私有VLAN及端口類型:
三種端口類型:
1.孤立端口(lsolated,隔離端口)隔離端口完全與同一個pVLAN中的其他端口相隔離唯一列外的就是他能夠與混雜端口通信,私有VLAN會阻塞所有去往隔離端口的流量,只能從混雜端口發來的流量才能被放行。而隔離端口的流量也只能發送給混雜端口。其他流量全阻塞。
2.雜合端口(Promiscuous 混雜端口)混雜端口可以與所有的VLAN中的端口進行通信。包括隔離端口和團體端口。混雜端口是主VLAN的一部分,每個混雜端口都可以對應一個以上的輔助VLAN。
3.團體端口(Community)團體端口之間可以相互通信。他們也可以和混雜端口通信。這些接口和其他團體端口的接口是從二層隔離的,他們和其他所有私有的VLAN中的隔離端口也是隔離的。
主pLVNA :這是pVLAN中的高級VLAN。主VLAN可以由多個輔助私有VLAN組成,而這些輔助VLAN屬於同一個子網。它們將混雜端口發過來的流量發送給同一個主VLAN中的隔離端口、團體端口和其他混雜端口。
輔助私有VLAN:每個富足VKAN 都是主VLAN 的附庸VLAN,它們會被映射給主VLAN。而每臺設備都會與輔助VLAN相連。
輔助VLAN的類型
1.團體VLAN:如果某個端口屬於團體VLAN,那麼它就不僅能夠與相同團體VLAN中的其他端口進行通信。他還可以能與PVLAN混雜端口進行通信。
2.隔離VLAN(孤立VLAN)如果某個端口屬於隔離VLAN,那麼她就只能與混雜端口進行通信。孤立端口不能與同一個孤立的VLAN中的其他端口進行通信。
*注意:一個混雜端口只能爲一個主VLAN提供服務,但一個混雜端口可以爲一個隔離VLAN或者多個團體VLAN提供服務。
私有VLAN的配置:
1.將 VTP模式設置爲透明模式
2.創建輔助VLAN
3.創建主VLAN
4.將輔助VLAN和主VLAN進行關聯。其中,主VLAN只能管理一個隔離(孤立)VLAN,但可以關聯多個個團體VLAN。
5.將一個接口配置成爲隔離端口或者是團體端口
6.將這個孤立端口或者團體端口關聯給主-輔助pVLAN對。
7.將一個接口配置爲混雜端口
8.將這個混雜端口映射給主-輔助pVLAN對。
跨越交換機的私用VLAN配置:
利用VLAN也和普通的VLAN一樣,它可以擴展到多臺交換機上面。而Trunk端口可以承載主用VLAN和輔助VLAN的流量,並將其轉發給鄰居交換機,這與其他的VLAN沒有什麼區別。跨越交換機建立私有VLAN有一個Features
,那就是從一臺交換機的隔離端口發出的流量無法到達另外一臺交換機的孤立端口。管理員需要在路徑中所有交換機上面配置私用VLAN,其中包括那些沒有私用VLAN端口的交換機,這是爲了保障私用VLAN配置的安全性。並且避免將其他配置的VLAN作用私用VLAN。
保護端口特性:
Cisco的低端交換機並不支持私用VLAN,但是他們也有一個不太強大的特性,即私用VLAN邊緣特性(也稱爲受保護端口特性)。受保護端口是私用VLAN的簡化版。在這種環境中,流量只能在受保護端口和不受保護端口之間,以及不受保護端口之間流動。兩個保護端口不能相互通信,他們只能與不受保護的端口進行通信。