cPVLAN专题.docVIP

PVLAN专题 编著：孙 建 审核：李 奎 中兴通讯数据用服部 修改记录 文档编号 版本号 拟制人/修改人 审核人 拟制/修改 日期 更改原因 主要更改内容要点 无 V1.0 孙建 李奎 2008-8-29 2008年专题文档光盘编写 初稿生成  目 录 第1章 PVLAN简介 1 1.1 PVLAN概述 1 1.2 设备与版本信息 1 第2章 配置PVLAN 2 2.1 PVLAN配置思路 2 2.2 PVLAN配置命令 2 2.2.1 中高端交换机 2 2.2.2 低端交换机 2 2.3 配置注意事项 3 第3章 PVLAN配置实例 4 3.1 网络拓扑 4 3.2 配置步骤 4 3.2.1 中高端交换机 4 3.2.2 低端交换机 5 第4章 PVLAN维护与诊断 6 4.1 中高端交换机 6 4.2 低端交换机 6 PVLAN简介 PVLAN概述 为了提高网络的安全性，要将用户之间的报文隔离开，传统的解决办法是给每个用户分配一个VLAN。这种方法具有明显的局限性，主要表现在以下几个方面： 1． 目前IEEE 802.1Q标准中所支持的VLAN数目最多为4094个，用户数量受到限制，且不利于网络的扩展。 2． 每个VLAN对应一个IP子网，划分大量的子网会造成IP地址的浪费。 3． 大量VLAN和IP子网的规划和管理使网络管理变得非常复杂。 PVLAN（Private VLAN）技术的出现解决了这些问题。 PVLAN将VLAN中的端口分为两类：与用户相连的端口为隔离端口（Isolate Port），上行与路由器相连的端口为混合端口（Promiscuous Port）。隔离端口只能与混合端口通信，相互之间不能通信。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的安全性得到保障。在小区接入中，通过将用户划入不同的VLAN，实现用户之间二层报文的隔离。 PVLAN采用二层VLAN的结构，在一台以太网交换机上存在一个或者多个PVLAN，一个PVLAN可以包括多个隔离端口和上行混合端口。这样对上层交换机来说，可以认为下层交换机中只有几个PVLAN，而不必关心PVLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。一个PVLAN中包含的所有的隔离端口处在同一个子网中，节省了子网数目和IP地址资源。 PVLAN提供灵活的配置方式，如果用户希望实现二层报文的隔离，可以采用为每个用户一个隔离端口的方式，每个VLAN中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，可以将用户连接的端口从PVLAN中删除，然后把这些端口划入同一个VLAN中。 设备与版本信息 设备类型 测试版本 支持的版本 硬件配置 ZXR10 G系列 所有版本 ZXR10 5900/5200系列 所有版本 ZXR10 3900/3200系列 所有版本 ZXR10系列低端以太网交换机（ZXR10 2826E/2626/2618除外） 所有版本 配置PVLAN PVLAN配置思路 配置PVLAN时，首先把端口加入VLAN内，所有端口应属于同一VLAN，然后配置隔离端口和混合端口。 PVLAN配置命令 PVLAN的配置比较简单，下面分别介绍各种交换机上PVLAN的配置命令。 中高端交换机 ZXR10 G系列、ZXR10 5900/5200系列的命令格式如下： 命令格式 命令模式 命令功能 vlan private-map session-id id [isolate port-list] [promis port-list] 全局 配置PVLAN的隔离端口和混合端口 ZXR10 3900/3200系列的命令格式如下： 命令格式 命令模式 命令功能 vlan private-map session-id id [isolate port-list] [promis port-list] 全局 配置PVLAN的隔离端口和混合端口 其中： session-id id：PVLAN组号 isolate port-list：隔离端口，可以批量配置 promis port-list：混合端口，可以批量配置 G系列、5900/5200系列交换机支持20组PVLAN，每组支持8个上行口。3900/3200系列交换机支持20组PVLAN，每组仅支持1个上行口。 低端交换机 低端交换机的命令格式如下，隔离端口和混合端口需要用两条命令分别配置： 命令格式 命令模式 命令功能 set pvlan session id {add|delete} {isolated-port port-list|promiscuous-port port-list} 全局 配置PVLAN