[Note] pVLAN详解-sense5-ChinaUnix博客

Monster7sense5.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

sense5

博客访问： 3175146
博文数量： 39
博客积分： 10067
博客等级：上将
技术积分： 4018
用户组：普通用户
注册时间： 2006-12-03 15:39

文章分类

全部博文（39）

Mobile（0）
CISSP（2）
ISP（0）
CRM（0）
Programming（0）
Database（4）

Oracle（4）
CCIE（22）

CCIE Dynamips（1）

CCIE Project（1）

CCIE WAN（2）

CCIE Troubleshoo（0）

CCIE Devices（1）

CCIE MPLS/VPN（0）

CCIE Multicast（2）

CCIE IOS Feture（4）

CCIE TIPS（0）

CCIE CABLE（0）

CCIE Security（2）

CCIE IPv6（0）

CCIE QoS（1）

CCIE Switching（5）

CCIE Routing（3）
Virtualization（0）

VMWARE（0）
English（1）
Life（2）

Stock（0）

Career（0）

Thinkpad（1）
Web（1）
Storage（0）

SATA（0）

RAID（0）

Data Restore（0）

Foundation（0）
VOIP（0）
OS（7）

HP_Unix（1）

Install（0）

DB Cluster（0）

HP/UNIX（0）

samba（0）

Optimize（0）

DNS/DHCP（0）

radius（0）

Squid（0）

syslog（0）

Postfix（0）

VSFTP（0）

GRUB（0）

HARDWARE（0）

NETWORK（0）

OPTIMIZE（0）

LAMP（0）

SHELL（1）

MANAGEMENT（0）

BSD（0）

INITIAL（0）

COMMAND（1）

KERNEL（0）

SECURITY（0）

LVM（0）

Solaris（0）

AIX（0）

NT（4）

LVS（0）

Linux（0）
未分配的博文（0）

文章存档

2011年（2）

2009年（3）

2008年（34）

我的朋友

相关博文

[Note] pVLAN详解

分类：系统运维

2008-04-28 11:35:55

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。
尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

pVLAN 的3种port：
isolated，community ，promiscuous。
pVLAN 的3种子VLAN ：
primary VLAN ， isolated VLAN(second vlan)， community VLAN(second vlan)。

pVLAN通信范围：
primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信.
community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）
isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。 （每个pVLAN中只能有一个isolated VLAN）

pVLAN限制：
pVLAN要求使用VTPv1或VTPv2。
pVLAN必须工作于Transparent模式。
禁止将第3层VLAN接口配置为辅助VLAN。
EtherChannel或SPAN目标端口不支持pVLAN。

配置命令：
//建立primary VLAN
vlan 10
private-vlan primary
//建立isolated VLAN

vlan 11
private-vlan isolated
//建立community VLAN
vlan 12
private-vlan community
//关联primary VLAN与Second VLANs
vlan 10
private-vlan association 11，12

//配置promiscuous

interface G0/0

switchport

switchport mode private-vlan promiscuous

switchport private-vlan mapping 10 11,12

注:这里promiscuous port可以属于多个secondary VLAN，但只可以属于一个primary VLAN，就好像普通的access port只能属于一个vlan是一样的。

//配置isolated port

interface G0/1
switchport
switchport mode private-vlan host
switchport private-vlan host-association 10 11

//配置community port

interface G0/2

switchport

switchport mode private-vlan host

switchport private-vlan host-association 10 12

注意:

1>在private vlan里 switchport access vlan xxx 这一句已经不起作用了。
起作用的是 switchport private-vlan host-association 10 11这一句，这一句把端口放入primary vlan 10和secondary vlan 11。

2>在配置vlan的3层地址的时候，只可以配置在primary VLAN上，从这里也可以看出，primary VLAN在某些地方是和普通vlan一样工作的，secondary VLAN则更特殊一些。

pVLAN使用方案：

1.把需要2层隔离的主机放到同一个isolated VLAN，或者不同的community VLAN。
2.把需要2层通信的主机放到同一个community VLAN。
3.公共的服务器或者上联端口放到primary VLAN，和本primaryVLAN和所有secondaryVLAN里的主机是2层连通的。
4.在primary VLAN上来看，所有的主机在同一个primary VLAN里，在secondary VLAN里的主机互相访问的时候，才和private VLAN的配置有关。
5.网关可以是primary VLAN上配一个3层地址或者在primary VLAN上连一个路由器。所有主机在3层都是在primary VLAN的这个网段里,所以还是可以通信的,只是2层隔离了,因为3层接口不转发广播,广播也就被隔离了,网上邻居之类基于广播的应用就互相看不到了.
6.上联的端口也可以是trunk,primary VLAN和secondary VLAN都可以trunk过去。
7.vtp一定要transparent,SPAN和vlan acl等等特性可能会有限制

阅读(3913) | 评论(0) | 转发(0) |

上一篇：集成路由和桥接（IRB）详解

下一篇：ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6