VLAN-2-私有VLAN

 

    好的设计方式通常要求工程师为每个vlan使用一个ip子网。然而在有些情况下，将设备分割到许多小VLAN中以增加安全性的需求，与节省可用子网的目标相互冲突。通过使用私有vlan，交换机能够分离接口，就好像它们位于不同的vlan中，但同时这些接口共同属于同一个子网。

    私有vlan最常见的部署是在服务提供商（SP），SP可以对整个大楼只使用一个子网，通过使用私有vlan，将不同客户的交换机接口相互隔离使其不能直接进行通信，并使用一台路由器和交换机支持所有客户。

    从概念上讲，私有vlan是一种机制，将特定VLAN划分成任意数量的不会相互重叠的子VLAN，或二级VLAN（Secondary VLAN）。划分过程对于外部网络是不可见的，外部网络只能看到原始的VLAN，称为主VLAN（Primary VLAN）。私有VLAN划分的一个重要结果是，从外部看主VLAN继续使用与原始VLAN相同的VLAN ID和IP子网。在内部，所有二级VLAN共用一个IP子网，而每个二级VLAN都使用不同且唯一的VLAN ID与主VLAN相互关联。因此，可以将私有VLAN描述为一个或多个二级VLAN的集群，展示给外部的是一个主VLAN。

    二级VLAN可以分为两种类型：团体（Community）VLAN和隔离（Isolated）VLAN。属于相同团体VLAN的接口之间可以直接互相通信，但不能与其他VLAN中的接口直接通信。这种行为与普通VLAN相似。一个主VLAN可以与多个团体VLAN关联，每个团体VLAN代表一组设备，它们之间可以直接通信，但不能与其他组的设备直接通信。另一方面，属于隔离VLAN的接口之间既不能互相通信，也不能与其他VLAN中的接口通信。一个主VLAN最多可以关联一个隔离VLAN，一个主VLAN关联多个隔离VLAN并没有什么意义。无论是团体VLAN还是隔离VLAN，一个二级VLAN必须只与一个主VLAN相关联。

 

举例：

    假设有一栋公寓楼需要完全联网，由工程师负责配置网络设备。最简单的方式是将所有公寓都连接到一台交换机，并为所有接口分配一个VLAN，比如VLAN 100.统一使用IP子网192.168.100.0/24。VLAN中的所有工作站共享该IP地址空间，并且它们之间可以直接通信；它们使用同一子网中的网关IP地址，比如192.168.100.254，来访问其他网络。然而，这样的网络有明显的安全性问题——独立公寓中的用户不可控也不能被信任。一个公寓住户的误操作，或者他使用了被感染的计算机，就可以对整个VLAN造成破坏。因此要求独立的公寓互相隔离，但仍继续使用之前的VLAN 100、相同的IP子网以及相同的默认网关。这可以通过创建一个新的二级隔离VLAN来实现，比如VLAN 199，将其与原始的VLAN 100相关联（使VLAN 100成为主VLAN），并将所有连接公寓的Access接口分配到隔离VLAN 199中。这样，独立的公寓之间将会相互隔离，但它们仍继续使用相同的IP地址空间和默认网关。外部世界将看不到任何区别。

    然而生活并没有那么简单。有些用户可能在一段时间后找到工程师，要求同其他一些用户之间建立直接的可见性，因为他们希望共享文件、流媒体视频或玩网络游戏。可能会有许多相似的用户组希望他们之间能够建立相互的可见性，同时保持与其他用户的隔离。例如，考虑有3组独立的用户要求在楼内建立他们之间相互的连通性。显然，这些用户分别组成了3个团体，一个团体中的用户相互之间拥有完全的可见性，同时保持与其他团体以及与不属于任何团体的用户相互隔离。

    能够满足这个需求的做法是创建3个二级团体VLAN，每个团体对应一个VLAN，并将每个团体中的成员分配到相同的团体VLAN中。在这个案例中，工程师可以为第一个组分配团体VLAN101，为第二个团体分配团体VLAN102，为第三个组分配团体VLAN103。二级团体VLAN101～103与主VLAN100相关联，共享IP地址空间和默认网关。所有其他的公寓仍属于隔离VLAN199，保持完全隔离。

 

    根据二级vlan的类型，可以将接口称为团体接口或隔离接口，团体接口和隔离接口都像正常的Access接口一样操作——从技术上说，它们属于单个VLAN且它们不标记数据帧。

 

    隔离vlan中的主机不能与任何主机直接通信，也不能访问共享资源，比如网络打印机，存储或服务器。显然，这种vlan的可用性是值得考虑的。因此，必须想办法定义一个特殊接口，连接到这种接口的设备---路由器，服务器，NAS，打印机等---可以被某个主vlan下的所有二级vlan中的所有主机访问，无论二级vlan类型如何。

    在私有vlan的术语中，这种接口称为杂合接口。杂合接口只与对应主vlan关联。连接到杂合接口的设备可以与这个主vlan关联的所有二级vlan中的设备通信。如果主vlan中有多个杂合接口，它们之间也可以相互通信。杂合接口的操作方式也和Access接口相似，它也不打标签。

    在之前的示例中，如果默认网关192.168.100.254是外部路由器，工程师就会将它连接到配置有私有VLAN交换机的杂合接口上。此设置将允许VLAN101～103和VLAN199中的主机通过这台路由器与其他网络进行通信。

（私有vlan只是本地交换机内部的技术，在外部看来和正常的vlan一样）

 

由私有vlan的通信规则可知另一个必须的规则：杂合，团体或隔离接口上收到的数据帧总是可以通过Trunk接口转发。

如果交换机在团体或隔离接口上收到了数据帧，并且要通过Trunk转发这个数据帧，交换机会使用相应二级VLAN的VLANID标记数据帧。接收交换机将根据二级VLAN类型进一步转发收到的数据帧。

 

在将从杂合接口上接收到的数据帧从Trunk接口转发出去时，交换机会使用相应主VLAN的ID标记数据帧

 

杂合PVLAN Trunk接口在发送数据帧时，将二级VLAN ID重写为主PVLAN ID。当收到数据帧时，交换机不执行标记操作。而且，也不对普通VLAN的数据帧执行标记操作；

隔离PVLAN Trunk接口在发送数据帧时，将主VLAN ID重写为隔离二级VLAN ID。当收到数据帧时，交换机不执行标记操作。而且，也不对普通VLAN的数据帧执行标记操作。

 

配置：

 

如果没开vtpv3，在配置pvlan前要进到vtp透明模式

 

创建一个隔离二级vlan和三个团体二级vlan并把它们关联到主vlan 100

 

 

show vlan private-vlan 命令来验证类型和关联主vlan和端口成员，只不过现在还没划分端口

 

 

下边划分接口

 

 

 

如果SVI被作为设备的网关关联到主vlan 100，它必须也被配置为杂合接口