部VLAN訪問
聯盟VLAN中的主機可以相互訪問,但不能和其它子VLAN訪問,也不能和外部VLAN訪問
三種端口類型:
host隔離端口---屬於隔離VLAN
host聯盟端口---屬於聯盟VLAN
promiscuous混雜端口---可以和其它端口通信,不屬於任何一個子VLAN,也可以和其他外部VLAN
1、設置主VLAN
SW1(config)#vlan 200
private-vlan primary
2、設置二級子VLAN
SW1(config)#vlan 201
private-vlan isolated 設置爲隔離VLAN
SW1(config)#vlan 202
private-vlan community 設置爲聯盟VLAN
show vlan private-vlan
3、將子VLAN劃入主VLAN中,建立一個聯繫
SW1(config)#vlan 200
private-vlan association 201-202
SW1(config)#vlan 200
private-vlan association add 203 加入一個子VLAN
private-vlan association remove 203 移除一個子VLAN
4、將端口設定一個模式,並劃入相應的VLAN中
int e0
switchport mode private-vlan host 設置端口的模式,根據子VLAN的類型成爲相應的端口
switchport private-vlan host-association 200 201-----將端口劃入VLAN200中的子VLAN201
int e0
switchport mode private-vlan promiscuous 設置混雜端口
switchport private-vlan mapping 200 201-202 設定混雜端口所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一個可管理的子VLAN
5、給予特權(正常情況下,子VLAN中的成員是不能訪問外部端口的,混雜端口除外)
vlan 200
private-valn mapping 201-202 設置給予哪幾個子VLAN特權,允許這幾個子VLAN下的端口訪問外部的VLAN
show interfaces private-vlan mapping