cisco 端口隔离 pvlan

思科路由器如何配置VLAN的IP我们的思科路由器如何配置VLAN的IP呢?想必很多网络技术的新手都不清楚，所以小编这里就推荐下配置VLAN的IP方法和介绍VLAN给你们认识认识。

VLAN：英文全称为Virtual Local Area Network，中文称虚拟局域网，VLAN其实就相当于一个小型网络的统称，如校园网内有三个不同网段，分别为10.0.0.0、172.16.1.0和192.168.1.0，我们可以分别将这三个网段划分为三个不同的VLAN，以便于管理。

举个例子，只允许10.0.0.0网段访问172.16.1.0网段，不能访问192.168.1.0网段，此时VLAN的好处显露无疑。

今天笔者同大家分享思科路由器如何配置VLAN的IP。

1、启动计算机并连接到思科路由器，进入VLAN配置模式。

在命令行提示符下键入以下命令，然后按ENTER键host1(config)#interface fastEthernet 4/0请注意，在这个例子中，我们指定的VLAN使用的是快速以太网连接，标有“快速以太网”。

2、对VLAN进行封装，输入以下命令：host1(config-if)#encapsulation vlan3、创建一个子接口的VLAN，这将主机的IP，通过添加一个子识别号码。

键入以下命令，然后按ENTER键。

host1(config-if)#interface fastEthernet 4/0.354、指定的VLAN ID，通过键入以下命令Read more: How to Configure a VLAN IP | "host1(config-if)#vlan id 333",5、分配给VLAN的IP地址，在命令提示符下键入以下命令，然后按回车键。

host1(config-if)#IP address 192.168.1.13 255.255.255.0通过这5个命令，你就成功在路由器上的VLAN配置了IP地址了，是不是很简单呢。

Cisco PVLAN 详解PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

每个pVLAN包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）Catalyst3560， 45、65系列支持配置pVLAN的实例：SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlanprimary!设置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan community!设置团体VLAN 200SwitchA(config)#vlan 300SwitchA(config-vlan)#private-vlan isolated!设置隔离VLAN 300SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association 200,300!将辅助VLAN关联到主VLANSwitchA(config)#interface vlan 100SwitchA(config-if)#private-vlan mapping add200,300!将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换SwitchA(config)# interface fastethernet 0/2SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200!2号口划入团体VLAN 200SwitchA(config)# interface fastethernet 0/3SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 300!3号口划入隔离VLAN 300SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchport private-vlan mapping 100 add200-300!1号口杂合模式关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedPVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

大家好，我是freeboy，QQ：61699646今天给大家带来的教程是Cisco之VLAN虚拟局域网(VLAN )VLAN的特点：分段：分割广播域，增加了广播域的数量，减少了广播域的范围灵活性：对层2的交换机逻辑上的划分，不受物理距离的限制安全性：默认时，不同VLAN之间的主机不能互相通信，增加安全性静态VLAN的配置：创建VLAN：方法一：全局模式：vlan {vlan-ID} 创建VLANname (vlan-name) 给LVAN输入名称方法二：特权模式：vlan database 数据库模式vlan {vlan-ID} name {name} 创建VLAN并加名称将一个端口加入VLAN：interface fa0/1 进入接口switchport access vlan 2 把接口分给vlan 2将多个端口加如VLAN：interface range fa0/5 - 10 定义5-10端口switchport access vlan 2 把接口分给vlan 2trunk (中继链路)trunk的作用：如果vlan跨越多台交换机，那么就需要在交换机之间使用trunk链路trunk用于连接在不同交换机中相同VLAN的主机能互相通信VLAN与VLAN之间通信需要使用路由2种标识；1、IEEE 802.1Q(dot1Q) 虚拟桥接局域网标准在以太网数据帧内部插入4个字节的标记VLAN-ID：12位2、ISL：cisco专用协议在帧的头加26字节标记，在帧尾加4个字节的CRC校验VLAN-ID：15位TRUNK的几种模式：1、开启（on）-将端口设置为永久中继模式switchport mode trunk2、关闭（off）-将端口设置为永久非中级模式switchport mode access3、企望（desirable）-端口主动将链路转变成中继模式switchport mode dynamicdesirable4、自动（auto）-使端口愿意将链路变成中继模式switchport mode dynamic auto。

H3C交换机端口隔离配置案例
端口隔离, H3C
一组网需求：
1．将PC1与PC2进行隔离，PC1与PC2不能进行二层及三层访问；2．PC1与PC3，PC2与PC3能互相访问。

二组网图：
下载(40.93 KB)
2010-9-25 18:34
三配置步骤：
1．进入系统模式
<H3C>system-view
2．进入E1/0/1端口视图
[H3C] interface ethernet1/01
3．将端口E1/0/1加入隔离组
[H3C-Ethernet1/0/1] port isolate
4．进入E1/0/2端口视图
[H3C] interface ethernet1/0/2
5．将端口E1/0/2加入隔离组
[H3C-Ethernet1/0/2] port isolate
四配置关键点：
1．同一交换机中只支持一个隔离组，组内端口数不限；
2．端口隔离特性与以太网端口所属的VLAN无关；
3．经过以上配置后，可以完成隔离组内PC间二层及三层的隔离，而隔离组与隔离组外的PC不隔离，即PC1与PC2相互隔离，而PC1与PC3不隔离，PC2与PC3不隔离；
4．执行port isolate或undo port isolate命令后，在本地设备中，与当前端口位于同一汇聚组中的其他端口，会同时加入或离开隔离组；
5．此案例适用于H3C S3600、S5600、S3100、S5100、S5500、S3610，以及Quidway S3900、S5600、S2000、S3100、S5000、S5100系列交换机。

来源: 中国系统集成论坛原文链接：/thread-162445-1-8.html。

Cisco PVLAN的配置∙2010/05/09∙网络技术∙1,890 views∙没有评论PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）Catalyst3560， 45， 65系列支持配置pVLAN的实例：SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlanprimary!设置主VLAN 100SwitchA(config)#vlan 200SwitchA(config-vlan)#private-vlan community!设置团体VLAN 200SwitchA(config)#vlan 300SwitchA(config-vlan)#private-vlan isolated!设置隔离VLAN 300SwitchA(config)#vlan 100SwitchA(config-vlan)#private-vlan association 200,300!将辅助VLAN关联到主VLANSwitchA(config)#interface vlan 100SwitchA(config-if)#private-vlan mapping add200,300!将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换SwitchA(config)# interface fastethernet 0/2SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 200!2号口划入团体VLAN 200SwitchA(config)# interface fastethernet 0/3SwitchA(config-if)#switchport mode private-vlan hostSwitchA(config-if)#switchport private-vlan host-association 100 300!3号口划入隔离VLAN 300SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode private-vlan promiscuousSwitchA(config-if)#switchport private-vlan mapping 100 add200-300!1号口杂合模式CatOS的配置set vlan 100 pvlan-type primaryset vlan 200 pvlan-type communityset vlan 300 pvlan-type isolatedset pvlan 100 200 5/1set pvlan 100 300 5/2set pvlan mapping 100,200 15/1set pvlan mapping 100,300 15/1 //指定混杂模式的接口参考资料：/n6630/blog/item/c6e6974cb3d362fdd62afc64.html /133058/56824/coghost/blog/item/4f4dfb22e3bdd5a24723e83e.html /view/1065646.htm关于端口隔离Switch(config)# interface gigabitethernet1/0/2Switch(config-if)# switchport protectedCatalyst 29 35系列支持网关及共享口不敲protected 即可通信。

vlan隔离交换机使用方法
VLAN隔离交换机的使用方法如下：
1. 添加VLAN：首先，需要创建VLAN，并为每个VLAN分配一个唯一的ID。

可以通过在交换机上设置VLAN ID，并添加到交换机的VLAN配置中
来实现。

2. 设置端口属性：接下来，需要设置交换机的端口属性，以确定每个端口所属的VLAN以及端口类型（例如，Access、Trunk或Hybrid）。

端口类型决定了端口如何处理VLAN数据。

例如，Access端口只能属于一个VLAN，而Trunk端口可以允许多个VLAN通过。

3. 配置PVID：PVID（Port VLAN ID）是用于标识端口所属VLAN的标识符。

对于Access端口，需要将PVID设置为与端口所属VLAN的ID相同。

4. 配置IP地址：如果需要使用IP地址进行管理或通信，还需要为交换机配置IP地址。

可以通过在交换机上设置IP地址、子网掩码和默认网关来实现。

5. 配置路由：如果需要使用路由功能，例如在不同VLAN之间进行通信，
需要在交换机上配置路由。

这可以通过在交换机上设置路由表或使用动态路由协议来实现。

6. 测试和验证：最后，需要测试和验证VLAN隔离交换机的配置是否正确。

可以通过在交换机上执行命令行接口（CLI）命令或使用网络管理工具来进
行测试和验证。

请注意，不同的VLAN隔离交换机可能会有不同的配置方法和步骤，具体请参考相关设备的使用手册或制造商提供的文档。

同时，在配置过程中需要注意网络的安全性，并确保遵守相关法律法规的规定。

•交换机基本配置•VLAN配置与管理•生成树协议（STP）配置与优化•端口聚合（EtherChannel）配置与应用目•交换机安全性设置与加固•交换机性能监控与故障排除录01交换机基本配置1 2 3通过控制台端口登录远程登录配置访问控制列表（ACL）交换机登录与访问控制交换机主机名与域名设置主机名配置域名设置系统提示信息配置交换机端口配置与启用端口速率和双工模式配置端口安全配置A B C D端口VLAN分配端口镜像配置在完成交换机的各项配置后，及时保存配置信息，防止因意外断电或其他原因导致配置丢失。

配置保存在需要重启交换机时，可以通过命令行或Web 界面进行重启操作，确保交换机正常启动并加载最新的配置信息。

交换机重启在交换机出现问题时，可以加载之前保存的配置文件，实现配置回滚，快速恢复网络正常运行。

配置回滚查看交换机的系统日志，了解交换机的运行状况和故障信息，为故障排除提供依据。

系统日志查看交换机保存与重启02VLAN配置与管理创建VLAN及分配端口VLAN间路由配置01020304VLAN间通信及访问控制列表（ACL）应用VLAN安全性设置010*******03生成树协议（STP）配置与优化STP基本原理及作用消除环路链路备份自动恢复STP配置命令详解启用STP设置STP模式配置STP优先级配置STP端口状态STP优化策略及实施方法启用PortFast调整STP定时器配置BPDU Guard配置Root Guard逐步排查根据故障现象和网络拓扑结构，逐步排查可能导致STP 故障的原因，如物理链路故障、交换机配置错误等。

查看STP 状态使用命令`show spanning-tree vlan vlan-id`查看指定VLAN 的STP 状态，包括根交换机、根端口、指定端口等信息。

检查端口状态使用命令`show interfaces interface-type interface-number switchport`查看交换机端口的STP 状态及相关配置。

在传统VLAN技术上发展出几种不一样的扩展技术---PVLAN (Private VLAN）、SuperVLAN、SVLAN（Stack VLAN）Primary vlan, Isolated PVLAN，Community PVLAN是属于PVLAN(Private VLAN)的观念楼主谈的SVLAN,CVLAN,PVLAN是属于SVLAN(Stack VLAN)的观念应该要从Q-in-Q工作原理来看：QinQ采用的是层次化VLAN技术区分用户和运营商的VLAN：C-VLAN和P-VLAN(S-VLAN)，数据在私网中传输时带一个私网的tag，定义为C －VLAN Tag (Customer VLAN tag=用户VLAN)，数据进入到服务商的骨干网后，在打上一层公网的VLAN tag，定义为P－VLAN Tag(Service Provider VLAN tag=S-VLAN=SPVLAN=服务商VLAN)。

到目的私网后再把P－VLAN Tag剥除，为用户提供了一种较为简单的二层VPN隧道。

SVLAN=Stack VLAN(就是所谓的QinQ)CVLAN=Customer VLAN =用户VLANPVLAN =SVLAN=Service Provider VLAN =SPVLAN=服务商VLANVLAN:一个VLAN就是一个广播域,用一个标签来表示.(802.1q 标准定义,在以太网ethernetII/802.3的SA后加面增加4字节用来给这个以太网帧打标签和优先级值)PVLAN:private vlan,VLAN的一种应用,是完全从实际应用角度而言的,用以实现一个VLAN 内的用户之间有些能通信,有些不能通信,但这个VLAN里的所有用户都能通过同一个端口出去或者访问服务器这样一个实际需求包含primary VLAN,isolated VLAN和communicate VLAN,其中isloate VLAN和communicate VLAN绑定在primary VLAN上,isolated PVLAN内的用户之间互相隔离,但可以和primary vlan内的Promiscuous port通信, communicate PVLAN 内的用户之间可以互相通信,也能与primary vlan内的Promiscuous port通信.SVLAN和CVLAN: Service provider VLAN和customer VLAN,由802.1ad定义, QinQ,在一个VLAN里再增一层标签,成为双标签的VLAN,外层的就是SVLAN,内层的就是CVLAN你提出的最后一个问题:"这三者SVLAN、PVLAN、CVLAN之间是否可以配合使用"当一个交换机启用double tagging mode也即802.1q tunneling的时候,用户数据包自身携带VID的就是CVLAN,进入交换机后,会被再打上一层标签SVLAN,成为一个双标签的数据,如果用户是ungtagged的数据包,交换机可以打上两层标签,内层打上端口的PVID成为CVLAN,外层打上SPVLAN.还可以是直接接把PVID作为SPVLAN,成为单标签数据.交换机处理时可以根据内层标签也可以根据外层标签,交换机不同可以有不同的实现方式.SVLAN和CVLAN是孪生兄弟，相对的概念，就是配合使用的，PVLAN是802.1q的应用方式，而VLAN和SLV AN能共存在，所以这三者完全可以配合使用。

简介PVLAN(Private VLAN 私有VLAN)通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的PVLAN中，它们可以使用相同的IP子网。

在PVLAN中，交换机端口有3种类型：Isolated Port(隔离端口)、Community Port(团体端口)和Promiscuous Port(混杂端口)；它们分别对应不同的VLAN类型：Isolated Port属于Isolated PVLAN，Community Port属于Community PVLAN，而代表一个Private VLAN整体的是Primary PVLAN(主私有VLAN)，前面两类VLAN也称为Secondary PVLAN(辅助私有VLAN)，它们需要和Primary PVLAN绑定在一起，Promiscuous Port属于Primary PVLAN。

传统VLAN的局限性：随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。

这些局限主要有下述几方面：1.VLAN的限制：交换机固有的VLAN数目的限制；2.复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；3.IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；4.路由的限制：每个子网都需要相应的默认网关的配置。

PVLAN简介PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN 内的其它用户没有任何访问。

最近经常碰到有人问起Cisco交换机上如何实现VLAN之间的访问控制，一般我都会告诉对方，在三层交换机上直接把ACL应用到相应VLAN的虚端口就OK了，其实我自己也没有机会去真正实践过。

眼下正巧有个项目涉及到这方面的需求，于是对如何实现VLAN之间的访问控制仔细研究了一番，这才发现VLAN访问控制列表（VACL）和VLAN之间的访问控制列表其实在实现方式上是有很大不同的，虽然从字面上看两者差不多。

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。

而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。

它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：1)最后一条隐藏规则是deny ip any any，与ACL相同。

2)VACL没有inbound和outbound之分，区别于ACL。

3)若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4)VACL规则应用在NAT之前。

5)一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6)VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。

网络拓扑图网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30，vlan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。