私有VLAN（PVLAN）：
為相同VLAN內不同端口提供隔離的VLAN
PVLAN 只能在VTP transparent模式配置
兩種：
主VLAN（PrimaryVlan）
輔助VLAN（SecondaryVlans）

一個主VLAN 包含多個輔助VLAN。
好處：減少VLAN 數量、減少了IP 子網的數量。

secondary vlan 下：可以有island port 、community port 、 promiscuous port。
Promiscuous（混雜）：能夠與pVLAN中全部設備進行通信。是主VLAN的一部分/每個混雜端口可以映射多個輔助VLAN
Isolated（隔離）：可以使隔離端口和混雜模式進行通訊。
Community（團體）：可以和同一團體的端口通訊，也可以和混雜模式的端口通訊。

可通信的端口 主VLAN端口 團體VLAN端口 隔離VLAN端口
與主VLAN通信 是 是 是
與同一從VLAN通信 N/A 是 否
與其他從VLAN通信 N/A 否 否

配置命令：
配置PVLAN 時VTP 必須使用透明模式
第一步：定義主vlan
switch（config）# vlan （vlan-id）
switch（config－vlan）# private-vlan primary
switch（config－vlan）# exit

第二步：設置輔助vlan，將主/輔助vlan 幫定在一起
switch（config）# vlan （primary-vlan-id）
switch（config-vlan）# private-vlan association ｛add|remove｝（aue-vlan）
第三步：
switch（config）# interface vlan （primary-vlan-id）
switch（config－if）# privst-vlan mapping （輔助vlan－id）
第四步：
Switch config-vlan # private-vlan [primary | isolated | community] 定義vlan類型
Config-if# switchport mode private-vlan {host | promiscuous}
配置從vlan的接口模式
host表示團體模式或隔離模式
promiscuous是混雜模式
Config-if# switchport private-vlan host-association primary_vlan_id secondary_vlan_id
把團體端口和隔離端口劃分到私有vlan中
例如：
Vtp mode transpoarent 必須設置成透明模式
Vlan 202
Private-vlan primary
Private-vlan association 440
Vlan 440
Private-vlan isolated
int fast 5/2
switchport mode private-vlan promiscuous 設置混雜模式
switchport private-vlan mapping 202 440 把這個端口放到主vlan中，可以和從vlan 440的端口通信
int fast 5/1
switchport mode private-vlan host 定義為host端口，此端口可是隔離或團體模式，具體視它加入的vlan模式而定
switchport private-vlan host -association 202 440 定義它屬于的主vlan 202中的隔離vlan440
int vlan 202
private-vlan mapping add 440 定義三層的虛擬端口vlan202 為私有vlan 440對外的通信端口
第五步：校驗命令
show interfaces private_vlan mapping 查看私有vlan的配置信息
show vlan private-vlan type 顯示私有vlan的配置信息

pVLAN當中使用的一些規則：
1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”，沒有上限。
2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”，可以有多個“Community VLAN”。
3.不同“Primary VLAN”之間的任何端口都不能互相通信（這里所將的“互相通信”是指二層連通性）。
4.“Isolated端口”只能與“混雜端口”通信，除此之外不能與任何其他端口通信。
5.“Community端口”可以和“混雜端口”通信，也可以和同一“Community VLAN”當中的其它物理端口進行通信，除此之外不能和其他端口通信。

PVLAN(private VLAN)私有VLAN
作用：能夠為VLAN內不同端口之間提供隔離的VLAN，能夠在一個VLAN之中實現端口之間的隔離。
注意：配置時，VTP必須為透明模式

組成：
每個PVLAN包括兩種VLAN：
1、主VLAN
2、輔助VLAN又分為兩種：隔離VLAN、聯盟VLAN
輔助VLAN是屬于主VLAN的，一個主VLAN可以包含多個輔助VLAN。
在一個主VLAN中只能有一個隔離VLAN，可以有多個聯盟VLAN

三種端口類型：
host隔離端口---屬于隔離VLAN
host聯盟端口---屬于聯盟VLAN
promiscuous混雜端口---可以和其它端口通信,不屬于任何一個子VLAN,通常是連接網關的端口或是連接服務器的端口。

規則：
在一個主VLAN中只能有一個隔離VLAN，可以有多個聯盟VLAN
隔離VLAN中的主機相互間不能訪問，也不能和其它子VLAN訪問，也不能和外部VLAN訪問，只能與混雜端口訪問
聯盟VLAN中的主機可以相互訪問，可以和混雜端口訪問，但不能和其它子VLAN訪問，也不能和外部VLAN訪問

1、設置主VLAN
SW1（config）#vlan 200
private-vlan primary
2、設置二級子VLAN
SW1（config）#vlan 201
private-vlan isolated設置為隔離VLAN
SW1（config）#vlan 202
private-vlan community設置為聯盟VLAN
3、將子VLAN劃入主VLAN中,建立一個聯系
SW1（config）#vlan 200
private-vlan association 201-202
SW1（config）#vlan 200
private-vlan association add 203加入一個子VLAN
private-vlan association remove 203移除一個子VLAN
4、將端口設定一個模式，并劃入相應的VLAN中
int e0
switchport mode private-vlan host設置端口的模式，根據子VLAN的類型成為相應的端口
switchport private-vlan host-association 200 201-----將端口劃入VLAN200中的子VLAN201

int e0
switchport mode private-vlan promiscuous設置混雜端口
switchport private-vlan mapping 200 201-202設定混雜端口所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203增加或移除一個可管理的子VLAN

show vlan private-vlan

5、將輔助VLAN映射到主VLAN的第3層SVI接口，從而允許PVALN入口流量的第3層交換。
int vlan 200
private-valn mapping 201-202設置給予哪幾個子VLAN特權，允許這幾個子VLAN下的端口訪問外部的網段。
show interfaces private-vlan mapping

PVLAN原理
PVLAN即私有VLAN（Private VLAN），PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個（下層）VLAN，則實現了所有端口的隔離。
　　pVLAN通常用于企業內部網，用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。盡管各設備處于不同的pVLAN中，它們可以使用相同的IP子網。
　　每個pVLAN 包含2種VLAN ：主VLAN（primary VLAN）和輔助VLAN（Secondary VLAN）。
　　輔助VLAN（Secondary VLAN）包含兩種類型：隔離VLAN（isolated VLAN）和團體VLAN（community VLAN）。
　　pVLAN中的兩種接口類型：處在pVLAN中的交換機物理端口，有兩種接口類型。
　　①混雜端口（Promiscuous Port）
　　②主機端口（Host Port）
　　其中“混雜端口”是隸屬于“Primary VLAN”的；“主機端口”是隸屬于“Secondary VLAN”的。因為“Secondary VLAN”是具有兩種屬性的，那么，處于“Secondary VLAN”當中的“主機端口”依“Secondary VLAN”屬性的不同而不同，也就是說“主機端口”會繼承“Secondary VLAN”的屬性。那么由此可知，“主機端口”也分為兩類——“isolated端口”和“community端口”。
　　處于pVLAN中交換機上的一個物理端口要么是“混雜端口”要么是“isolated”端口，要么就是“community”端口。
　　pVLAN通信范圍：
　　primary VLAN:可以和所有他所關聯的isolated VLAN，community VLAN通信。
　　community VLAN:可以同那些處于相同community VLAN內的community port通信，也可以與pVLAN中的promiscuous端口通信。 （每個pVLAN可以有多個community VLAN）
　　isolated VLAN:不可以和處于相同isolated VLAN內的其它isolated port通信，只可以與promisuous端口通信。 （每個pVLAN中只能有一個isolated VLAN）
　　pVLAN當中使用的一些規則：
　　1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”，沒有上限。
　　2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”，可以有多個“Community VLAN”。
　　3.不同“Primary VLAN”之間的任何端口都不能互相通信（這里“互相通信”是指二層連通性）。
　　4.“Isolated端口”只能與“混雜端口”通信，除此之外不能與任何其他端口通信。
　　5.“Community端口”可以和“混雜端口”通信，也可以和同一“Community VLAN”當中的其它物理端口進行通信，除此之外不能和其他端口通信。

pvlan的解釋
對于pvlan看了許多之后有些摸不到頭腦，在網上看了此篇文章后有些明了。轉過來供大家參考
pVLAN基本概念：
1.規則VLAN域
一個常規的VLAN實際上就可以看作是一個規則的VLAN域。比如VLAN100，我們可以將它看作是一個“域”，這個“域”的編號，或者說名字是“VLAN100”。

2.子域、Primary VLAN、Secondary VLAN
pVLAN就是把一個規則的VLAN域劃分為一個或多個子域。當把一個規則的VLAN域劃分子域后，原來的“規則VLAN域”現在就叫做“Primary Vlan”，這個“Primary VLAN”編號，或者說名字就是原來“規則VLAN域”的名字。
劃分出來的子域我們把它叫做“Secondary VLAN”，這個VLAN是有兩種屬性。

3.“Secondary VLAN”的屬性、“Isolated VLAN”、“Community VLAN”
“Secondary VLAN”有兩種屬性：一種是“isolated”，我們把它叫做“Isolated VLAN”；另一種是“community”，我們把它叫做“Community VLAN”。一個“Secondary VLAN”必須、且只能被賦予其中某一種屬性。這兩種屬性的“Secondary VLAN”都有一些規則，下面我們會講到。

4.pVLAN中的兩種接口類型
處在pVLAN中的交換機物理端口，有兩種接口類型：
①混雜端口（Promiscuous Port）
②主機端口（Host Port）
其中“混雜端口”是隸屬于“Primary VLAN”的；“主機端口”是隸屬于“Secondary VLAN”的。前面我們說過，因為“Secondary VLAN”是具有兩種屬性的，那么可想而知，處于“Secondary VLAN”當中的“主機端口”依“Secondary VLAN”屬性的不同而不同，也就是說“主機端口”會繼承“Secondary VLAN”的屬性。那么由此可知，“主機端口”也分為兩類---“isolated端口”和“community端口”。
處于pVLAN中交換機上的一個物理端口要么是“混雜端口”要么是“isolated”端口，要么就是“community”端口。

下面說一下pVLAN當中使用的一些規則：
1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”，沒有上限。
2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”，可以有多個“Community VLAN”。
3.不同“Primary VLAN”之間的任何端口都不能互相通信（這里所將的“互相通信”是指二層連通性）。
4.“Isolated端口”只能與“混雜端口”通信，除此之外不能與任何其他端口通信。
5.“Community端口”可以和“混雜端口”通信，也可以和同一“Community VLAN”當中的其它物理端口進行通信，除此之外不能和其他端口通信。

總結

以上是生活随笔為你收集整理的Cisco PVLAN的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。